Tu vida circula por la Red
Más allá de la ley, que será más estricta, los usuarios tienen un control limitado sobre los datos que vuelcan en Internet
ILUSTRACIÓN: PERICO PASTOR
Hubo un tiempo pasado en el que la magnitud de las cosas enormes se medía en campos de fútbol o en la altura de torres simbólicas que en algunos casos ya ni siquiera existen. Hoy, el magma de datos que producimos cada día en Internet en torno a lo que hacemos, a lo que opinamos, a lo que nos interesa, a lo que nos preocupa, nos divierte, nos motiva o nos disgusta, y que año tras año no deja de multiplicarse, requiere de otras unidades de medida como los gigabytes (mil millones de bytes), los terabytes (un billón de bytes) o, si alargamos la lista de ceros, los petabytes, exa-bytes y zettabytes. Para lograr visualizar mejor las montañas de macrodatos que se acumulan, los expertos recurren a nuevas imágenes comprensibles, como el número de teléfonos inteligentes que sería necesario para albergar determinada información: y de cara al año 2020, haría falta multiplicar por cinco la cantidad de smartphones que cada hogar requeriría para dar cabida a sus propios macrodatos respecto a los que necesitaría ahora...
De pronto, nos hemos convertido en datos; con patas, corazón y, a poder ser, tarjeta de crédito. Importa saberlo todo sobre nosotros para que las empresas, los gobiernos, las instituciones, las fundaciones, los medios, los investigadores, quienes persiguen las buenas causas y quienes se quedan en sus intereses privados, puedan anticipar problemas, inferir cómo nos comportaremos en el futuro, qué podríamos querer comprar, qué libro desearíamos leer o qué viaje nos apetecería realizar, cuál es nuestra tendencia de consumo energético. O, desligando la información de la identidad precisa de la persona, qué conclusiones podemos sacar sobre la evolución de determinadas enfermedades, cuáles son los patrones de movilidad geográfica de la población, qué suele pasarle al cabo de un tiempo a la gente que come mucho y qué le ocurre a la que nunca duerme más de cinco horas.
LAS EMPRESAS PREGUNTAN
Muchas cartas —en papel o no— que tiramos sin leer son de proveedores de servicios que solicitan nuestro consentimiento para “tratar los datos personales” que les hemos facilitado junto con los datos, pongamos, de tráfico y facturación. Veamos una carta tipo de la compañía Movistar: solicita ese permiso “con la finalidad de ofrecerle [al usuario] los productos y servicios de terceras empresas soportados o asociados a las telecomunicaciones y nuevas tecnologías de la información, así como de [el universo se expande] ocio, cultura, seguros, financieros y de asistencia en el hogar, que consideramos podrán ser de su interés”. Por ahora, si el usuario no quiere que sus datos vayan a todas las empresas con las que Telefónica pueda tener acuerdos de este tipo, tiene que comunicarlo de forma explícita, aunque eso se va a acabar con la nueva normativa europea que entrará en vigor en mayo de 2018.
Otras compañías informan al cliente de que no utilizan nombre, teléfono, domicilio ni otros datos personales, pero sí piden permiso para utilizar lo que se llama datos “anonimizados”. Es el caso de la cooperativa Som Energia, que sigue el mismo mecanismo de quien calla otorga para emplear los datos de consumo eléctrico y la tarifa contratada, para que se empleen dentro del proyecto investigador BeeData.
Mucha de la información considerada hoy tan preciosa hasta cierto punto siempre estuvo ahí. Pero de pronto, los expertos hablan sin sonrojo del “nuevo oro negro”. Podemos plantear una especie de renacimiento del análisis de datos, de fervor por extraerles valor.
¿Qué ha cambiado exactamente? “Las tecnologías han cambiado. Antes, almacenar información resultaba carísimo. Hoy, un ordenador puede almacenar tu vida; su capacidad de cómputo y de almacenamiento es enorme, y gracias a la nube puedes acceder a tu información desde distintos lugares”, reflexiona Natividad Duro, directora de la cátedra Cloud Computing y Big Data UNED-Huawei.
Otras cosas también son distintas. El usuario se ha convertido en un publicador de textos, audios y vídeos (produce contenidos, se dice). Se ha abaratado el acceso al hardware. Y software libre como el Apache Hadoop permite procesar grandes volúmenes de datos aprovechando la posibilidad de tener máquinas distribuidas. Así, armados de nuevas herramientas tecnológicas y formación específica, surgen expertos capaces de desmenuzar e interrelacionar muy de prisa el alud de datos, cambiante.
En teoría y con la ley en la mano, cualquier usuario que da sus datos en una transacción, suscripción o para apuntarse a una red social continúa siendo dueño de su información personal. Cualquier plataforma o medio debe asegurar y controlar que se respeta ese derecho, máxime ahora que el reglamento europeo de protección que entrará en vigor en dos años será aún más estricto al respecto. Pero una cosa es la teoría y otra la práctica. “Es complicado tener un control pleno sobre los datos personales que cedemos y, en general, sobre la información publicada”, señala Alonso Hurtado, socio del bufete ECIJA, especializado en derecho a la privacidad, quien también admite “los importantes esfuerzos” de las principales plataformas online para facilitar la gestión de la información de los usuarios y “el aumento permanente de los sistemas de seguridad”.
“El usuario sigue siendo dueño de su información personal, pero por desgracia, desde la perspectiva práctica, cuando cualquiera de nosotros sube información a la Red debe asumir el riesgo de perder el control sobre la misma, por lo que lo recomendable sería pensar dos veces si debemos publicar algo o no y, por supuesto, si el sitio donde se prevé publicar es de confianza o presenta suficientes garantías de protección”, reflexiona por su parte Noemí Brito Izquierdo, miembro del Data Privacy Institute, una iniciativa de ISMS Forum Spain, organización nacida en 2007 para promover la cultura de la seguridad de la información en España.
EL USUARIO ES CORRESPONSABLE
Brito incide en la importancia de una actitud “proactiva” por parte del usuario, que pida aclaraciones, que exija información, que inste a la retirada de datos que no quiera que fluyan por Internet, que lea siempre los términos y las condiciones disponibles antes de publicar nada en Internet. “Se pierde el control sobre los propios datos en gran medida hasta el punto que el usuario permita. No sólo existen obligaciones para las empresas y entidades, hay una suerte de corresponsabilidad del usuario. Muchas veces, por falta de información sobre posibles consecuencias para la identidad y reputación, actuamos de forma impulsiva en Internet”, añade. El hecho de que hoy, con Google, se indexe con facilidad pasmosa cualquier información personal en la Red dificulta el control sobre la misma.
También debemos tener en cuenta, con independencia de la normativa de protección de datos personales, que si publicamos contenidos en una plataforma online, “como regla general los derechos de propiedad intelectual son cedidos a la plataforma online”, apostilla el socio de ECIJA, en la mayoría de casos por el plazo máximo legal que permita la normativa nacional del país donde resida el usuario. Por ejemplo, si colgamos un vídeo en Youtube. “Es un hecho que, con la publicación y comunicación pública de un contenido a una plataforma habiendo aceptado sus condiciones, los derechos quedan, en parte, limitados”, añade Brito.
A pesar de la aparente alegría con la que muchos viertan opiniones en las redes sociales o suban fotografías y comentarios sobre sus vacaciones o su vida privada, las encuestas aseguran que no nos sentimos muy cómodos con la idea de ir dejando huella sobre nosotros, en esencia porque no sabemos qué se hace ni qué se puede hacer con ella. En enero pasado, el Instituto Vodafone difundió un estudio (Transparency and user control critical to the success of Big Data in Europe, 2016) realizado con 8.000 entrevistas a internautas de ocho países europeos. Resultado: el escepticismo ciudadano está muy extendido. Más de la mitad (55%) preferiría pagar por recibir un servicio en lugar de obtenerlo gratis a cambio de ceder datos personales. El 60% de alemanes y españoles sondeados entienden que las compañías que les ofrecen algo gratis lo hacen a cambio de sus datos. Somos los más desconfiados, entendemos que cuando un producto es gratis, el producto seguramente seamos nosotros.
Los datos más sensibles sobre los que los ciudadanos no querrían dejar husmear a nadie son los financieros (en un 90% de casos, los españoles no lo aprobarían). Los datos financieros, junto con los relacionados con la salud, en principio son los materiales más sensibles y también los más controlados, apunta Natividad Duro, de la UNED.
‘MERCADO NEGRO’ DE DATOS
En teoría, si no damos nuestro consentimiento, las empresas no pueden revender nuestros datos a terceros. Pero el abogado Alonso Hurtado habla tanto de un importante mercado legal de compraventa de bases de datos como de un importante “mercado de compraventa de bases de datos ilegales, en los que es relativamente sencillo conseguir una base de datos con millones de correos electrónicos de usuarios, con un coste relativamente bajo”.
Nos hemos convertido en datos; a poder ser con tarjeta de crédito
Los expertos hablan del análisis de datos como el “nuevo oro negro”
No es muy difícil ni caro lograr ilegalmente una base de ‘e-mail’
El Data Privacy Institute considera la venta de nuestros datos a terceros sin nuestra autorización uno de “los principales peligros y amenazas, con independencia de la finalidad pretendida: suplantación, amenazas, coacciones, extorsiones...”. Gotean las noticias sobre ciberataques para robar datos personales en conocidas plataformas online para ponerlas a la venta en la Deep Web (las páginas —la mayoría— no accesibles con buscadores estándar). Uno de los casos sonados fue la venta de más de 200 millones de cuentas en Yahoo por poco más de 3 bitcoins ( 1.615 euros).
Pero la cuestión no va de robar o no robar. O no sólo. La información privada se puede obtener sin tener acceso a los datos, infiriéndola. Ese es un riesgo adicional relacionado con la privacidad sobre el que advierte Pablo Haya, profesor del Máster Experto en Big Data y Data Science de la Universidad Autónoma de Madrid (UAM). Cuanto más sepa el anunciante sobre el usuario que visita la página, más rentable puede salirle la apuesta, porque podrá ajustar mejor el precio de la puja respecto de los rivales. Ahí entran en escena las cookies, que permiten peinar y perfilar a los usuarios. De ahí que tras una consulta en un buscador sobre Libro de buen amor se reciban ofertas de cursos y posgrados de literatura medieval.
Un caso famoso muy ilustrativo es el de la compañía Target, que envió publicidad a una adolescente sobre productos para embarazadas, lo cual provocó la ira del padre de la chica... que finalmente tuvo que disculparse porque la empresa estaba en lo cierto y había inferido el estado de gestación de la chica porque ésta modificó su patrón de compra. “Los algoritmos pueden llegar a tomar decisiones por sí mismos, y no suponen graves problemas si el resultado se queda en el plano de la recomendación, pero sí en otros. Si Amazon te sugiere un libro que no te gusta es una cosa, pero sería distinto si permitiésemos que Amazon comprara por nosotros los libros y nos llegara un bodrio”.
El poso de información que se llega a acumular es tal que incluso están surgiendo empresas que venden servicios alertando de que el 40% de los macrodatos que manejan son innecesarios y alertan de que retenerla genera muchos costes inútiles. Es el caso de la firma Wunderman, que se dedica al llamado customer intelligence, que viene a ser lo mismo de lo que va este artículo: analizar datos de los clientes.
EL PODER DE LAS ‘COOKIES’
“No creo que la mayoría de usuarios sean conscientes de cómo se están utilizando las cookies que se guardan cada vez que entran en un sitio web”, opina el experto de la UAM, que vería interesante “saber el porcentaje de visitantes que primero hace clic en los términos y condiciones y que luego acepta el uso de las cookies”. En su opinión, “las cookies posibilitan el mecanismo de publicidad personalizada más potente que existe”.
ILUSTRACIÓN: PERICO PASTOR
Una propuesta para saber de qué estamos hablando: instalarnos un plug-in en el navegador, permitir que nos vaya mostrando qué cookies vamos almacenando mientras navegamos por medios de comunicación, tiendas o instituciones, ver quién va accediendo a ellas. Dominios irreconocibles aparecerán fichando cada acción. Son nuestro Gran Hermano, pero en versión amigable y, sobre todo, sociable. Haya equipara la gestión de la publicidad en Internet a las casas de subastas: los sitios web ofertan espacios, los anunciantes pujan por ellos vía intermediario.
La Agencia Española de Protección de Datos (AEPD) considera el Big Data “uno de los grandes retos de los próximos años” y, consciente de los límites de trabajar internamente para evaluar sus implicaciones en la protección de datos, lleva tiempo participando en trabajos conjuntos con homólogas de otros países, el llamado Grupo de Berlín, o el que reúne las autoridades del ramo de los países de la Unión Europea.
Una mayoría de usuarios preferiría pagar a dar datos
Cada vez es más difícil conjugar privacidad, libertad y seguridad
Las discusiones legales, sociales y éticas están a la orden del día. Hay sectores que, en el contexto del Big Data, cuestionan la validez de dos principios básicos en el campo de la protección de datos: el de la “limitación de finalidad” (que los datos se recaben con un objetivo determinado, explícito y legítimo y esté clara su reutilización) y el de la “minimización de los datos” (que no se recaben todos los datos posibles, sino los adecuados, pertinentes y no excesivos). Fuentes de la Agencia subrayan, por el contrario, “que no hay motivos parar pensar que esos principios, adecuadamente utilizados, no sean válidos y apropiados” cuando se trate del tratamiento masivo de datos personales de ciudadanos de la UE. Es un mundo nuevo, en el que cada vez parece más difícil conjugar privacidad, libertad y seguridad.
NORMATIVA EUROPEA
Facebook, Google, Twitter... afectados
El nuevo reglamento europeo que regula la protección de datos, que entrará en vigor a partir del 25 de mayo de 2018, relevará a las normas nacionales, que hasta dentro de dos años serán válidas y aplicables, aunque se aconseja a las empresas e instituciones que se vayan adaptando a él. Una de las novedades importantes de la nueva normativa es el hecho de que, con independencia de si las empresas que manejan los datos son europeas o no, lo que importa es dónde residan las personas cuyos datos sean tratados: la UE. Este ha sido uno de los temas complejos, porque gigantes como Facebook, Twitter o Google justificaban su residencia en EE UU para escapar de las normas europeas.
Entre EE UU y la UE acaba de aprobarse, además, un acuerdo de transferencias internacionales de datos denominado Privacy Shield, que sustituye al anterior después de que, el año pasado, el abogado austríaco Max Schrems plantara cara a Facebook y lograra que el Tribunal de Justicia de la UE concluyera que EE UU no garantiza una protección adecuada de los datos personales de los europeos. Sectores críticos, incluido el propio Schrems, insisten sin embargo en que el nuevo acuerdo no cambia gran cosa.
Por otra parte, Bruselas inició en verano una reforma de la llamada e-privacy Directive sobre privacidad en Internet, que culminará a final de año. En algunos aspectos, ambas normas se solapan, en un contexto confuso y de alto voltaje por la tensión desatada tras los atentados reivindicados por el Estado Islámico.