La protección de valores y derechos fundamentales no se agota con la regulación. El uso intensivo de tecnología requiere un debate permanente.
La entrada en vigor de la Reglamentación General de Protección de Datos en mayo de 2018 supuso un freno a la frivolidad e impunidad con que muchas empresas trataban los datos obtenidos gratuitamente de sus usuarios.
Sin embargo, la normativa no ha resuelto la totalidad del problema ni puede darse por zanjado el debate sobre el uso ético de los datos. Diversos frentes siguen abiertos. El debate sobre el uso y tratamiento de los datos debe ser permanente y no se agota con la creación de códigos, estándares o, en el mejor de los casos, reglamentos.
1) Conocimiento y valor
Cuando hablamos de “datos”, ¿sabemos exactamente a qué nos referimos? Probablemente, no del todo.
Nombre, dirección, curriculum, ficha sanitaria… obviamente, lo son. Pero también, las fotografías que colgamos, los emails que escribimos, los movimientos del mouse, las palabras que decimos a los asistentes personales, los sensores ante los que transitamos, las cosas o servicios que compramos… generan datos que dejan un rastro extremadamente valioso. ¿Somos conscientes de que nuestras acciones se convierten en datos y que éstos son muy apreciados por empresas que saben extraerlos y procesarlos? ¿En qué medida lo son?
Aunque en 2018 se ha avanzado considerablemente, estamos todavía lejos de que exista una conciencia colectiva sobre el valor de los datos personales. ¿Se está haciendo lo suficiente para que el conjunto de los ciudadanos comprendan qué son los datos, para qué se usan, qué negocio generan, qué consecuencias puede conllevar su uso indebido y qué valor tienen?
2) Consentimiento explícito
El paso más decidido de la normativa europea fue exigir el consentimiento explícito del usuario para la captación y uso de sus datos personales. Ya no se vale con alegar un cierto consentimiento tácito, ambiguo o indirecto. La cesión debe ser clara. ¿Lo está siendo?
El balance de la aplicación de la normativa tiene dos caras. Por un lado se ha frenado el uso indiscriminado de datos personales bajo el riesgo de multas importantes pero por otro ha fomentado un conjunto de trucos, subterfugios o coacciones veladas para obtener el consentimiento explícito de forma engañosa.
Lo denunciaron la Asociación de Consumidores de Noruega y la federación de consumidores europeos BEUC a los pocos meses de entrar en vigor la normativa.
En Estados Unidos, un estudio concluye que el 99% de los términos y condiciones de inicio de sesión de 500 populares sitios web incluidos Google y Facebook, son «ilegibles».
El debate ético no debe cerrarse hasta que el consentimiento sea realmente explícito, consciente e informado.
3) Inferencia
La investigadora Helen Nissembaum se pregunta qué sentido tiene el consentimiento explícito cuando las plataformas disponen de sofisticados mecanismos para inferir identidades a partir del rastreo permanente de lo que escribimos, colgamos o compartimos en la red. Y peor aún, cuando pueden inferir nuestros datos sin que jamás hayamos actuado, únicamente porque estamos en la red de personas que sí lo han hecho.
Revistas científicas como Science o Scientific American han publicado trabajos que demuestran que a partir del análisis de los datos genéticos podría igualarse el ADN del 60% de los 140 millones de norteamericanos de ascendencia europea o que los datos de ADN que la policía norteamericana guarda aparentemente sin más objeto que el de relacionar a sospechosos con las muestras de la escena del crimen pueden ahora vincularse con bases de datos genéticas para conectar e identificar a la población.
El simple conocimiento del código postal permite inferir un perfilado de la posición socio-económica, nivel de estudios, ingresos, aspiraciones… de un usuario. Nuestras búsquedas en Google o nuestra relación con los asistentes virtuales dicen más de nosotros que cualquier encuesta.
Cruzar datos para aumentar la precisión de la información es una técnica habitual de los procedimientos científicos. Las dudas sobre su conveniencia surgen cuando el ‘conocimiento inferido’ puede llegar a una precisión tal que haga irrelevante el consentimiento del usuario y desborde sus derechos de privacidad y control sobre sus datos personales.
4) Sesgo
El sesgo es consustancial a los algoritmos.
Primero porque se nutren de datos históricos, y la historia parte de patrones sesgados (hábitos, costumbres, discriminaciones por raza, género, perfil sociodemográfico, territorio…) de los que los algoritmos por sí mismos no saben escapar.
Segundo, los algoritmos se orientan mediante la información que le proporcionan millones de datos, muchos de ellos irrelevantes o erróneos.
Tercero, los algoritmos universalizan respuestas sin aplicar análisis del contexto.
Cuarto, la equidad no es un concepto matemático que se adapte al lenguaje de los algoritmos. Intervienen factores sociales, económicos y filosóficos que las máquinas no entienden.
Quinto, los objetivos diseñados para un algoritmo pueden nacer de pautas sesgadas que no toman en cuenta la dimensión de todo el problema.
El debate debe centrarse en la toma de conciencia de que todo algoritmo tiene sesgo, la adopción de medidas permanentes de revisión y depuración, incorporación de una concepción social y humanística en la fase de diseño del algoritmo y el establecimiento de mecanismos de transparencia y auditabilidad del proceso de toma de decisiones.
5) Concentración, monopolio y negocio
Gracias a la captación y gestión inteligente de datos las big tech han acaparado un poder enorme. Generan un gran negocio que tiende a la concentración (a más datos más información, y a mayor información mayor poder), aceleran el desarrollo tecnológico que desborda el conocimiento de la sociedad y la capacidad de los legisladores y alimentan la tecnología del futuro: la inteligencia artificial.
Toca ahora decidir si el suministro creciente de datos personales, la mejora de las tecnologías de rastreo y de vigilancia, la incorporación de sensores a todo tipo de cosas (IoT)… seguirán en manos de los monopolios privados bajo vigilancia de legislaciones siempre anticuadas, si los poderes públicos podrán y sabrán usar los datos para prestar servicios a los ciudadanos o si los usuarios tendrán capacidad para frenar la hemorragia de la cesión indiscriminada de datos y diseñar alternativas eficaces que eviten a los monopolios.
6) Compensación
Si las empresas tecnológicas hacen negocio con los datos de los usuarios ¿deberían pagar por ellos? ¿Lo están haciendo ya mediante los servicios gratuitos que prestan? ¿Es eso suficiente? ¿Deben tratarse los datos personales como una mercancía?
Diversas iniciativas promueven el derecho de los usuarios a ser compensados. Tambièn desde el mundo blockchain se ofrecen soluciones, como Minds, Steemit, Ocean Protocol, Datum, Wibson… Algunas aplicaciones incluso promueven la compra venta de datos personales sensibles, los más protegidos por la regulación, como movimientos bancarios, información sanitaria, etc…
Sin embargo, diversos organismos europeos se han manifestado en contra de la mercantilización de los datos y desde movimientos civiles se promueven campañas tipo #TakeBackYourData, aunque sin aclarar cómo se consigue revertir una tendencia que parece imparable.
7) Transferencia y custodia
Los datos que obtiene cualquier empresa deben quedar blindados al acceso de terceros. Atañe esta premisa a la adopción de medidas seguridad suficientes ante posibles ataques o filtraciones indeseadas, pero también a la restricción de acuerdos de cesión de datos a terceros para una explotación comercial excesiva, ya sea publicidad u otros fines.
En 2018 hemos asistido a escándalos de ambos tipos. Hackeos masivos y transferencia de datos para usos políticos (Cambridge Analytics).
La regulación europea de protección de datos o de tratamiento de las cookies no agota el debate sobre si el uso que se deriva de la aplicación de ambas normativas responde efectivamente al espíritu ético que las inspiró.
En Estados Unidos, las empresas gastarán este año más de 19 mil millones de dólares en adquisición de datos y en soluciones para administrarlos, procesarlos y analizarlos, lo que supone un aumento del 17.5 por ciento respecto del año anterior. Este aumento se debe en parte al auge de la publicidad programática, a la relativa escasez de datos de calidad que alimenten todo el sistema de inteligencia artificial y a la proliferación de agencias intermediarias que basan su modelo de negocio en la compra venta de datos.
8) Vigilancia
Los usos más controvertidos y peligrosos son los que bordean la frontera de la privacidad y la vigilancia. Del rastreo sistemático para usos comerciales se pasa fàcilmente al seguimiento personalizado, a la identificación y al control.
“Sus aplicaciones saben dónde estuvo anoche y no lo mantienen en secreto”, titulaba The New York Times un reportaje en el que denunciaba que docenas de empresas utilizan ubicaciones de teléfonos inteligentes para informar a los anunciantes.
¿Por qué su futuro de vida puede depender de su presencia online?, titulaba The Verge para demostrar el seguimiento que las compañías aseguradoras hacen de sus clientes . «A medida que el uso de algoritmos y datos públicos para calcular primas de seguros se vuelva más común, tendremos que decidir qué está bien y qué no”, añadía.
La personalización publicitaria se lleva al extremo con la llamada publicidad programática. O ejemplos más graves como Absher, una app que podía descargarse en los stores de Apple y Google, usada en Arabia Saudita para controlar a las mujeres.
El debate es recurrente y debe continuar. ¿Qué nivel de rastreo, vigilancia o control estamos dispuestos a tolerar? ¿Es compatible nuestro derecho a la privacidad y a la dignidad con el nivel de seguridad que reclamamos?
9) Derecho al olvido
El derecho al olvido es el que tiene el titular de un dato personal a borrarlo, bloquearlo o suprimirlo cuando afecta de alguna manera a alguno de sus derechos fundamentales, como el derecho a la intimidad, al honor y a la propia imagen o cuando puede considerarse como información obsoleta y carezca de sentido su acceso a ella pues ya no sirve a los fines para los que fue recabado y publicado.
En Europa se han pronunciado diversas sentencias que han obligado a las plataformas a reaccionar pero la justicia europea ha dejado claro que el derecho al olvido incumbe sólo al territorio comunitario. De momento, no es un derecho universal.
El debate sigue abierto en otros aspectos. A partir de lo comentado anteriormente sobre la capacidad de inferencia de identidades y comportamientos, el derecho al olvido entra en una complejidad mayor en la medida que la responsabilidad de extracción del dato se diluye. ¿Un dato inferido, es decir no directo, no explícito, no consentido, debe tener la consideración de dato y por tanto susceptible de ser protegido o se trata sólo de una suposición por más exacta que pueda llegar a ser?
10) Soberanía y propiedad
Un último debate se centra la naturaleza de los datos, la que concierne a su soberanía, titularidad o propiedad.
¿De quién son los datos de los usuarios? Parece que una respuesta inmediata debería ser: de los propios usuarios. Las plataformas los utilizan pero los datos son nuestros. Sin embargo, no resulta tan obvio. Los datos nos identifican pero ¿nos pertenecen como si de una propiedad privada se tratara? Son un derecho pero no una posesión de la que podamos desprendernos a voluntad. No podemos cambiarnos la edad, ni dejar de tener dni o pasaporte o certificado de nacimiento…
El concepto que mejor aplica sería el de soberanía. Somos soberanos de nuestros datos y por lo tanto quienes ostentamos el derecho a controlar, ceder, modificar… los datos que identifican nuestra personalidad y nuestras acciones.
Relacionado con este debate paralelo surge otra cuestión. Durante años los usuarios hemos ido cediendo el uso y control de nuestros datos a empresas tecnológicas que han sabido generar un enorme negocio con ellos. Lo seguimos haciendo cada día, pero ¿podemos recuperar la soberanía de los datos que nos identifican? Más allá de los derechos que ampara la normativa europea ¿podemos saber con claridad de qué datos disponen y qué hacen con ellos? ¿Tenemos derecho a ello?
Estamos sólo al inicio de la verdadera economía de los datos
El uso intensivo para usos de marketing, adiestramiento de la inteligencia artificial, seguridad… no ha hecho más que empezar. La posibilidad de reencaminar su tratamiento indiscriminado hacia un marco que blinde la soberanía ciudadana sobre ellos, mejore la transparencia sobre su gestión y redistribuya las oportunidades que ofrece su gestión está abierta. Para ello es necesario incrementar el conocimiento ciudadano sobre el valor de los datos y mantener un debate ético de forma permanente.