Datos Derivados / Obtenidos de Otros Datos: Definición y Conceptos Fundamentales

Los datos derivados se refieren a información, conjuntos de datos o conclusiones creados mediante el procesamiento, análisis, transformación o extracción a partir de fuentes de datos existentes, en lugar de ser recolectados directamente de eventos, experimentos u observaciones. A diferencia de los datos en bruto o primarios (como lecturas de sensores o documentos originales), los datos derivados son un producto secundario, a menudo refinado, agregado o interpretado. Esta distinción es fundamental en entornos legales, regulatorios y técnicos, ya que el estatus y el tratamiento de los datos derivados pueden activar diferentes obligaciones para organizaciones, usuarios de datos y procesadores.

Por ejemplo, en aviación, los datos de vigilancia del tráfico aéreo se derivan de retornos de radar y se procesan en trayectorias de aeronaves o alertas de conflicto. En ciberseguridad, la inteligencia de amenazas se deriva de registros, actividad de red e historiales de incidentes. Cada transformación introduce nuevos metadatos, posibles errores y consideraciones de cumplimiento, como la trazabilidad y el riesgo de reidentificación en datos personales.

La gestión de datos derivados sustenta la gobernanza del ciclo de vida de los datos. Los productos derivados, como informes de análisis o estadísticas resumidas, deben gestionarse según tanto las propiedades de los datos originales como las introducidas durante la derivación, incluyendo exactitud, linaje y cumplimiento de requisitos de privacidad o seguridad.

Datos Fuente: La Base de la Derivación

Los datos fuente son la información original y no procesada recolectada directamente de su punto de origen, como sensores, entrada humana u observación directa. Ejemplos incluyen telemetría de aeronaves en bruto, vídeo sin editar, respuestas de encuestas o registros de transacciones. La integridad y seguridad de los datos fuente son fundamentales, ya que los errores o sesgos en este nivel básico se propagan a cualquier dato derivado.

Los datos fuente suelen estar sujetos a controles más estrictos sobre el acceso, la modificación y la retención. En la seguridad aérea, por ejemplo, las salidas de las grabadoras de voz de cabina y de datos de vuelo se preservan en su forma original para garantizar una reconstrucción precisa de incidentes. Mantener la cadena de custodia y metadatos sólidos (marcas de tiempo, calibración de sensores, contexto) es fundamental para la confiabilidad posterior y el cumplimiento normativo.

Obra Derivada: Propiedad Intelectual e Implicaciones Legales

Una obra derivada es material nuevo creado mediante la adaptación, modificación o ampliación de contenido existente. Esto es central en la ley de derechos de autor y en los contratos gubernamentales. Las obras derivadas pueden incluir traducciones, adaptaciones, resúmenes o cualquier transformación que incorpore elementos sustanciales del original.

Por ejemplo, un software modificado a partir de código abierto es una obra derivada y está sujeta a la licencia original. En contratos gubernamentales, especialmente en aviación y defensa, los contratistas generan obras derivadas al mejorar o analizar los datos suministrados. El Federal Acquisition Regulation (FAR) distingue entre “datos producidos por primera vez en la ejecución del contrato” y “datos entregados al Gobierno”, cada uno con diferentes derechos sobre los datos. La documentación adecuada y el cumplimiento de los requisitos de licencia y atribución son esenciales para evitar disputas legales.

Clasificación Derivada: Seguridad y Confidencialidad en Seguridad Nacional

La clasificación derivada es un proceso formal mediante el cual se crean nuevos materiales a partir de fuentes previamente clasificadas. En EE. UU., la Orden Ejecutiva 13526 regula la clasificación derivada, exigiendo que todas las marcas e instrucciones de desclasificación del material fuente se mantengan. A diferencia de la clasificación original, la clasificación derivada no requiere autoridad original pero demanda un estricto cumplimiento de procedimientos de marcado y documentación.

Esto es especialmente importante en aviación al resumir inteligencia de amenazas clasificada o vulnerabilidades técnicas. Los errores en la clasificación derivada pueden conducir a divulgaciones no autorizadas o responsabilidades legales, lo que hace que la documentación y el cumplimiento sean críticos.

Datos de Derechos Limitados y Software Informático Restringido: Derechos de Datos en Contratos Federales

Datos de Derechos Limitados y Software Informático Restringido son términos para la propiedad intelectual creada o entregada bajo contratos gubernamentales. Los Datos de Derechos Limitados cubren datos técnicos desarrollados con fondos privados y pueden contener información propietaria o sensible; el uso por parte del gobierno está restringido, generalmente solo para fines internos. El Software Informático Restringido se refiere a software desarrollado con fondos privados, protegido como secreto comercial o por derechos de autor, con el gobierno autorizado solo a ejecutar, no modificar ni realizar ingeniería inversa del software.

Los contratistas deben hacer valer sus derechos al adjudicarse el contrato o al entregar los datos, utilizando leyendas o avisos prescritos. En aviación, el etiquetado correcto garantiza que el software o los datos propietarios estén protegidos mientras se satisfacen las necesidades del gobierno. No reclamar adecuadamente los derechos puede resultar en la pérdida de protección y divulgación no intencionada.

Uso Secundario y Protección de Datos: Salvaguardas Regulatorias

El uso secundario es la reutilización o procesamiento adicional de datos personales para fines distintos al motivo original de recolección. Bajo el UK GDPR y la Ley de Protección de Datos 2018, el uso secundario está estrictamente regulado para proteger la privacidad. Las organizaciones deben garantizar que el nuevo propósito sea compatible con el original, establecer una base legal y cumplir con las obligaciones de minimización y seguridad de datos.

Por ejemplo, las agencias de cumplimiento de la ley no pueden reutilizar datos recolectados para investigaciones para otros fines a menos que estén específicamente autorizadas. Se aplican salvaguardas adicionales a las categorías especiales de datos (por ejemplo, biométricos) o datos de delitos, requiriendo condiciones más estrictas y posiblemente Evaluaciones de Impacto en la Protección de Datos (DPIA). Las organizaciones deben documentar las actividades de procesamiento y demostrar cumplimiento para evitar sanciones.

Fruto del Árbol Envenenado: Regla de Exclusión en Pruebas Penales

La doctrina del fruto del árbol envenenado en la ley estadounidense excluye pruebas obtenidas como resultado de registros o incautaciones ilegales, junto con cualquier prueba derivada. Esta doctrina disuade las violaciones de la Cuarta Enmienda haciendo que tales pruebas sean inadmisibles en los tribunales. Por ejemplo, en aviación, las pruebas de registros no autorizados de equipaje o registros accedidos indebidamente pueden ser excluidas.

Existen excepciones, incluyendo la excepción de buena fe (confianza razonable en una orden válida), la doctrina de fuente independiente (pruebas obtenidas independientemente del acto ilegal) y la regla de descubrimiento inevitable (las pruebas se habrían encontrado legalmente de todos modos). La formación adecuada y procedimientos claros son vitales para garantizar que las pruebas se obtengan legalmente y sean admisibles.

Marcos Legales y Regulatorios: Resumen

Seguridad Nacional y Clasificación

El manejo de datos derivados en contextos de seguridad nacional está regulado por estatutos y órdenes ejecutivas, especialmente la Orden Ejecutiva 13526 de EE. UU. Todos los productos derivados deben mantener la clasificación más alta de la fuente, el marcado y la documentación adecuados. Agencias como DoD, FAA y la comunidad de inteligencia mantienen guías detalladas para el marcado y manejo de información derivada. Las violaciones pueden resultar en sanciones o pérdida de habilitación de seguridad.

Contratación Gubernamental y Derechos sobre Datos

FAR 52.227-14 y cláusulas relacionadas regulan el manejo de datos en contratos federales, distinguiendo entre datos producidos por primera vez bajo el contrato, datos entregados pero no producidos y datos de terceros. Los derechos del gobierno (ilimitados, limitados, restringidos) dependen de la financiación y los términos contractuales. Los contratistas deben identificar, marcar y documentar los derechos al presentar datos. No hacerlo puede resultar en la pérdida de protección. La transferencia de derechos a subcontratistas y la documentación clara son requisitos para el cumplimiento.

Procesamiento de Datos Personales y Cumplimiento de la Ley

El procesamiento de datos personales, especialmente por parte de las fuerzas del orden, está estrictamente regulado bajo el UK GDPR, la DPA 2018 y otros marcos. Los datos personales derivados, como perfiles de comportamiento o análisis, deben manejarse con el mismo rigor que las colecciones directas. Las fuerzas del orden no pueden reutilizar datos sin una base legal explícita, y las categorías especiales (por ejemplo, datos biométricos o de salud) requieren condiciones y salvaguardas adicionales.

Procedimiento Penal y Regla de Exclusión

Los tribunales examinan detenidamente la admisibilidad de pruebas, especialmente si se derivan de conductas ilegales. La regla de exclusión y la doctrina del “fruto del árbol envenenado” obligan a los tribunales a examinar la cadena de causalidad, reconociendo excepciones cuando la exclusión no es justificada. Estos estándares se aplican tanto a pruebas físicas como digitales.

Principios Operativos y Listas de Verificación de Cumplimiento

Clasificación Derivada (Seguridad Nacional)

• Identificación de fuentes: Revisar todos los documentos fuente para clasificación, desclasificación y advertencias.
• Marcado: Aplicar la clasificación más alta y mantener instrucciones de desclasificación.
• Documentación: Listar todas las fuentes para trazabilidad.
• Formación: Completar y documentar formación cada dos años.
• Responsabilidad: Identificar al clasificador en cada documento.
• Registro: Mantener registros de acciones de clasificación y auditorías.

Derechos sobre Datos en Contratos Gubernamentales

• Identificación de datos: Distinguir los datos por origen y fuente de financiación.
• Reclamación de derechos: Reclamar y etiquetar derechos limitados o restringidos al presentar datos, con documentación de respaldo.
• Licencias: Asegurar licencias para componentes de terceros.
• Avisos: Adjuntar leyendas o avisos prescritos a los entregables.
• Transferencia a subcontratistas: Garantizar derechos y obligaciones coherentes en toda la cadena de suministro.
• Registro: Mantener registros completos para auditorías y disputas.

Compartición y Procesamiento de Datos Personales

• Evaluación: Evaluar la necesidad y proporcionalidad del uso secundario.
• Base legal: Identificar y documentar la autoridad legal.
• Base lícita: Determinar la base legal bajo GDPR (interés público, consentimiento, etc.).
• Datos especiales: Cumplir condiciones para datos de categoría especial/delitos.
• Minimización: Limitar el alcance de los datos; usar redacción o seudonimización si es posible.
• Cumplimiento: Implementar controles de cumplimiento continuos y transparencia.

Exclusión de Pruebas Penales

• Verificación de adquisición: Confirmar la adquisición legal de las pruebas.
• Revisión derivada: Analizar la cadena de custodia y derivación.
• Evaluación de excepciones: Considerar la aplicabilidad de excepciones.
• Procedimiento de objeción: Plantear objeciones de admisibilidad oportunamente.
• Registro: Mantener registros completos de pruebas y procedimientos.

Ejemplos y Casos de Uso

Seguridad Nacional: Preparación de un Resumen Derivado de Inteligencia

Un analista de seguridad en aviación recibe una evaluación de amenazas clasificada. Para informar a la dirección, el analista resume los hallazgos clave, parafraseados para la audiencia, y marca el resumen con la misma clasificación que la fuente, incluyendo instrucciones de desclasificación y referencias. Esto mantiene la protección y trazabilidad según la Orden Ejecutiva 13526.

Contratación Gubernamental: Informes de Rendimiento a partir de Datos de Prueba

Un contratista de defensa utiliza datos de prueba proporcionados por el gobierno para generar informes de rendimiento, aplicando algoritmos propietarios. Los datos en bruto (producidos bajo contrato) se entregan al gobierno con derechos ilimitados; las mejoras propietarias se reclaman como datos de derechos limitados o software restringido con los avisos apropiados, protegiendo los intereses de ambas partes.

Datos Personales: Datos de la Policía Compartidos con Autoridades Civiles

Una agencia de cumplimiento de la ley recolecta datos personales durante una investigación. Posteriormente, una autoridad civil solicita los datos para análisis estadístico. Antes de compartir, la agencia evalúa la base legal, garantiza la compatibilidad con el propósito original, minimiza el conjunto de datos y documenta el cumplimiento con GDPR y DPA 2018.

Conclusión

Los datos derivados, ya sea en contextos gubernamentales, de seguridad nacional, comerciales o personales, conllevan implicaciones legales, regulatorias y operativas únicas. Las organizaciones deben distinguir entre datos fuente y derivados, gestionar la propiedad intelectual y los derechos sobre los datos, cumplir con regulaciones de seguridad y privacidad, y asegurar el manejo legal de pruebas. Una documentación robusta, listas de verificación de cumplimiento y formación continua son esenciales para mitigar riesgos y maximizar el valor de la información derivada.