Internet, RSS y privacidad. Si no pagas por el producto, tú eres el producto.
En marketing y ahora en privacidad usamos el aforismo: Si no estás pagando por el producto, tú eres el producto. Es decir, tus datos son el precio que pagas por disfrutar de mensajería instantánea, videos, música, etc,… Hay dos factores relevantes en todo este fenómeno: la digitalización (BIG DATA, IoT, IA, CLOUD) e internet, por un lado y la ausencia de sensación de riesgo a la hora de exponer nuestra privacidad en esta nueva era, por otro. Hasta hace muy poco no sabíamos el alcance real de la digitalización aplicada a los datos personales y su posible robo o manipulación, como prueban muchos casos famosos (papeles de panamá, Ashley Madisson, wiki leaks, Ring, Google school, etc….)
¿En qué afecta a nuestra privacidad esta cesión “gratuita” de nuestros datos personales?
El problema reside, como casi siempre en el uso que hacemos de la tecnología y en el efecto explosivo de la digitalización en el tratamiento y procesamiento de toda clase de información. Con el Big Data (bases de datos a lo bestia) IoT (más de 50.000 millones de aparatos y sensores interconectados en todo el mundo) y la Inteligencia Artificial (patrones, perfiles y predicciones) la información resultante puede llegar a ser muy peligrosa para nuestra libertad y privacidad. En EEUU y GRAN BRETAÑA, hemos presenciado cómo la manipulación –ilegal– de información personal de millones de individuos usada de manera agregada puede cambiar el destino de un país entero y por ende del mundo. Así mismo, cuando estas tecnologías se combinan para tomar decisiones de manera automática sobre nosotros (denegación de una póliza de seguro o un crédito) también es un mal uso. Sin embargo, estas mismas tecnologías tratando la misma información consiguen salvar vidas, ayudar a enfermos, asistir a catástrofes humanitarias y mejorar la vida de millones de personas, etc,… Todo depende pues, del uso de la herramienta para un fin u otro (el mismo machete que sirve para liberar a una persona de una soga o soltar un cable que está bloqueando una salida, etc,.. puede cortar el cuerpo humano o acabar con la vida de varias personas).
En el caso de la imagen y el sonido tenemos un serio problema porque es el dato personal del futuro (95 Millones de imágenes son subidas a Instagram cada día. El 84 % de las comunicaciones en 2018 fueron visuales y el 79% del tráfico de internet está compuesto por imágenes y audio)
¿Cómo podemos defendernos de este “mal uso” de estas nuevas tecnologías?
En el mundo de la privacidad y la digitalización (sociedad y economía hiperconectadas), la amenaza a este grave riesgo a que se ha hecho referencia viene siendo tratada principalmente a través de dos vías: (a) la técnica, a través dela disociación absoluta de la identidad del interesado respecto de los datos recabados (proceso denominado de “anonimización”) de tal manera que resulta imposible, una vez, recabados, re identificar a la persona a la que pertenecen dichos datos y (b) la legal o regulatoria, en la que Europa ha tomado la delantera con la respuesta desde la ley, en este caso el Reglamento General de Protección de Datos Personales, conocido como GDPR por sus siglas en inglés (en España completado con la nueva ley de Protección de Datos y Derechos Digitales), ante este mal uso de las nuevas tecnologías y tras los escándalos de Cambridge Analytica con las elecciones de estados unidos y el Brexit, donde el mundo entero parece haber tomado conciencia, finalmente, de la grave amenaza que supone al ausencia de control y regulación en la aplicación de estas tecnologías a los datos personales.
La respuesta legislativa es, por así decirlo, el mal menor ante la insaciabilidad de los operadores de bases de datos personales (con los llamados “sospechosos habituales” a la cabeza, Google, Facebook, Microsoft y Apple) y la piedra angular sobre la que descansa todo éste sistema legal es “el consentimiento informado”, entendido éste como la manifestación, libre, espontánea, explícita e inequívoca de nuestra voluntad de ceder nuestros datos a un tercero. El consentimiento informado está claramente en entredicho por fenómenos demostrados como la “paradoja de la transparencia” y la “tiranía de la minoría” que acreditan, en el primer caso, que a mayor información sobre los mecanismos que subyacen a los algoritmos usados para tratar los datos personales menor es el entendimiento del interesado (algo así como las famosas cláusulas suelo de las hipotecas que nadie entendía como ha dicho el Supremo) y que, a pesar de no estar dado de alta en ninguna red social, resulta fácilmente identificar y localizar a individuos simplemente por aparecer como amigos de otros usuarios que sí están dados de alta en dichas redes, en el segundo caso.
Es por eso que los que nos dedicamos a la privacidad y las nuevas tecnologías somos muy fans del proceso de anonimización que es la estrella de la protección de los datos personales. De hecho si pudiera afirmarse la anonimización de un tratamiento de datos personales, dicho tratamiento quedaría excluido del GDPR y la LODPDDG, porque, efectivamente en esencia no hay nadie detrás de esos datos a quien proteger. No puede identificarse al interesado.
Y también quizá por ello, soluciones tecnológicas como la de cuatro ingenieros Israelíes de la empresa ID-D cuya solución aplica técnicas de resintetización de nuestra imagen de tal manera que para el ojo humano será reconocible por nuestros amigos, etc,… pero no para las máquinas que usan algoritmos de reconocimiento facial. La imagen se parece a tí, pero en realidad es diferente. Según afirman, ésta técnica es suficientemente robusta para ataques de re identificación que usan ingeniería inversa (el enemigo de la ingeniería de la anonimización) para entrenar a nuevos clasificadores para que ignoren los cambios que esta herramienta de anonimización usa y así poder re identificar, como digo, al interesado que aparece en la imagen. Se trata algo muy similar a los nuevos “exploits” –portadores de virus para atacar sistemas de seguridad de todo tipo–, que son entrenados con algoritmos que reproducen las condiciones de una “Sandbox” (una caja de pruebas donde chequear y simular ataques a un nuevo software antes de lanzarlo, para prevenir esos supuestos ataques, etc,..) de tal manera que el virus si cree que está en una sandbox no se activará, engañando a la caja y pasando la prueba, para una vez puesto en el mercado, explotar su amenaza y atacar. Da un poco de miedo verdad.
En fin, habrá que verificarlo pero es una esperanza muy positiva que existan soluciones técnicas a problemas que surgen desde la técnica y que no se haga descansar en los usuarios, que obviamente no están capacitados, la salvaguarda de sus propios intereses a través de marcar una casilla que está al final de 50 páginas de texto. Todo ello, además de que, al igual que estos ingenieros, podemos defender la idea de que para “vendernos” cosas, identificar patrones de consumo y a “buyer personas” no hace falta llegar a identificarnos a nivel individual. A los sospechosos habituales (GOOGLE, MICROSOFT, AMAZON, APPLE,..) y sus clientes que les compran los datos, les debería bastar con tener perfiles de compradores segmentados por los millones de variables que quieran pero sin tener nuestra identidad.
Algunos consejos para proteger nuestros datos personales en las redes sociales:
Como decimos en ciberseguridad: el equipo o sistema más seguro es aquél que no está conectado. Extrapolando la idea a nuestra privacidad cotidiana podríamos afirmar que una vez que subes un dato personal a la red (identificación, localización, imagen, vídeo, audio, etc,..) tu control real sobre el mismo desaparece aunque la normativa expresamente refleja que los datos personales que estén en fuentes de acceso público no requieren consentimiento para su tratamiento por terceros, etc,… y aunque las redes sociales no están consideradas como tales fuentes de acceso público, lo cierto es que, de facto, el control sobre el uso de esos datos desparece para siempre. No obstante ello, puesto que casi todas las aplicaciones lo permiten, lo ideal es ajustar el nivel de privacidad –igual que lo hacemos con el nivel de protección en nuestro navegador—a nuestra percepción del riesgo y seleccionar el grado de exposición de nuestros datos personales que va desde no acceder a las RRSS, acceder con perfil privado, semipúblico o público a comerciar con ellos directamente en determinados sitios en los que a cambio de su tratamiento nos ofrecerán ofertas, descuentos, regalos, etc,… Hay una cierta negligencia por nuestra parte que va directamente relacionada con la falta de conciencia sobre el alcance de las aplicaciones para recabar y tratar toda esta información y que solo descubrimos tardíamente con algún evento o suceso dañoso o perturbador. Recomiendo ver algún documental sobre ello que a más de uno seguro que le sirve para tomar esa conciencia y subir el nivel de privacidad en su exposición en las redes.
Las empresas que gestionen mejor la privacidad serán más competitivas a largo plazo
Como todo nuevo fenómeno, las empresas que en lugar de ver una amenaza o limitación el tener que cumplir con la normativa al tratar los datos personales de sus clientes y empleados acojan sus principios y se esfuercen en promocionar y visibilizar que efectivamente les protegen a la larga se verán recompensadas pues cada brecha o incidente de seguridad sobre los datos personales de un competidor hará decantar la balanza en favor de aquellas que prestan un mayor nivel de protección a sus clientes de igual manera que desde hace tiempo vemos cómo los nuevos consumidores están muy sensibilizados con la ecología y el medio ambiente habida cuenta los efectos del cambio climático, etc,..
Socio del Área Compliance y Legaltech en Devesa & Calvo Abogados