Un mapa de calor que muestra donde ocurren mas robos de vehiculos es enormemente util para cualquier conductor. Pero un mapa que muestra donde estuvo un usuario especifico, a que hora escaneo una placa, o que vehiculo fue detectado en que esquina, es un problema de privacidad serio.
La linea entre ambos es mas fina de lo que parece. Cuando construimos el Mapa de Zonas Calientes de Lominic, el desafio central no fue tecnico — fue etico: como presentar datos suficientemente detallados para ser utiles, pero suficientemente agregados para proteger la privacidad de cada persona involucrada.
La tension entre utilidad y privacidad
Los datos de ubicacion son, por naturaleza, sensibles. Saber que alguien estuvo en un lugar especifico a una hora especifica revela informacion sobre sus habitos, sus rutas y su vida cotidiana. Cuando agregas la dimension vehicular — que auto tiene, donde lo estaciona, por donde circula — el riesgo de privacidad se multiplica.
Al mismo tiempo, esos mismos datos son increiblemente valiosos para la seguridad publica. Si sabemos que una interseccion tiene 10 veces mas robos que la calle de al lado, esa informacion puede salvar vehiculos. Pero mostrarlo requiere procesar datos individuales.
La Ley 21.719 de Chile establece un marco claro: los datos personales requieren consentimiento y proposito. Los datos anonimizados — aquellos que no permiten identificar a la persona — pueden procesarse con mayor libertad. Nuestro trabajo es asegurar que el heatmap siempre muestre datos verdaderamente anonimizados.
Principios de diseno que aplicamos
Antes de hablar de tecnicas especificas, estos son los principios que guian todas nuestras decisiones sobre datos espaciales.
Anonimizacion por diseno, no por accidente
La anonimizacion no se aplica al final como un filtro — se disena desde el principio. La consulta que genera el heatmap nunca tiene acceso a datos individuales: trabaja directamente con datos agregados. No es que anonimicemos los resultados; es que la consulta misma solo puede producir resultados anonimos.
El dato minimo necesario
El heatmap solo necesita saber que en una zona hay muchos o pocos incidentes. No necesita saber quien reporto, que vehiculo fue, ni a que hora exacta ocurrio. Cada dato que no es estrictamente necesario para la visualizacion no se incluye en la consulta.
Si no puedes anonimizar, no muestres
Hay zonas donde la densidad de datos es tan baja que mostrar el heatmap equivaldria a senalar un evento individual. En esos casos, simplemente no mostramos datos. Es mejor tener un espacio vacio en el mapa que comprometer la privacidad de alguien.
Tecnicas de anonimizacion en la practica
Sin entrar en detalles de implementacion especificos, estas son las categorias de tecnicas que aplicamos para asegurar que nuestros heatmaps respeten la privacidad.
Agregacion espacial
Los datos nunca se muestran como puntos exactos. Se agrupan en celdas de una grilla espacial, y lo que el heatmap visualiza es la intensidad de cada celda, no ubicaciones individuales. El tamano de la celda se calibra para que sea lo suficientemente grande como para contener multiples eventos, pero lo suficientemente pequeno como para ser util para la toma de decisiones.
Umbrales minimos (k-anonimidad)
Aplicamos un concepto inspirado en k-anonimidad: si una celda del mapa contiene menos de un umbral minimo de eventos, no se muestra. Esto previene situaciones donde una celda con un solo evento podria permitir la re-identificacion. El usuario ve la zona como “sin datos suficientes” — nunca como un punto individual disfrazado de agregado.
Difuminado temporal
Los filtros de tiempo del mapa (24 horas, 7 dias, 30 dias) estan disenados para agregar suficientes datos como para mantener la anonimizacion. Un filtro de “ultima hora” podria ser demasiado especifico en zonas de baja densidad, permitiendo inferir eventos individuales. Los intervalos minimos se calibran por densidad de datos.
Eliminacion de metadata
El heatmap no transmite al dispositivo del usuario ningun dato individual — solo pesos por zona. No hay timestamps exactos, no hay identificadores de usuario, no hay patentes, no hay tipos de vehiculo. El resultado es una coleccion de coordenadas con intensidad: nada mas.
Dos niveles de acceso, dos niveles de detalle
Lominic opera dos versiones del heatmap con diferentes niveles de detalle para diferentes audiencias.
El heatmap publico (disponible para todos los usuarios) aplica el nivel mas estricto de anonimizacion. Muestra tendencias generales por zona con la menor resolucion espacial posible que siga siendo util. Ningun dato individual es recuperable desde esta visualizacion.
El heatmap municipal (disponible solo para operadores municipales autorizados) ofrece mayor resolucion espacial, pero sigue siendo agregado y anonimizado. La diferencia es que las celdas son mas pequenas y los umbrales minimos mas bajos, lo que permite un analisis mas granular para la planificacion de seguridad. El acceso a este nivel requiere autenticacion institucional y queda registrado en el log de auditoria.
Riesgos que evaluamos constantemente
La anonimizacion no es un problema resuelto de una vez — es un proceso continuo. Estos son los riesgos que monitoreamos activamente.
Re-identificacion por cruce de datos. Aunque nuestro heatmap por si solo no revela identidades, alguien podria cruzarlo con otros datos publicos para inferir informacion. Por eso, la resolucion espacial se mantiene deliberadamente baja y los umbrales minimos altos.
Acumulacion temporal. Consultar el mismo heatmap repetidamente a lo largo del tiempo podria permitir inferir patrones individuales por diferencia. Las consultas del heatmap no son deterministicas — incluyen perturbaciones controladas que evitan este tipo de analisis diferencial.
Zonas de baja densidad. En areas rurales o ciudades pequenas, la cantidad de datos puede ser insuficiente para una anonimizacion robusta. En esos casos, el heatmap simplemente no se muestra hasta que la densidad de datos alcance un umbral seguro.
Evaluacion de impacto: un proceso formal
Cada funcionalidad que procesa datos espaciales pasa por una Evaluacion de Impacto en Privacidad formal antes de llegar a produccion. Esta evaluacion documenta que datos se procesan, con que proposito, que riesgos existen, y que controles se aplican para mitigarlos.
El Mapa de Zonas Calientes fue evaluado antes de su lanzamiento, y se reevalua periodicamente a medida que el volumen de datos crece. Porque lo que es seguro con 1.000 datos puede no serlo con 100.000 — y viceversa.
Preguntas frecuentes
Que es un heatmap anonimizado?
Es una visualizacion de calor que muestra patrones agregados sin revelar datos individuales. No es posible rastrear un punto del mapa hasta una persona o un vehiculo especifico.
Es posible identificar a una persona a traves del heatmap de Lominic?
No. El heatmap aplica agregacion espacial, umbrales minimos, difuminado temporal y eliminacion de metadata. Las zonas con datos insuficientes para una anonimizacion segura no se muestran.
La privacidad no es negociable. Conoce todos nuestros controles en el Centro de Privacidad o explora el Mapa de Zonas Calientes.