La Privacidad en la Sociedad de la Infomación: Una taxonomía de la privacidad

  • 2,552 views
Uploaded on

Publicación de la Cátedra Telefónica de Internet de Nueva Generación sobre Privacidad e Identidad Digital en la Red.

Publicación de la Cátedra Telefónica de Internet de Nueva Generación sobre Privacidad e Identidad Digital en la Red.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
2,552
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
57
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. La Privacidad en la Sociedad de la Infromación Una taxonomía de la privacidad A pesar de lo mucho que se habla de privacidad, éste resulta un concepto difícil de definir con precisión. Por una parte la privacidad no puede entenderse de forma independiente de la sociedad y de las necesidades sociales. Como afirma D. Solove (1) (2) (3) la privacidad permite aliviar un cierto rango de fricciones sociales, permite a las personas participar en actividades de valor, individual y social, en formas que de otro modo serían muy difíciles o imposibles. El término privacidad resulta ser según este mismo autor una especie de "paraguas" que cubre un cierto número de elementos, diferentes entre si pero a la vez estrechamente relacionados. En aras de clarificar esta multitud de facetas asociadas a la privacidad vamos a presentar a continuación un resumen de la taxonomía que el referido autor ha elaborado al respecto y que constituye una de las referencias mas importantes. En la referida taxonomía, se identifican cuatro grupos de actividades que forman parte del concepto general de privacidad y que constituyen potencialmente riesgos y problemas para los ciudadanos: 1) Recogida de Información; 2) Procesado de Información: 3) Diseminación de Información; 4) Invasión de la Privacidad. Cada uno de estos grupos se divide a su vez en un cierto numero de subactividades (16 en total). La taxonomía se ha desarrollado poniendo en el centro de la misma a las personas, cuya vida puede verse afectada negativamente por las actividades y subactividades identificadas. La recogida de información puede a veces ser una actividad dañina en si misma, aunque obviamente solo en algunos casos. Aquellas entidades que recogen datos ("data holders", almacenadores de contenidos) pueden también procesarlos, almacenarlos, combinarlos, manipularlos, someterlos a algoritmos de búsqueda de información así como hacer uso de los mismos. Todas estas actividades se denominan de procesado de información. La siguiente etapa es la de diseminación de información, en la cual las entidades que han acumulado y disponen de datos de los usuarios, transfieren los mismos a otras entidades y/o diseminan en abierto la información. Esta cadena, que comienza con la etapa de recogida de información, continúa con la etapa de procesado y finaliza con la de diseminación, supone además una progresiva y creciente disminución del control sobre sus propios datos de las personas sobre las que éstos se recogieron en primer lugar. La ultima clase de actividades en la referida taxonomía es la denominada como invasión, que recoge actividades que inciden y actúan directamente sobre las personas y que no tienen que ver necesariamente con el manejo de información. La relación entre los citados grupos de actividades y subactividades puede verse reflejada en la siguiente figura de D. Solove (1) (2) (3). 1
  • 2. El primer grupo de actividades, como se ha comentado, es el de Recogida de Información y puede resultar en una serie de problemas consecuencia del propio proceso de recogida de informacion, y ésto aunque la información recogida no sea posteriormente diseminada o revelada públicamente. Se identifican dos subactividades: 1) Vigilancia; 2) Interrogación. • Vigilancia: Cuando se realiza de una cierta forma (como por ejemplo la monitorización continua) la vigilancia puede provocar problemas, como por ejemplo sentimientos de ansiedad e incomodidad. El hecho de que una persona se de cuenta de que la están vigilando puede además alterar su comportamiento, desembocando en inhibicion y autocensura. Por otra parte, en muchas ocasiones, la vigilancia puede ser positiva socialmente pero utilizada en un grado excesivo puede afectar negativamente a la libertad individual, la creatividad y el desarrollo de las personas. 2
  • 3. • Interrogación: Interrogación equivale a presionar a las personas para que divulguen información. Por una parte la interrogación puede tener beneficios desde un punto de vista social. Por otra puede provocar daños a las personas. Parte de este daño se deriva del grado de coacción que se haya ejercido. Otro aspecto negativo asociado a la interrogación es su potencial para desembocar en una visión distorsionada de la información conseguida, en función de las habilidades o intenciones (no siempre rectas) de la persona que realice el interrogatorio. El segundo grupo de actividades es el de Procesado de Información, lo que se refiere al uso, almacenamiento y manipulación de los datos que han sido recogidos previamente. Se identifican 5 subactividades; 1) Agregación; 2) Identificación; 3) Inseguridad; 4) Uso secundario; 5) Exclusión. • Agregación: Por agregación se entiende la recolección de información sobre una persona. Un solo dato puede no decir mucho por si mismo pero si se junta con otros muchos, sirve para obtener un retrato bastante completo de esa persona. En este sentido el todo es mayor que la suma de las partes, debido a las sinergias que ese proceso de agregación consigue en muchas ocasiones La consecuencia, es que cuando se analiza la información así agregada pueden salir a la luz hechos sobre una persona que ésta no esperaba en modo alguno fueran divulgados cuando fueron recogidos los diferentes datos de forma aislada. El proceso de agregación se ha vuelto mucho mas poderoso en esta era de las tecnologías de la información. La agregación en si misma no tiene por que ser perjudicial, pero en muchas ocasiones si lo es (por ejemplo, cuando se obtiene un informe mediante 3
  • 4. un proceso de agregación sobre una persona y a continuación se usa para decidir si se le debe conceder o no un crédito, sin que la persona tenga conocimiento ni control efectivo alguno sobre lo que ese informe contiene). • Identificación: La identificación nos permite verificar, por ejemplo, si una persona es el autentico dueño de una cuenta de correo electrónico y tiene derecho a acceder a la misma. La identificación tiene por tanto muchos beneficios pero también puede producir problemas, derivados de que la identificación es un proceso que asocia conjuntos de datos con personas específicas y puede alterar, erroneamente en ocasiones, la opinión sobre ellas de otras personas. También incrementa el poder de los gobiernos sobre los ciudadanos y en este sentido ha sido frecuentemente usada de forma extrema por gobiernos totalitarios para incrementar el grado de control social. Conviene no olvidar que es el anonimato (o pseudo anonimato) lo que protege muchas veces a las personas de ser juzgadas de forma sesgada debido a su identidad y les permite asociarse y votar con mayor libertad y sin temor a represalias. En este sentido los presentes esfuerzos de muchos gobiernos y compañías comerciales para conseguir tener identificados en todo momento a los usuarios de Internet son particularmente preocupantes. • Inseguridad: El robo de identidad es uno de los delitos que están creciendo mas rápidamente dentro del ámbito de Internet y es una de las consecuencias de un grupo de problemas mas amplio que se puede denominar como inseguridad. Inseguridad por tanto se refiere a aquellos problemas causados por la forma en que nuestra información (los informes que sobre la mayoría de nosotros tienen muchas compañías comerciales y agencias gubernamentales) es gestionada y protegida. La mayoría de las leyes y reglamentos referidos a privacidad exigen que esta sea conservada de forma segura (aunque muchas veces, en la práctica, no es así). • Uso secundario: Las leyes y reglamentos referidos a la privacidad suelen obligar a comunicar a los usuarios cual es la utilización principal para la que se recoge una determinada información. Uso secundario se refiere a cuando los datos recogidos se utilizan para propósitos diferentes del inicialmente previsto y sin haber obtenido el consentimiento explícito previo de los usuarios. Como siempre pasa, el uso secundario puede ser útil en muchas ocasiones pero también puede provocar problemas. Así por ejemplo, muchas personas se negarían a proporcionar datos si supieran que mas tarde iban a ser cedidos a terceras empresas para la realización de actividades de telemarketing (llamadas no deseadas). El uso secundario, además, puede crear en las personas una sensación de inseguridad, dada su falta de conocimiento sobre como serán utilizados en el futuro datos que proporcionaron en su día para un propósito muy especifico. • Exclusión: En las normativas sobre privacidad suele haber tres principios relacionados entre si: 1) la existencia de bases de datos que acumulan información sobre las personas no debe mantenerse en secreto; 2) una persona debe tener la capacidad de enterarse que informacion está almacenada sobre ella así como para que propósito está siendo usada dicha información; 3) una persona debe tener la capacidad de corregir cualquier dato erróneo que esté registrado sobre la misma. Exclusión se produce cuando estos principios no se respetan y la persona por tanto ni sabe que información está registrada sobre ella, ni puede por tanto corregir cualquier error que se pueda haber producido. El tercer grupo de actividades es el denominado como de Diseminación de Información y puede resultar en daños a las personas derivados de la revelación de datos personales o de la amenaza de revelación de los mismos. Es el grupo en el que mas subactividades se han identificado, un total de 7. Las citadas subactividades son las siguientes: (1) 4
  • 5. Ruptura de confidencialidad, (2) Revelación; 3) Desenmascaramiento; 4) Incremento de la accesibilidad; 5) Chantaje; 6) Apropiación; 7) Distorsión. • Ruptura de confidencialidad: Puede producir diferentes tipos de problemas y de daños a las personas. Tiene que ver con la revelación de secretos sobre una persona, pero sobre todo significa que se ha quebrado el principio de confianza que se había depositado en una relación determinada. El daño sobre la persona no es solo que se haya revelado un secreto sobre la misma sino que la víctima ha sido traicionada en su confianza. • Revelación: Ocurre cuando se revela (sin autorización) a terceras partes una información cierta sobre una persona, pudiéndose producir un daño de forma asociada a ese proceso de difusión de información. El riesgo de revelación de información puede hacer que las personas se autocensuren a la hora de emprender nuevas actividades, lo que en general cabe calificar como algo negativo para la sociedad, así como llegar a constituir una amenaza para la seguridad física de las personas. En muchas ocasiones, además, la revelación de algún dato (aunque sea correcto) sobre una persona no mejora necesariamente nuestra habilidad para tomar decisiones referidas a nuestra relación con la misma, dado que solo ofrece una visión parcial. Puede convertir, en definitiva, a una persona en prisionera de su pasado. • Desenmascaramiento: Consiste en divulgar ciertos aspectos físicos o emocionales de una persona (por ejemplo fotos de una persona desnuda, en privado). Se refiere a aspectos que las personas suelen asociar con algo realmente privado, pudiendo su difusión producir sentimientos de verguenza y humillación, sin que además esto normalmente nos permita mejorar nuestro conocimiento del carácter o habilidades de esa persona. • Incremento de la accesibilidad: Consiste en mejorar la accesibilidad por parte del público a informaciones que ya previamente eran accesibles, pero de una forma, en la práctica, mas restringida. Las tecnologías de la información han reforzado notablemente este tipo de problemas, toda vez que no es lo mismo tener que acudir a una oficina física para consultar un documento, que poder acceder al mismo a través de Internet y haciendo uso además de las capacidades de los buscadores. De este incremento de la accesibilidad pueden derivarse problemas derivados de la explotación de la información para objetivos distintos de los inicialmente previstos. • Chantaje: Chantaje, como se sabe, consiste en tratar de obtener ventajas de una persona (económicas normalmente) mediante la amenaza de divulgar datos sobre la misma. El chantaje supone control de una persona sobre otra y causa daño no a través de la divulgación de información sino mediante la simple amenaza de hacerlo. • Apropiación: Se produce cuando alguien se aprovecha sin permiso del nombre o reputación de una persona para beneficio propio (por ejemplo usando el nombre de una persona conocida para anunciar un producto, sin el permiso de la misma). • Distorsión: Se refiere a la manipulación de como una persona es percibida por otras, trayendo consigo por tanto la exposición de la misma al público de un modo distorsionado e incorrecto. El cuarto y último grupo de actividades es el denominado como Invasión. Este grupo difiere de los anteriores en que no siempre tiene que ver con el manejo de información. Se identifican dos subactividades : 1) Intrusión; 2) Interferencia decisional. 5
  • 6. • Intrusión: Se refiere a las invasiones o intrusiones en la vida de una persona. Supone molestar a la víctima en sus actividades diarias, alterar sus rutinas, destruir su soledad y concentración haciéndola sentirse incomoda. Proteger a las persona frente a este problema implica proteger el derecho de cada persona a "ser dejada sola" siempre que así lo desee. Intrusión no se refiere solo a invasiones en el espacio físico sino que también puede tener carácter virtual (en Internet) como por ejemplo la recepción de correo basura. • Interferencia decisional: Se refiere a la interferencia de los gobiernos en decisiones de las personas referidas a ciertos aspectos de sus vidas (por ejemplo el debate producido en algunos países en relación al derecho o no de las personas a consumir pornografía en privado) y tiene mucho que ver con el derecho a la privacidad de la información. Como puede derivarse de esta taxonomía, son muchas las facetas asociadas a la privacidad, lo que conviene tener en cuenta para evitar confusiones y estar en condiciones de proteger los derechos de las personas sin llegar por ello a paralizar o dificultar en demasía la evolución y crecimiento de Internet y de la Sociedad de la Información. La privacidad sigue siendo algo muy importante... y cada vez resulta mas difícil de preservar El 10 de diciembre de 1948, la Asamblea General de las Naciones Unidas aprobó y proclamó la Declaración Universal de Derechos Humanos (4). La privacidad formaba parte constituyente de la misma, tal y como puede comprobarse si examinamos los siguientes artículos de la misma: • Artículo 12: " Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques". • Artículo 19: " Todo individuo tiene derecho a la libertad de opinión y de expresión; este derecho incluye el de no ser molestado a causa de sus opiniones, el de investigar y recibir informaciones y opiniones, y el de difundirlas, sin limitación de fronteras, por cualquier medio de expresión". En coherencia con lo anterior, el derecho y la proteccion de la privacidad como derecho fundamental de las personas está recogido y protegido en las legislaciones de la mayoria de los diferentes paises y regiones. Algunas de las principales referencias a este respecto son las siguientes: • España (5) (6) (7) (8) (9) (10): Articulo 18 de la Constitucion Española de 1978, Ley Orgánica 1/1982, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico, Ley 56/2007 de Medidas de Impulso de la Sociedad de la Información, Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos. • Union Europea (11): Directiva 95/46/CE (Directiva sobre protección de datos), Directiva 97/66/CE (se ocupa específicamente de la protección de la intimidad en el sector de las telecomunicaciones). 6
  • 7. • OCDE y otras entidades (12): OECD (2007) Recommendation of the Council on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy; OECD (1980) Guidelines on the Protection of Privacy and Transborder Flows of Personal Data; OECD (2003) Privacy Online - Guidance on Policy and Practical; OECD (2006) Radio-Frequency Identification (RFID) - Drivers, Challenges and Public Policy Considerations; Council of Europe’s 1981 Convention on Privacy. La privacidad, por tanto, siempre ha sido algo muy importante para las personas, y lo sigue siendo en el ámbito de Internet y de la Sociedad de la Información. Un nivel suficiente de protección de datos y de confidencialidad es lo que nos protege frente a delitos electrónicos como el robo de identidad o frente a molestias como el correo basura. La privacidad es lo que hace posible ejercer con confianza el derecho a intercambiar información y opiniones con otras personas y constituye por tanto una de las bases de la democracia. El derecho a estar solos" es lo que nos permite aprender y crecer como personas. ¿Quien sería capaz de hacerlo si todos y cada uno de nuestros pasos fueran registrados y difundidos?. Sin embargo, parece que en estos tiempos cada vez es mas difícil ejercer nuestro derecho a la privacidad, que para conseguir un nivel de privacidad suficientemente alto no nos quedaría mas remedio que dejar de utilizar algunos de los servicios que Internet pone a nuestra disposición (las redes sociales, por ejemplo), una abstención que cada vez es mas imposible dada la progresiva evolución a una sociedad digital en las que mas y mas procesos están intermediados por Internet y sus servicios. Los problemas de la privacidad causados por la tecnología no son algo nuevo. Cabe recordar aquí el artículo que dos abogados de Boston publicaron en 1890 en la "Harvard Law Review", en el que avisaban que las tecnologías invasivas de ese momento amenazaban con hacer públicas hasta las conversaciones y temas mas privados, resaltaban el derecho a la privacidad de las personas y afirmaban el derecho de los ciudadanos a ser indemnizados cuando sus derechos a la privacidad no fueran respetados. Si ya hace un siglo se alertaba frente a los riesgos que la privacidad puede padecer a manos de la tecnología, podríamos llegar a la conclusión de que, aunque el papel de la tecnología es muy relevante, no lo es todo sin embargo y que puede ser que la autentica clave esté en la actitud y las reacciones de las personas, de los usuarios. Una de las consecuencias mas serias de lo que las tecnologías TIC pueden implicar en cuanto a pérdida de privacidad, es que hace posible que quede un rastro prácticamente inborrable relativo a la mayoría de las actividades que las personas realizan. Esa memoria "infinita" es una de las diferencias esenciales respecto a la situación de la privacidad previa a las TIC y constituye algo nuevo, dado que aun no somos capaces de comprender lo que es vivir en una sociedad que "nunca olvida". Otro de los riesgos importantes es que las nuevas generaciones podrían desarrollarse sin valorar la privacidad tanto como las anteriores, perdiendo en un cierto grado control sobre sus propias vidas en favor de los gobiernos y las empresas. Internet, por una parte, nos permite un grado de privacidad sin precedentes. Cabe recordar aquí una famosa viñeta de Pat Steiner en el The New Yorker que decía algo así como "En Internet nadie sabe que eres un perro". Pero junto con esa oportunidad, Internet permite un grado de perdida de privacidad también sin precedentes, y parece que en los últimos años es esa perdida progresiva de privacidad la tendencia mas dominante. Personas como Scott McNealy (fundador de Sun Microsystems) o Mark Zuckerberg (fundador de Facebook) han afirmado (13) (14) que "la edad de la privacidad ha terminado" o que "la privacidad se ha perdido ya sin remedio y lo que debemos hacer es superarlo y no mirar hacia atrás". Sin embargo, no parece que las personas hayan dejado de apreciar los valores y las ventajas que la privacidad les ofrece. En multitud de estudios y encuestas (15), los usuarios han expresado de forma consistente su preocupación por la pérdida de 7
  • 8. privacidad en Internet y por sus consecuencias (por ejemplo la diseminación y utilización incontrolada de los datos acumulados por las empresas y los gobiernos sobre los consumidores y sobre los ciudadanos). Son recurrentes además los "escándalos" que se producen con cierta frecuencia en el ámbito de Internet por razones directamente asociadas a la privacidad (16) (17) (18) (por ejemplo los recientes y serios problemas de Google en el lanzamiento de Buzz, una utilidad asociada a su servicio Gmail de correo electrónico, debido a la extremadamente deficiente gestión de la privacidad en la definición inicial del servicio). En contraste con esta aparentemente clara preocupación de los usuarios, no parece que los usuarios estén haciendo nada realmente eficaz para protegerse. Tampoco parece que , contra lo que esperaba la revista The Economist en un articulo sobre la privacidad en Internet de 1999 (19), las tecnologías de protección de la privacidad hayan avanzado gran cosa hasta ahora, o que haya surgido de forma significativa un nuevo segmento de empresas que proporcionen servicios de protección de la privacidad a los usuarios de Internet. Las que si han progresado de forma muy significativa son las tecnologías que permiten obtener y agregar mas y mas datos sobre los usuarios, siguiendo el interés comercial de las grandes empresas, los actores principales a este respecto, sin olvidar el creciente interés de muchos gobiernos por reducir la privacidad de sus ciudadanos en aras de la lucha contra el terrorismo o contra la evasión fiscal. Para algunos la solución debe pasar, al menos en parte, por la implantación de un sistema robusto de identidad electrónica (20), una especie de pasaporte para Internet, aunque no parece que el acuerdo sea ni mucho menos unánime a este respecto. Es cierto que un esquema adecuado de identidad electrónica serviría para prevenir en gran medida problemas actuales de tanta gravedad como el robo de identidad pero, en todo caso, parece que debería ser compatible con el mantenimiento de esquemas que permitan el anonimato de las personas en sus accesos y utilización de Internet (las personas a veces necesitan un acceso plenamente identificado y a veces un acceso totalmente anónimo, y parece razonable permitir que sean ellas mismas las que decidan cual usar en cada momento). La privacidad en las redes sociales de Internet (por ejemplo: Facebook) La importancia de las redes sociales de Internet no deja de de crecer. Basta para ello darse cuenta de que Facebook ha superado ya los 400 millones de usuarios y recibe en la actualidad mas tráfico que la propia Google (para el caso de Estados Unidos). Si hablamos de privacidad, tiene sentido poner un foco especial en las redes sociales dado su mas que relevante papel actual, de que siguen en pleno desarrollo tanto desde el punto de vista del número de usuarios como de la riqueza funcional de las mismas y de que constituyen cada vez mas el lugar donde los usuarios de Internet se relacionan entre si y comparten todo tipo de datos (con los problemas consiguientes de privacidad que podemos figurarnos). Hace unos pocos meses Facebook cambió su política de privacidad, lo que motivó una gran discusión en la Red y la puesta en foco de la privacidad como uno de los aspectos críticos de las redes sociales. ¿Que resumen se puede hacer de esos recientes cambios en Facebook?. Comentamos a continuación el resumen que a este respecto realizó la EFF (Electronic Frontier Foundation) (21). Los aspectos positivos identificados fueron: 1) una simplificación de la configuración de la privacidad por parte de los usuarios; 2) la eliminación de redes sociales regionales; 8
  • 9. 3) la posibilidad de configurar la privacidad a nivel de aportación ("post") individual; 4) el hecho de que haber cambiado su política de privacidad hizo a muchos usuarios reflexionar (por primera vez en muchos casos) sobre la misma y como debía aplicarse a su caso particular. Los aspectos negativos identificados fueron: 1) la configuración por defecto de la privacidad, que pasó a ser mucho mas abierta que la anterior lo que tiene gran importancia si se tiene en cuenta que mas del 80% de los usuarios nunca cambian la configuración de la privacidad que les da Facebook por defecto; 2) que ahora algunas informaciones asociadas al perfil del usuario deben ser compartidas de forma obligatoria en el ámbito mas amplio (antes no era así, sino que lo definía el usuario); 3) que las aplicaciones desarrolladas en Facebook tienen un acceso mucho mas amplio que antes a los datos de los usuarios y, además, sin que estos puedan restringir ese acceso. El paso fue en definitiva hacia "obligar" a los usuarios a compartir mucha mas información que antes (con toda probabilidad debido a los intereses comerciales de Facebook), quitándoles además algunos grados de control del nivel de privacidad de que antes disponían. Este interés económico que las redes sociales tienen en que los usuarios de las mismas compartan información de la forma mas amplia posible, explica también muy probablemente por qué en la mayoría ellas no es fácil controlar el nivel de privacidad (22) (debido a una usabilidad deficiente). Por supuesto los usuarios tienen a su alcance mecanismos de control en su utilización de redes como Facebook, y pueden minimizar los problemas que se pueden derivar de una compartición demasiado amplia o poco cuidadosa. Puede resultar útil repasar aquí los consejos que a este respecto (y para el caso de Facebook) proporcionaba recientemente un articulo del New York Times (23) . Los referidos consejos eran los siguientes: 1) preparar listas de tus amigos, clasificando a todos dentro de un cierto numero de grupos distintos y segregados entre si (esta es probablemente la medida mas útil de todas, toda vez que permite a la persona separar claramente sus diferentes ámbitos de relación - así por ejemplo y obviamente: no se comparten las mismas cosas con tu abuela o con tus padres que con tus amigos); 2) acceder a tu menú de privacidad y configurar cuidadosamente las distintas opciones disponibles; 3) configurar con especial cuidado quien tiene acceso a tus datos de dirección y número de teléfono; 4) configurar quien tiene acceso a encontrarte mediante la utilización del buscador de Facebook; 5) configurar que tipos de aplicaciones tienen acceso a tus datos de usuario. Todas las anteriores son medidas posibles y útiles, pero llevadas a la practica hasta ahora por solo una minoría de los usuarios, en parte por una usabilidad aun muy mejorable. A efectos de ilustrar este aspecto, en las siguientes figuras pueden verse algunas de las ventanas de configuración de la privacidad en Facebook y los diferentes parámetros presentes en las mismas. 9
  • 10. 10
  • 11. 11
  • 12. Otro de los aspectos problemáticos relativos a la privacidad en las redes sociales en Internet, es la cada vez mas demostrada posibilidad técnica (24) (25) (26) (27) de eliminar el anonimato en las mismas de forma automática mediante el recurso a algoritmos que trabajan sobre el grafo social y a los que parece que basta para comenzar con tener identificados solo a un pequeño porcentaje de los usuarios (unas pocas decenas de usuarios de los que se conozca su identidad pueden servir de "semilla" para acabar identificando a decenas de miles de usuarios). En este sentido trabajar en técnicas que permitan revertir o al menos controlar suficientemente este tipo de problemas parece algo realmente necesario, si se desea tener un equilibrio razonable entre privacidad y riqueza funcional en las redes sociales. Un tema también interesante es tratar de entender por que se producen tantos problemas en las redes sociales con la compartición de información de formas o con un alcance no previsto inicialmente por los usuarios (por ejemplo, el caso de la abuela que puede ver fotos "inconvenientes" de su nieta en una fiesta, fotos estas que su nieta hubiera preferido que no hubiera visto). ¿Por qué los usuarios tienen tantos problemas para visualizar con anticipación el grado de compartición que van a tener sus contenidos?. ¿Por qué aparecen con tanta frecuencia lo que se denomina como "audiencias invisibles", esto es: personas que comparten nuestros datos pero con las que nunca habíamos contado inicialmente?. La respuesta típica de que la realidad es que los usuarios no se preocupan gran cosa por la privacidad no parece sostenerse, si hacemos caso de algunas encuestas (28) que de forma sistemática identifican el control de la privacidad como una de las principales preocupaciones de los usuarios (en Internet en general y también para las redes sociales). Una explicación mas adecuada (29) (según se explica en un reciente articulo de Chris Peterson) es que las redes sociales actualmente no permiten, o no facilitan suficientemente, que las interacciones sociales de sus usuarios, Facebook por ejemplo, se realicen respetando el contexto de las mismas y de un modo similar a como éstas se realizan en la vida "real". El típico ejemplo aquí es el de la persona que, lógicamente, interacciona y comparte de modos muy distintos con su grupo de amigos, con sus padres, con sus profesores o con su abuela (como en el ejemplo anterior). Aunque, como en el caso de Facebook, si sea posible crear grupos de amigos y respetar por tanto el contexto de las diferentes relaciones de cada persona, esta funcionalidad no suele ser demasiado conocida por los usuarios, no suele tener una usabilidad lo bastante buena y/o no es lo suficientemente destacada y publicitada por la propia Facebook. Si las interacciones y las comparticiones son demasiado planas (todos con todos) no es de extrañar que se produzcan todo tipo de problemas de privacidad. Por otra parte, y esto es un elemento positivo, el que esto sea así no deja de ser un problema de diseño de las redes sociales. Parece perfectamente posible rediseñar 12
  • 13. las mismas de modo que sea mucho mas sencillo para los usuarios acomodar sus interacciones sociales en Internet a los contextos asociados a los distintos tipos de relaciones que mantienen, siendo así mucho mas capaces de controlar y visualizar con suficiente precisión el alcance y el ámbito en el que se va a compartir cada elemento de información que aportan. Es mas, una evolución de este tipo parecería que solo puede ir a favor de los intereses (al menos a medio y largo plazo) de empresas como Facebook, toda vez que estarán respetando y adaptándose mucho mejor a los auténticos intereses de los usuarios (si es que creemos en la sinceridad de los usuarios, cuando manifiestan su preocupación por los problemas de privacidad de las redes sociales en Internet). En el inicio de Facebook no eran tan necesarios los citados mecanismos de adaptación al contexto de cada relación, toda vez que los usuarios iniciales tenían en su gran mayoría una misma procedencia (universitarios) pero obviamente, cuando se cuenta con mas de 400 millones de usuarios esto ya no puede ser así. Las redes sociales, como Facebook, pueden hacer mucho por si mismas para solucionar en gran medida los problemas de privacidad que ahora mismo padecen sus usuarios. El que lo puedan hacer por si mismas (autoregulación) o que necesiten la "ayuda" de las autoridades regulatorias es algo que el tiempo dirá pero, en cualquier caso, el que la situación actual de la privacidad en las redes sociales en Internet debe mejorar de forma sustancial parece algo irrrenunciable para los usuarios. El futuro de la privacidad en Internet y la Sociedad de la Informacion La privacidad es un tema cada vez de mas actualidad tal y como nos podemos dar cuenta a partir de solo algunos de los últimos casos que, a este respecto, han sido objeto de la atención publica en los últimos meses: • El desarrollo de KDDI de un teléfono móvil que es capaz de registrar los movimientos físicos y la posición de los empleados que los llevan, transmitiendo la misma a servidores situados en la Red (el espionaje de las empresas a sus empleados llevado a uno de sus extremos) (16). • Los empleados de la empresa Dixon's del Reino Unido, que llamaron estúpidos a sus clientes en una pagina de Facebook asociada a su empresa (con el desastre de relaciones públicas consiguiente) (30). • El espionaje a alumnos de una escuela de secundaria de Estados Unidos, por medio de las webcam de los ordenadores portátiles que habían proporcionado a los mismos (31). • Las sospechas (parece que bastante fundadas) de que agentes del FBI están empezando a infiltrarse en Facebook para obtener información para sus investigaciones (y probablemente lo mismo podría aplicarse a otros países) (32). • El debate surgido a partir del último cambio de política de privacidad en Facebook (21), (23). Cabe resaltar, en relación por ejemplo con el caso de KDDI descrito anteriormente, que el progreso de la tecnología está abriendo la puerta a niveles de interferencia con la privacidad impensables hasta ahora. Esto ha llevado a algunos expertos a argumentar 13
  • 14. que estamos en un momento decisivo y que es ("ahora o nunca") el momento de que los usuarios defiendan su derecho a la privacidad en el ámbito de Internet y de la Sociedad de la Información y exijan a los proveedores de servicio y a los gobiernos un cambio de rumbo y la puesta en marcha de las medidas necesarias (incluyendo el recurso a medidas de carácter regulatorio, si fuera preciso). Algunas opiniones son claramente pesimistas a este respecto por ejemplo la de Nicholas Carr (33) (autor del blog "Rough Type" y del libro "The Big Switch”) que dijo recientemente: "Para 2020, Internet habrá permitido la monitorización y manipulación de las personas por parte de las compañías comerciales y los gobiernos a una escala antes inimaginable. La mayoría de las personas habrán aceptado esta situación de falta de privacidad - de forma consciente o inconsciente - debido a ciertas ventajas asociadas con el consumo de bienes, como por ejemplo un proceso de compra mas sencillo o unos precios mas reducidos. El resultado será que la linea entre el marketing y la manipulación se habrá difuminado en gran medida". Todo esto, por tanto, nos lleva a recalcar la urgencia de desarrollar las diferentes vías que existen para tratar de llegar a una situación de equilibrio razonable entre los derechos a la privacidad de los ciudadanos y el desarrollo de la Sociedad de la Información y de Internet, entre ellas posiblemente: • Adoptando nuevas medidas legales y regulatorias (seguramente imprescindibles). No parece probable que un enfoque basado únicamente en la autoregulación sea suficiente a este respecto. Parece necesario el dialogo directo (y detallado) entre las autoridades de regulación (agencias de protección de datos) y los proveedores de servicios (como Facebook) como forma de progresar en la solución de los problemas de privacidad (34) (ver por ejemplo el informe de la agencia de protección de datos de Canadá sobre el estado de la privacidad en Facebook). • Desarrollando tecnologías que protegan y potencien la privacidad, dando a los usuarios los niveles de control que precisan, y promoviendo el desarrollo de un mercado de productos y servicios asociados a la privacidad. Los aspectos relacionados con la usabilidad parecen en este caso especialmente relevantes. • Considerando de modo especifico los problemas asociados a la privacidad en lo que respecta a los servicios en la "nube" (35) (36). • Evitando que la necesaria protección de los derechos de propiedad intelectual se realice a costa de conculcar los derechos a la privacidad de los ciudadanos (37) (ver por ejemplo el documento preparado por el EPDS de la Union Europea en relación a negociación del ACTA - secreta en el momento de preparación de este articulo - según el cual pueden estarse considerando medidas claramente invasivas de la privacidad). • Incorporando desde el principio la gestión y protección de la privacidad como uno de los aspectos claves a la hora de diseñar un nuevo producto o servicio. • Generalizando la utilización de las técnicas de protección de la privacidad (PET) y de las evaluaciones de impacto en la privacidad (PIA) como medidas significativas para un mejor cumplimiento de los estándares de privacidad • Mejorando la formación de los empleados de las empresas en relación con los temas y problemas que pueden surgir de forma asociada a la privacidad (38). • Sensibilizando y proporcionando mas formación a los ciudadanos en general, en relación con los temas asociados a la privacidad. 14
  • 15. Como ya se ha mencionado, la mayoría de las encuestas parecen dejar claro que los ciudadanos no solo no renuncian (¿por el momento?) a disponer de niveles de privacidad razonables en su utilización de Internet sino que están mas sensibilizados y preocupados que nunca a este respecto (¿seguirá esto siendo así en el futuro para las generaciones mas jóvenes?). La preservación de niveles adecuados de privacidad en el acceso a Internet y a sus servicios no solo no tiene por que ir en contra del desarrollo de Internet sino que con toda probabilidad puede constituir uno de los factores clave para que éste continué sin sobresaltos excesivos y con un equilibrio razonable. Las experiencias recientes a este respecto de empresas como Google en relación con su lanzamiento de Buzz han dejado claro que, al menos en cierto ámbito, el no darle suficiente prioridad a los aspectos ligados a la privacidad a la hora de diseñar un servicio puede ser una táctica cercana a suicida. Como resumen final, las aspiraciones de la comunidad ligada a Internet, en lo relativo al derecho a la privacidad de los ciudadanos, pueden resumirse bien con el manifiesto (39) que a este respecto se firmó en noviembre del pasado año con ocasión de la celebración en Madrid de la 31ª reunión anual de la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad. Puede merecer la pena copiar aquí en su integridad el citado manifiesto: La Declaración de la Sociedad Civil; Madrid, España; 3 de Noviembre de 2009 • Afirmando que la privacidad es un derecho humano fundamental consagrado en la Declaración Universal de Derechos Humanos, el Convenio Internacional sobre Derechos Civiles y Políticos, y en otros instrumentos de derechos humanos así como constituciones nacionales; • Recordando a los países miembros de la UE sus obligaciones de hacer cumplir las disposiciones de la Directiva de Protección de Datos de 1995 y la Directiva de Comunicaciones Electrónicas de 2002; • Recordando a otros países miembros de la OCDE sus obligaciones de mantener los principios que se exponen en las Directrices de Privacidad OCDE de 1980; • Recordando a todos los países sus obligaciones de salvaguardar las garantías individuales tanto de sus ciudadanos como de sus residentes, establecidos en sus constituciones, sus leyes nacionales así como en las normas internacionales sobre derechos humanos; • Anticipando la entrada en vigor de las disposiciones que fortalecerán los derechos Constitucionales de privacidad y protección de datos de carácter personal en la Unión Europea; • Alarmados ante la espectacular expansión de la vigilancia ilícita y secreta, así como ante la creciente colaboración entre gobiernos y proveedores de tecnologías de vigilancia con el fin de establecer nuevas formas de control social; • Destacando que las nuevas estrategias de investigación sobre derechos de autor y contenidos ilícitos ponen en peligro el secreto de las comunicaciones, la libertad de pensamiento y el proceso legalmente establecido; • Aún más, destacando no sólo la creciente consolidación de servicios basados en Internet sino el hecho de que algunas empresas estén adquiriendo ingentes cantidades de datos de caracter personal sin supervisión independiente; 15
  • 16. • Advirtiendo que tanto las leyes sobre privacidad como las instituciones encargadas de velar por la privacidad no han tenido en consideración, en toda su extensión, las nuevas prácticas de vigilancia, incluyendo la selección basada en la conducta, las bases de datos de ADN y otros identificadores biométricos, el cruce de bases de datos entre el sector público y el privado, así como los riesgos específicos para grupos vulnerables, incluidos niños, migrantes y minorías; • Advirtiendo que el fracaso en la salvaguarda de la privacidad pone en peligro otras libertades asociadas, incluida la libertad de expresión, la libertad de asociación, la libertad de acceso a la información, el derecho a la no discriminación, y, en definitiva, la estabilidad de las democracias constitucionales; • La Sociedad Civil aprovecha la oportunidad de la 31ª reunión anual de la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad para: (1) Ratificar el apoyo a un marco global de prácticas justas sobre la información que establezca obligaciones a los que recogen y procesan información personal, y conceda derechos a aquéllos cuya información personal se recoge; (2) Ratificar el apoyo a aquellas autoridades independientes de protección de datos que adopten sus decisiones de forma transparente y sin ventaja comercial o influencia política, dentro del marco que las leyes establecen; (3) Ratificar el apoyo a las técnicas de protección de la privacidad (PET), que minimicen o eliminen la recogida de datos personales, así como la realización de evaluaciones de impacto en la privacidad (PIA) significativas para el cumplimiento con los estándares de privacidad; (4) Exhortar a los países que no hayan ratificado la Convención 108 del Consejo de Europa junto con el Protocolo de 2001 para que lo hagan con la mayor celeridad; (5) Exhortar a los países que aún no hayan establecido un marco exhaustivo para la protección de la privacidad ni una autoridad independiente para la protección de datos personales para que lo hagan con la mayor celeridad; (6) Exhortar a aquellos países que hayan establecido marcos legales para la protección de la privacidad a que aseguren un cumplimiento y observancia efectiva de la ley y a colaborar tanto a nivel internacional como regional; (7) Exhortar a los países para asegurarse que los individuos sean inmediatamente notificados cuando su información personal sea revelada de forma inapropiada o usada para finalidades distintas para la que fue recogida o recabada; (8) Recomendar una investigación exhaustiva sobre la adecuación de las técnicas de anonimización para determinar si las mismas salvaguardan, en la práctica, la privacidad y el anonimato; (9) Solicitar una moratoria en el desarrollo o implantación de nuevos sistemas de vigilancia de masas, incluido el reconocimiento facial, la toma de imágenes de cuerpo entero, el escaneo del cuerpo humano, identificaciones biométricas, y las etiquetas con tecnología RFID, y que sean sujetos a una evaluación completa y transparente por parte de autoridades independientes y sujeto al debate democrático; 16
  • 17. (10) Hacer un llamado para el establecimiento de un nuevo marco internacional para la protección de la privacidad, con la plena participación de la sociedad civil, basado en el imperio de la ley, el respeto a los derechos humanos y el apoyo a las instituciones democráticas. Referencias (1) A taxonomy of privacy; D. Solove; University of Pennsylvania Law Review; January 2006 (2) "I've nothing to hide" and other misunderstandings of privacy; D. Solove; George Washington University Law School; July 2008 (3) Understanding privacy; D. Solove; Harvard University Press; May 2008 (4) http://www.un.org/es/documents/udhr/ (5) Agencia Española de Proteccion de Datos; Memoria 2008 (6) INTECO; Estudio "La privacidad de los datos personales y la seguridad de la informacion en las redes sociales online"; febrero 2009 (7) INTECO; Estudio "La seguridad de la informacion y la e-confianza de los hogares españoles"; Primer trimestre 2009 (8) INTECO; Guia legal "Proteccion del derecho al honor, a la intimidad y a la propia imagen en Internet" (9) INTECO; Guia legal "Privacidad en Internet" (10) INTECO; Guia legal "Redes sociales., menores de edad y privacidad en la Red" (11) http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm (12) http://www.oecd.org/department/0,3355,en_2649_34255_1_1_1_1_1,00.html (13) http://www.readwriteweb.com/archives/ facebooks_zuckerberg_says_the_age_of_privacy_is_ov.php (14) http://www.wired.com/politics/law/news/1999/01/17538 (15) http://www.nokiasiemensnetworks.com/press/press-releases/survey-shows-us- and-canadian-consumers-feel-they-lack-control-over-personal-dat (16) http://news.bbc.co.uk/2/hi/8559683.stm (17) http://www.youtube.com/watch?v=Vza_bMuy42M&feature=related (18) http://www.infoworld.com/d/adventures-in-it/oh-google-why-do-you-do-us- wrong-012?page=0,0 (19) http://web.ics.purdue.edu/~felluga/privacy2.html (20) http://www.technologyreview.com/web/22831/ (21) http://www.eff.org/deeplinks/2009/12/facebooks-new-privacy-changes-good-bad- and-ugly 17
  • 18. (22) http://www.cl.cam.ac.uk/~jcb82/doc/privacy_social_networks.pdf (23) http://www.nytimes.com/external/readwriteweb/2009/09/16/ 16readwriteweb-5-easy-steps-to-stay-safe-and-private-on-fac-6393.html?em (24) A practical way to de-anonymize social networks users; G. Wondracek et al; Technical Report TR-iSecLab-0110-001; http://www.iseclab.org/papers/sonda-TR.pdf (25) De-anonymizing social networks; A. Narayanan et al; The University of Texas at Austin; http://userweb.cs.utexas.edu/~shmat/shmat_oak09.pdf (26) http://www.schneier.com/blog/archives/2009/05/on_the_anonymit.html (27) http://www.technologyreview.com/web/22593/?a=f (28) http://www.wired.com/politics/security/commentary/securitymatters/2006/05/ 70886 (29) Losing face: An environmental analysys of privacy on Facebook; C. Peterson; Draft for comment; January 2010; http://www.cpeterson.org/2010/01/06/losing-face-an- environmental-analysis-of-privacy-on-facebook/ (30) http://news.bbc.co.uk/2/hi/8241509.stm (31) http://www.infoworld.com/d/adventures-in-it/when-schools-spy-their-students- bad-things-happen-474 (32) http://www.infoworld.com/d/adventures-in-it/fbi-facebook-watching-every-move- you-make-954 (33) http://www.roughtype.com/archives/2010/01/other_peoples_p.php (34) http://www.priv.gc.ca/cf-dc/2009/2009_008_0716_e.cfm (35) http://cordis.europa.eu/fp7/ict/ssai/docs/cloudevent-barcelo_en.pdf (36) http://www.infoworld.com/d/the-industry-standard/why-privacy-laws-should-make- you-think-twice-about-the-cloud-692?source=IFWNLE_nlt_wrapup_2010-03-31 (37) http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/ Consultation/Opinions/2010/10-02-22_ACTA_EN.pdf (38) http://www.informationweek.com/news/global-cio/ showArticle.jhtml?articleID=18901849 (39) http://thepublicvoice.org/madrid-declaration/es/ Algunas Web de interés: (1) http://www.iusmentis.com/technology/remailers/index.html (2) http://dataprivacyday2010.org/ (3) http://www.digitaldueprocess.org/ index.cfm?objectid=37940370-2551-11DF-8E02000C296BA163 18
  • 19. (4) http://epic.org/ (5) http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm (6) http://www.cl.cam.ac.uk/~jcb82/publications.html (7) http://kidsprivacy.org/ (8) http://www.michaelgeist.ca/content/view/4530/408/ (9) http://www.oecd.org/department/0,3355,en_2649_34223_1_1_1_1_1,00.html (10) http://www.priv.gc.ca/index_e.cfm (11) http://www.w3.org/P3P/ (12) http://www.privacyrights.or (13) http://www.eff.org/issues/privacy (14) http://privacy.org/ (15) http://www.teneros.com/socialsentry/ (16) http://www.inteco.es/ (17) https://www.agpd.es (18) http://www.pogowasright.org 19