Técnicas para inferir y combinar datos dejan sin control la protección de la privacidad.
Uno de los principales avances de la RGDP europea que entró en vigor en mayo pasado fue la exigencia del consentimiento explícito para la cesión y tratamiento de datos personales. Según el Reglamento, el consentimiento debe ser recabado mediante una clara acción afirmativa. El término “clara acción afirmativa” elimina la validez del consentimiento tácito o las ventanillas con casillas pre-marcadas que se permitían con la legislación anterior.
Desde su entrada en vigor, se ha generado una mayor conciencia de la importancia de tratar los datos convenientemente bajo la amenaza de importantes sanciones si la normativa se vulnera. Esta mayor concienciaciòn ha producido algunos efectos visibles como una cierta disminución de la propaganda invasiva, especialmente la que se expande a través de campañas de email marketing, y una proliferación de avisos acerca de las políticas de privacidad y uso de cookies.
¿Pero son realmente efectivos estos efectos?
Según Helen Nissembaum, profesora de Ciencias de la Información en la Cornell Tech de Nueva York conocida por sus trabajos sobre privacidad, la proliferación de avisos en ventanas emergentes no sirve para nada. La gente no tiene ni idea de lo que está consintiendo dado que, si se opone, teme perder el acceso al servicio. Una opción más razonable, dice Nissembaum, sería informar al usuario del uso concreto que se va a hacer de esas cookies o que el usuario pudiera acceder a los contenidos sin tener que dejar huellas de navegación.
“La farsa del consentimiento tal como se presenta actualmente está haciendo más daño porque da la impresión errónea que ejercemos un control que cedemos culpablemente porque somos demasiado ignorantes para hacer lo contrario y estamos impacientes por acceder al contenido. Se ha consolidado la idea de que el consentimiento es fundamental para respetar la privacidad de las personas. En algunos casos, sí, el consentimiento es esencial. Pero lo que tenemos hoy no es realmente consentimiento.”, dice Nissembaum en una entrevista publicada en la Harvard Business Review.
¿Qué estamos aceptando?
Si aceptas la política de cookies de una web, exactamente ¿qué estás aceptando? ¿Debes leer una docena de párrafos de letra pequeña cada vez que accedas a una web? ¿Y aún así, estás seguro de haber entendido lo que estás aceptando? Si no lo haces o ignoras las cookies hay portales que no te dejan avanzar y otros a los que accedes sin problemas. ¿Entonces?
Si registras tu correo electrónico o tu dirección postal, ¿qué seguridad tienes de que estos datos no van a ir a terceros? ¿Pueden combinar tu código postal o tu dirección de correo con otras informaciones para inferir tu nombre, dirección o número de teléfono? ¿Accediste a eso?
¿Qué son los datos de ubicación? En cualquier dispositivo, la ubicación puede activarse, por ejemplo, con la latitud y longitud que se obtiene a través del GPS. Pero hay otras maneras de inferir la ubicación, por ejemplo a través de una dirección IP. O cuando envías un mensaje de texto a un amigo, “quedamos en tal sitio a tal hora”. ¿Has consentido que se utilice esta información para que te ubiquen? ¿Quién está ubicando a quién? ¿Se trata de un servicio que te ayuda a ti o, sobre todo, sirve para que te invadan propuestas que no has requerido?
Nuestra vulnerabilidad es su negocio
El escritor y periodista canadiense Colin Horgan dice que las plataformas basadas en anuncios tienden a tener éxito gracias a nuestra vulnerabilidad. En un artículo reciente, Horgan se refiere a las debilidades de seguridad de las redes sociales y las plataformas digitales que abren sus bases de datos a terceros para comercializarlas. De ahí provienen los principales errores y escándalos por filtraciones, desde el caso Cambridge Analytics, los problemas de seguridad de la fallida Google+, o el hackeo de 30 millones de cuentas de Facebook. El negocio llevado al límite se obtiene a costa de la privacidad y la vulnerabilidad del usuario.
Podría inferirse que las plataformas se han visto desbordadas por sus propias reglas de juego. Que, en cierto modo, son beneficiarias involuntarias de su propio éxito. Pero no es el caso. El negocio de los datos no es accidental. No lo es la resistencia de las plataformas a que se regule la protección de los datos personales, -en EEUU se está generalizando la demanda de regulación al estilo europeo a la que se ha sumado hasta el propio Tim Cook, CEO de Apple- ni las triquiñuelas de diseño de las que se valen para confundir al usuario (ver Collateral Bits) ni la falsa opción de “no rastrear” de la que disponen los navegadores.
Cuando configuras la privacidad de tu navegador (¿alguien lo hace?), existe una opción que permite activar la función “No rastrear”. Esa activación enviará una solicitud invisible en tu nombre a todas las webs que visites y les indicará que no te rastreen. Podría pensarse que así se evita que nadie realice un seguimiento de tu navegación, o que Facebook, por ejemplo, recopile las direcciones de los lugares que visitas o que rastreadores de terceros de los que nunca has oído hablar te sigan. La revista Gizmodo denunciaba recientemente que activar la opción de “no rastrear” no sirve de nada.
En un primer momento esta opción estaba destinada a liberar a las usuarios del bombardeo de anuncios dirigidos y evitar la recopilación de datos. Pero solo un puñado de webs respetan la solicitud. La gran mayoría lo ignora.
Sin saberlo, comprometes la privacidad de otros
Alan Mislove, de la Northeastern University de Boston, estudia los grados de privacidad de las redes sociales y sostiene que Facebook permite a los anunciantes llegar a los usuarios recopilando información sobre ellos mediante subterfugios y vías no explícitas.
Si en algún momento, por ejemplo, un usuario facilita su número de teléfono para activar una verificación en dos pasos, o cuando un amigo utiliza su agenda para buscar contactos, todos esos datos pueden acabar en poder de terceros.
Lo paradójico del caso es que alguien haya proporcionado su número de teléfono para aumentar la seguridad de su cuenta (verificación en dos pasos), y al final esos datos acaben siendo utilizados para otros fines, sin que el usuario sea consciente de ello.
Ya no se trata, únicamente, de la vulneración de la privacidad individual sino la de quienes comparten tu agenda, salen en tus fotos o te han enviado un correo. Sin saberlo, estás comprometiendo la privacidad de los demás.
Nissembaum se pregunta qué sentido tiene el consentimiento explícito cuando las plataformas, además de aprovechar la falta de legislación norteamericana y sortear, cuando no burlar, la reciente normativa europea, disponen de sofisticados mecanismos para inferir identidades a partir del rastreo permanente de lo que escribimos, colgamos o compartimos en la red. Y peor aún, cuando pueden inferir nuestros datos sin que jamás hayamos actuado, únicamente porque estamos en la red de personas que sí lo han hecho.
Datos por inferencia
En el terreno científico, la revista Science se hacía eco hace unas semanas de un estudio que demuestra que a partir del análisis de los datos genéticos de 1,3 millones de personas podría igualarse el ADN del 60% de los 140 millones de norteamericanos de ascendencia europea y añadían que pronto ese porcentaje alcanzaría al 100%
En otro estudio publicado en la revista Cell que cita Scientific American, un grupo de investigación ha demostrado que los datos de ADN que la policía guarda aparentemente sin más objeto que el de relacionar a sospechosos con las muestras de la escena del crimen pueden ahora vincularse con bases de datos genéticas para conectar e identificar a la población.
El tratamiento de datos genéticos es una materia extraordinariamente sensible que debe ser estrictamente regulada. Hay que tener muy en cuenta que la manipulación de datos de ADN no nos concierne únicamente a nosotros o a nuestros familiares, sino que compromete las privacidad de descendientes que aún no han nacido.
El tratamiento de datos de la población puede aportar grandes beneficios sociales en ámbitos como la salud, la educación y la vida democrática en general pero sin un replanteamiento de la soberanía de los datos y una regulación estricta de su uso se puede generar un daño social irreversible.
El consentimiento explícito es un primer paso pero no puede ser el único.
