Les xarxes socials i la protecció de dades

729 views

Published on

Presentació de Nacho Alamillo per a les Jornades sobre Administració Electrònica (Terrassa, abril 2012)

Published in: Technology
 • Be the first to comment

 • Be the first to like this

Les xarxes socials i la protecció de dades

 1. 1. Les xarxes socials i la protecció de dades Nacho Alamillo Abril de 2012
 2. 2. Índex– Humans electrònics?– La identitat i reputació a la Web Social– Algunes recomanacions per a la protecció de dades 2
 3. 3. Què és la «identitat»? – 1– Dades (atributs) que ens diferencien suficientment de la resta de persones o entitats, en un àmbit concret. – Ex: Nom i cognoms, nom del pare i mare, codis d’identificació...– La identitat era assignada d’acord amb les Lleis, i pot ser acreditada mitjançant diversos documents. – Identitat personal: Partida de naixement, DNI... – Identitat corporativa: Targeta de treballador o funcionari, de professional col·legiat, d’apoderat d’empresa … – Identitat de client, financera, sanitària ...– A la Web 2.0, les identitats també són assignades pels propis usuaris, a ells mateixos, amb criteris extrajurídics, doncs la identitat ja no és un monopoli estatal. 3
 4. 4. Què és la «identitat»? – 2Tots tenim moltesidentitats parcials,adequades alsdiferents rols iactivitats querealitzem.I això s’had’incrementar! 4
 5. 5. I la «identitat electrònica»? – 1– És un artefacte humà, un document electrònic amb un seguit dinformacions referida a una persona – no la persona en si – emès per la mateixa persona o per tercers, incloent a lEstat, organitzacions públiques i privades, i altres ciutadans.– Característiques de la identitat (OCDE, 2007): – 1. La identitat és essencialment social. Atès que les persones a què es refereix són socials i viuen en societat, requereixen poder reconèixer amb qui interactuen en les seves relacions, especialment quan aquestes relacions són persistents en el temps. – La regulació shauria de formar a partir de la construcció social dels riscos al voltant de la identitat, el seu ús i (possible) mal ús. 5
 6. 6. I la «identitat electrònica»? – 2– 2. La identitat és subjectiva. Tant la percepció del "jo" que tots tenim com les diferents percepcions del "nosaltres" que els altres ens atribueixen constitueixen identitats de tall subjectiu, basades en lexperiència que persona diferents construeixen i que els permeten reconèixer-nos, és a dir, la identitat és una cosa subjectiu a les persones que ens latribueixen.– 3. La identitat és valuosa. Mitjançant lacumulació de dades històriques relatives a les actuacions de les persones, es crea capital informacional que pot ser emprat per establir relacions personalitzades i per prendre decisions en les nostres relacions amb les persones, amb un major grau de confiança, com ha demostrat la teoria de els jocs i, en particular, la gestió de les expectatives. 6
 7. 7. I la «identitat electrònica»? – 3– 4. La identitat és referencial. De fet, una identitat no és una persona, sinó una referència a una persona. Fins i tot en el cas que una persona desenvolupi diversos perfils propis, o si tercers desenvolupen perfils sobre nosaltres, en últim terme el conjunt datributs que identifiquen una persona han de referir-shi de manera fiable.– 5. La identitat és composta. Mentre que algunes informacions són subministrades de forma voluntària per nosaltres mateixos, altres informacions sobre nosaltres són construïdes per tercers, sense la nostra participació.– 6. La identitat és conseqüencial. Com que la informació didentitat parla de les nostres accions passades, la decisió dintercanviar informació didentitat comporta conseqüències: en algunes circumstàncies la divulgació de les informacions podrien generar danys, i en altres casos, precisament és la no divulgació la que pot generar riscos. 7
 8. 8. I la «identitat electrònica»? – 4– 7. La identitat és dinàmica, perquè es troba en canvi i modificació permanent, de manera que qualsevol fitxer amb dades didentitat es pot trobar obsolet en un moment determinat.– 8. La identitat és contextual. Com hem vist anteriorment, les persones tenim diferents identitats (parcials) que podem voler mantenir separades del tot. Atès que la informació pot ser perjudicial emprada en un context erroni, o senzillament ser irrellevant en aquest context, mantenir les identitats segregades entre si ens permet tenir més autonomia.– 9. La identitat és potencialment equívoca, ja que el procés didentificació i associació de dades didentitat és intrínsecament donat a errors. 8
 9. 9. I la «autenticació electrònica»?– És un mecanisme tècnic per a la verificació de la identitat duna persona o sistema – Contrasenyes, estàtiques, dinàmiques, dun sol ús, basades en dispositiu portàtil (com tokens USB). – Certificats digitals X.509 didentitat, emesos per diversos prestadors, a treballadors públics i a ciutadans, especialment en entorns de mobilitat i de tramitació a distància. – Identificacions electròniques nacionals (DNI electrònic). – Tiquets dautenticació remota / delegada, basats en SAML, OpenID, WS-S/WS-I en entorns de treball distribuïts o col · laboradors. – Federacions didentitats i models de gestió de la confiança: OpenIdentityExchange, Kantara, STORK. 9
 10. 10. Persona digital…– Projecció dels drets de la personalitat a lespai dInternet, mitjançant la creació i control dagents dusuari (perfils personals, en alguns casos, avatars), que sutilitzen en les interaccions a Internet, amb suport freqüent en proveïdors de serveis de xarxes socials.– Model caracteritzat per lactuació directa de la persona, més o menys conscient de les implicacions de la seva actuació a Internet, un model contraposat a la gestió pels proveïdors de fitxes o perfils dusuaris passius. 10
 11. 11. Un ecosistema complex d’identitats – 1 11
 12. 12. Un ecosistema complex d’identitats – 2 12
 13. 13. Un ecosistema complex d’identitats – 3 13
 14. 14. Índice– Humans electrònics?– La identitat i reputació a la Web Social– Algunes recomanacions per a la protecció de dades 14
 15. 15. Gestió de la identitat digital a la Web Social – 1– Autenticació i autorització amb OpenID+OAuth 15
 16. 16. Gestió de la identitat digital a la Web Social – 2– Interfície d’usuari (autenticació amb OpenID) 16
 17. 17. Gestió de la identitat digital a la Web Social – 3– Interfície d’usuario (autorització d’aplicacions amb OAuth) 17
 18. 18. Gestió de la identitat digital a la Web Social – 4– Confiança en la identitat basada en perfil de Web Social – Principals amenaces –Robatori didentitat: suplantació didentitat dun usuari concret. –Atac de la Sibil·la: aplicació que genera centenars o milers de perfils falsos de forma automàtica, per produir un engany al sistema, possiblement per al llançament de malware i altres activitats indesitjables. – Mesures de seguretat: –Implantació de mesures de registre didentitat mínimes, en concret – i aquesta és la més comuna – almenys verificar lexistència del compte de correu electrònic (US Gov LOA1) i educació a lusuari per lús responsable del compte. –Anàlisi de tipus estadístic sobre les relacions del graf social duna persona ens pot aportar informació sobre la fiabilitat de la informació continguda en aquest, especialment quan sapliquen tècniques de reputació. 18
 19. 19. Gestió de la identitat digital a la Web Social – 5– Confiança en la identitat basada en perfil de Web Social Retroalimentació dels usuaris de la xarxa social, per exemple mitjançant sistemes de vot i denúncia sobre perfils en els seus cercles de confiança. Tractament específic de tipus de confiança en funció del tipus de relació entre dos perfils, el que redueix els riscos de manipulació de la confiança pels atacs de tipus Sibil·la. Consideració del comportament de lusuari al llarg del temps, per adequar-se a la dinàmica del propi corrent social. 19
 20. 20. Gestió de la identitat digital a la Web Social – 6– Més enllà de la «signatura electrònica»… 3 reptes: – Repte 1: I si deleguem als ciutadans la seva gestió didentitats, capacitats i apoderaments? –Ús de la identitat personal per autoritzar a tercers a tramitar en el nostre nom (la mort del poder notarial?) –Ús de la identitat del representant legal per permetre lautogestió de les autoritzacions i permisos dels treballadors de lempresa, o dels gestors (un nou model de col · laboració social en la gestió). –Ús de la identitat a la Núvol per a lautenticació pel ciutadà dels seus documents en les relacions amb les administracions, i per compartir els documents amb les administracions (i amb les empreses privades). –Ús de la identitat del ciutadà perquè «programi» les seves preferències i desitjos pel que fa a les dades i documents públics a ser accedits i consumits en el futur per lAdministració, en lloc de tràmit a tràmit. 20
 21. 21. Gestió de la identitat digital a la Web Social – 7– Més enllà de la «signatura electrònica»… 3 reptes : – Repte 2: I si acceptem la identitat de les xarxes socials reputacionalmente forts per a activitats administrativa? –Ús didentitats de LinkedIn pels serveis regionals docupació, o en els procediments de contractació de personal. –Ús didentitats de xarxes socials generalistes per a funcions de policia administrativa: mecanismes de resposta ràpida a denúncies. – Repte 3: I si acceptem la potència de lactuació amb protecció de privacitat? –Ús de pseudònimsper a activitats de participació administrativa pels interessats (per exemple, certificats amb el rol «veïnatge» per a consultes municipals). –Ús de les identitats de les xarxes socials generalistes (Facebook, Tuenti) per «reconnectar» amb la ciutadania i escoltar, escoltar ... i intentar entendre les seves necessitats i expectatives ... 21
 22. 22. Índice– Humans electrònics?– La identitat i reputació a la Web Social– Algunes recomanacions per a la protecció de dades 22
 23. 23. Algunes recomanacions – 1– La identitat i la reputació sadquireixen i de mantenen per lindividu. Utilitzar la signatura electrònica que incorpora, generar usuaris i contrasenyes segures en la subscripció de determinats serveis, i en general lús de qualsevol identificador a internet requereix duna conducta activa per part del subjecte.– Obrir un compte en un bloc, en Twitter o en una xarxa social ha de ser una decisió meditada i hem de triar el mitjà més adequat. Una vegada triat el medi lusuari ha daprendre com funciona i les conseqüències jurídiques que es deriven del registre.– El primer garant de la identitat, de la privacitat, de la imatge pública i de la reputació és el propi usuari: els nostres actes ens defineixen. Shan de conèixer les obligacions jurídiques, els termes i condicions o els codis ètics del servei i complir-los escrupolosament.– Sha de ser respectuós amb els drets dels altres complint quan sigui procedent la normativa vigent. El comportament social sha de subjectar a unes mínimes regles de cortesia envers tots els usuaris. 23
 24. 24. Algunes recomanacions – 2– El primer element definidor de la reputació online resulta de la pròpia conducta individual de la qual deriva lestima, o el desmereixent en la consideració aliena.– La Internet del Web 2.0 exigeix ​una actitud vigilant en la comprovació de la informació que publiquen tercers i pugui repercutir sobre la nostra esfera de drets.– Shan de conèixer quins mitjans reactius es compta davant un atac a la identitat o a la reputació, incloent-hi els mecanismes de denúncia interna dels proveïdors, la tutela de l’autoritat de protecció de dades, els canals de denúncia policial – cas de delictes informàtics – o la via judicial.– Trobareu àmplia informació a recursos públics com el CESICAT o INTECO, en especial en relació a persones físiques i menors d’edat, i petites empreses i professionals autònoms. 24
 25. 25. Moltes gràcies! Dubtes?Més informació: Nacho Alamillo E-mail: nacho@astrea.cat 25

×