la privacidad en la sociedad de la infomación: una taxonomía de la privacidad
DESCRIPTION
Publicación de la Cátedra Telefónica de Internet de Nueva Generación sobre Privacidad e Identidad Digital en la Red.TRANSCRIPT
La Privacidad en la Sociedad de laInfromación
Una taxonomía de la privacidad
A pesar de lo mucho que se habla de privacidad, éste resulta un concepto difícil de definircon precisión. Por una parte la privacidad no puede entenderse de forma independientede la sociedad y de las necesidades sociales. Como afirma D. Solove (1) (2) (3) laprivacidad permite aliviar un cierto rango de fricciones sociales, permite a las personasparticipar en actividades de valor, individual y social, en formas que de otro modo seríanmuy difíciles o imposibles. El término privacidad resulta ser según este mismo autoruna especie de "paraguas" que cubre un cierto número de elementos, diferentes entre sipero a la vez estrechamente relacionados. En aras de clarificar esta multitud de facetasasociadas a la privacidad vamos a presentar a continuación un resumen de la taxonomíaque el referido autor ha elaborado al respecto y que constituye una de las referenciasmas importantes.
En la referida taxonomía, se identifican cuatro grupos de actividades que forman parte delconcepto general de privacidad y que constituyen potencialmente riesgos y problemaspara los ciudadanos: 1) Recogida de Información; 2) Procesado de Información: 3)Diseminación de Información; 4) Invasión de la Privacidad. Cada uno de estos gruposse divide a su vez en un cierto numero de subactividades (16 en total). La taxonomía seha desarrollado poniendo en el centro de la misma a las personas, cuya vida puede verseafectada negativamente por las actividades y subactividades identificadas.
La recogida de información puede a veces ser una actividad dañina en si misma,aunque obviamente solo en algunos casos. Aquellas entidades que recogen datos ("dataholders", almacenadores de contenidos) pueden también procesarlos, almacenarlos,combinarlos, manipularlos, someterlos a algoritmos de búsqueda de información asícomo hacer uso de los mismos. Todas estas actividades se denominan de procesadode información. La siguiente etapa es la de diseminación de información, en la cuallas entidades que han acumulado y disponen de datos de los usuarios, transfieren losmismos a otras entidades y/o diseminan en abierto la información.
Esta cadena, que comienza con la etapa de recogida de información, continúa con laetapa de procesado y finaliza con la de diseminación, supone además una progresiva ycreciente disminución del control sobre sus propios datos de las personas sobre las queéstos se recogieron en primer lugar.
La ultima clase de actividades en la referida taxonomía es la denominada como invasión,que recoge actividades que inciden y actúan directamente sobre las personas y que notienen que ver necesariamente con el manejo de información. La relación entre loscitados grupos de actividades y subactividades puede verse reflejada en la siguientefigura de D. Solove (1) (2) (3).
1
El primer grupo de actividades, como se ha comentado, es el de Recogida de Informacióny puede resultar en una serie de problemas consecuencia del propio proceso de recogidade informacion, y ésto aunque la información recogida no sea posteriormente diseminadao revelada públicamente. Se identifican dos subactividades: 1) Vigilancia; 2)Interrogación.
• Vigilancia: Cuando se realiza de una cierta forma (como por ejemplo lamonitorización continua) la vigilancia puede provocar problemas, como porejemplo sentimientos de ansiedad e incomodidad. El hecho de que una personase de cuenta de que la están vigilando puede además alterar sucomportamiento, desembocando en inhibicion y autocensura. Por otra parte, enmuchas ocasiones, la vigilancia puede ser positiva socialmente pero utilizadaen un grado excesivo puede afectar negativamente a la libertad individual, lacreatividad y el desarrollo de las personas.
2
• Interrogación: Interrogación equivale a presionar a las personas para quedivulguen información. Por una parte la interrogación puede tener beneficiosdesde un punto de vista social. Por otra puede provocar daños a las personas.Parte de este daño se deriva del grado de coacción que se haya ejercido. Otroaspecto negativo asociado a la interrogación es su potencial para desembocaren una visión distorsionada de la información conseguida, en función de lashabilidades o intenciones (no siempre rectas) de la persona que realice elinterrogatorio.
El segundo grupo de actividades es el de Procesado de Información, lo que se refiere aluso, almacenamiento y manipulación de los datos que han sido recogidos previamente.Se identifican 5 subactividades; 1) Agregación; 2) Identificación; 3) Inseguridad; 4)Uso secundario; 5) Exclusión.
• Agregación: Por agregación se entiende la recolección de información sobre unapersona. Un solo dato puede no decir mucho por si mismo pero si se junta conotros muchos, sirve para obtener un retrato bastante completo de esa persona.En este sentido el todo es mayor que la suma de las partes, debido a las sinergiasque ese proceso de agregación consigue en muchas ocasiones La consecuencia,es que cuando se analiza la información así agregada pueden salir a la luz hechossobre una persona que ésta no esperaba en modo alguno fueran divulgadoscuando fueron recogidos los diferentes datos de forma aislada. El proceso deagregación se ha vuelto mucho mas poderoso en esta era de las tecnologías de lainformación. La agregación en si misma no tiene por que ser perjudicial, pero enmuchas ocasiones si lo es (por ejemplo, cuando se obtiene un informe mediante
3
un proceso de agregación sobre una persona y a continuación se usa para decidirsi se le debe conceder o no un crédito, sin que la persona tenga conocimiento nicontrol efectivo alguno sobre lo que ese informe contiene).
• Identificación: La identificación nos permite verificar, por ejemplo, si unapersona es el autentico dueño de una cuenta de correo electrónico y tiene derechoa acceder a la misma. La identificación tiene por tanto muchos beneficios perotambién puede producir problemas, derivados de que la identificación es unproceso que asocia conjuntos de datos con personas específicas y puede alterar,erroneamente en ocasiones, la opinión sobre ellas de otras personas. Tambiénincrementa el poder de los gobiernos sobre los ciudadanos y en este sentidoha sido frecuentemente usada de forma extrema por gobiernos totalitarios paraincrementar el grado de control social. Conviene no olvidar que es el anonimato(o pseudo anonimato) lo que protege muchas veces a las personas de serjuzgadas de forma sesgada debido a su identidad y les permite asociarse y votarcon mayor libertad y sin temor a represalias. En este sentido los presentesesfuerzos de muchos gobiernos y compañías comerciales para conseguir teneridentificados en todo momento a los usuarios de Internet son particularmentepreocupantes.
• Inseguridad: El robo de identidad es uno de los delitos que están creciendo masrápidamente dentro del ámbito de Internet y es una de las consecuencias deun grupo de problemas mas amplio que se puede denominar como inseguridad.Inseguridad por tanto se refiere a aquellos problemas causados por la forma enque nuestra información (los informes que sobre la mayoría de nosotros tienenmuchas compañías comerciales y agencias gubernamentales) es gestionada yprotegida. La mayoría de las leyes y reglamentos referidos a privacidad exigenque esta sea conservada de forma segura (aunque muchas veces, en la práctica,no es así).
• Uso secundario: Las leyes y reglamentos referidos a la privacidad suelen obligara comunicar a los usuarios cual es la utilización principal para la que se recogeuna determinada información. Uso secundario se refiere a cuando los datosrecogidos se utilizan para propósitos diferentes del inicialmente previsto y sinhaber obtenido el consentimiento explícito previo de los usuarios. Como siemprepasa, el uso secundario puede ser útil en muchas ocasiones pero tambiénpuede provocar problemas. Así por ejemplo, muchas personas se negarían aproporcionar datos si supieran que mas tarde iban a ser cedidos a tercerasempresas para la realización de actividades de telemarketing (llamadas nodeseadas). El uso secundario, además, puede crear en las personas unasensación de inseguridad, dada su falta de conocimiento sobre como seránutilizados en el futuro datos que proporcionaron en su día para un propósito muyespecifico.
• Exclusión: En las normativas sobre privacidad suele haber tres principiosrelacionados entre si: 1) la existencia de bases de datos que acumulaninformación sobre las personas no debe mantenerse en secreto; 2) una personadebe tener la capacidad de enterarse que informacion está almacenada sobreella así como para que propósito está siendo usada dicha información; 3) unapersona debe tener la capacidad de corregir cualquier dato erróneo que estéregistrado sobre la misma. Exclusión se produce cuando estos principios no serespetan y la persona por tanto ni sabe que información está registrada sobreella, ni puede por tanto corregir cualquier error que se pueda haber producido.
El tercer grupo de actividades es el denominado como de Diseminación de Informacióny puede resultar en daños a las personas derivados de la revelación de datos personaleso de la amenaza de revelación de los mismos. Es el grupo en el que mas subactividadesse han identificado, un total de 7. Las citadas subactividades son las siguientes: (1)
4
Ruptura de confidencialidad, (2) Revelación; 3) Desenmascaramiento; 4) Incremento dela accesibilidad; 5) Chantaje; 6) Apropiación; 7) Distorsión.
• Ruptura de confidencialidad: Puede producir diferentes tipos de problemas y dedaños a las personas. Tiene que ver con la revelación de secretos sobre unapersona, pero sobre todo significa que se ha quebrado el principio de confianzaque se había depositado en una relación determinada. El daño sobre la personano es solo que se haya revelado un secreto sobre la misma sino que la víctima hasido traicionada en su confianza.
• Revelación: Ocurre cuando se revela (sin autorización) a terceras partes unainformación cierta sobre una persona, pudiéndose producir un daño de formaasociada a ese proceso de difusión de información. El riesgo de revelaciónde información puede hacer que las personas se autocensuren a la hora deemprender nuevas actividades, lo que en general cabe calificar como algonegativo para la sociedad, así como llegar a constituir una amenaza para laseguridad física de las personas. En muchas ocasiones, además, la revelación dealgún dato (aunque sea correcto) sobre una persona no mejora necesariamentenuestra habilidad para tomar decisiones referidas a nuestra relación con la misma,dado que solo ofrece una visión parcial. Puede convertir, en definitiva, a unapersona en prisionera de su pasado.
• Desenmascaramiento: Consiste en divulgar ciertos aspectos físicos o emocionalesde una persona (por ejemplo fotos de una persona desnuda, en privado). Serefiere a aspectos que las personas suelen asociar con algo realmente privado,pudiendo su difusión producir sentimientos de verguenza y humillación, sin queademás esto normalmente nos permita mejorar nuestro conocimiento del caráctero habilidades de esa persona.
• Incremento de la accesibilidad: Consiste en mejorar la accesibilidad por parte delpúblico a informaciones que ya previamente eran accesibles, pero de una forma,en la práctica, mas restringida. Las tecnologías de la información han reforzadonotablemente este tipo de problemas, toda vez que no es lo mismo tener queacudir a una oficina física para consultar un documento, que poder acceder almismo a través de Internet y haciendo uso además de las capacidades de losbuscadores. De este incremento de la accesibilidad pueden derivarse problemasderivados de la explotación de la información para objetivos distintos de losinicialmente previstos.
• Chantaje: Chantaje, como se sabe, consiste en tratar de obtener ventajas deuna persona (económicas normalmente) mediante la amenaza de divulgar datossobre la misma. El chantaje supone control de una persona sobre otra y causadaño no a través de la divulgación de información sino mediante la simpleamenaza de hacerlo.
• Apropiación: Se produce cuando alguien se aprovecha sin permiso del nombre oreputación de una persona para beneficio propio (por ejemplo usando el nombrede una persona conocida para anunciar un producto, sin el permiso de la misma).
• Distorsión: Se refiere a la manipulación de como una persona es percibida porotras, trayendo consigo por tanto la exposición de la misma al público de unmodo distorsionado e incorrecto.
El cuarto y último grupo de actividades es el denominado como Invasión. Este grupodifiere de los anteriores en que no siempre tiene que ver con el manejo de información.Se identifican dos subactividades : 1) Intrusión; 2) Interferencia decisional.
5
• Intrusión: Se refiere a las invasiones o intrusiones en la vida de una persona.Supone molestar a la víctima en sus actividades diarias, alterar sus rutinas,destruir su soledad y concentración haciéndola sentirse incomoda. Proteger a laspersona frente a este problema implica proteger el derecho de cada persona a "serdejada sola" siempre que así lo desee. Intrusión no se refiere solo a invasionesen el espacio físico sino que también puede tener carácter virtual (en Internet)como por ejemplo la recepción de correo basura.
• Interferencia decisional: Se refiere a la interferencia de los gobiernos endecisiones de las personas referidas a ciertos aspectos de sus vidas (por ejemploel debate producido en algunos países en relación al derecho o no de las personasa consumir pornografía en privado) y tiene mucho que ver con el derecho a laprivacidad de la información.
Como puede derivarse de esta taxonomía, son muchas las facetas asociadas a laprivacidad, lo que conviene tener en cuenta para evitar confusiones y estar en condicionesde proteger los derechos de las personas sin llegar por ello a paralizar o dificultar endemasía la evolución y crecimiento de Internet y de la Sociedad de la Información.
La privacidad sigue siendo algo muy importante... y cadavez resulta mas difícil de preservar
El 10 de diciembre de 1948, la Asamblea General de las Naciones Unidas aprobó yproclamó la Declaración Universal de Derechos Humanos (4). La privacidad formabaparte constituyente de la misma, tal y como puede comprobarse si examinamos lossiguientes artículos de la misma:
• Artículo 12: " Nadie será objeto de injerencias arbitrarias en su vida privada,su familia, su domicilio o su correspondencia, ni de ataques a su honra o a sureputación. Toda persona tiene derecho a la protección de la ley contra talesinjerencias o ataques".
• Artículo 19: " Todo individuo tiene derecho a la libertad de opinión y de expresión;este derecho incluye el de no ser molestado a causa de sus opiniones, el deinvestigar y recibir informaciones y opiniones, y el de difundirlas, sin limitación defronteras, por cualquier medio de expresión".
En coherencia con lo anterior, el derecho y la proteccion de la privacidad como derechofundamental de las personas está recogido y protegido en las legislaciones de la mayoriade los diferentes paises y regiones. Algunas de las principales referencias a este respectoson las siguientes:
• España (5) (6) (7) (8) (9) (10): Articulo 18 de la Constitucion Española de 1978,Ley Orgánica 1/1982, de Protección Civil del Derecho al Honor, a la IntimidadPersonal y Familiar y a la Propia Imagen, Ley 34/2002 de Servicios de la Sociedadde la Información y del Comercio Electrónico, Ley 56/2007 de Medidas de Impulsode la Sociedad de la Información, Ley Orgánica 15/1999 de 13 de diciembrede Protección de Datos de Carácter Personal, Real Decreto 1720/2007 de 21 dediciembre por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánicade Protección de Datos.
• Union Europea (11): Directiva 95/46/CE (Directiva sobre protección de datos),Directiva 97/66/CE (se ocupa específicamente de la protección de la intimidad enel sector de las telecomunicaciones).
6
• OCDE y otras entidades (12): OECD (2007) Recommendation of the Council onCross-border Co-operation in the Enforcement of Laws Protecting Privacy; OECD(1980) Guidelines on the Protection of Privacy and Transborder Flows of PersonalData; OECD (2003) Privacy Online - Guidance on Policy and Practical; OECD(2006) Radio-Frequency Identification (RFID) - Drivers, Challenges and PublicPolicy Considerations; Council of Europe’s 1981 Convention on Privacy.
La privacidad, por tanto, siempre ha sido algo muy importante para las personas,y lo sigue siendo en el ámbito de Internet y de la Sociedad de la Información. Unnivel suficiente de protección de datos y de confidencialidad es lo que nos protegefrente a delitos electrónicos como el robo de identidad o frente a molestias como elcorreo basura. La privacidad es lo que hace posible ejercer con confianza el derecho aintercambiar información y opiniones con otras personas y constituye por tanto una delas bases de la democracia. El derecho a estar solos" es lo que nos permite aprendery crecer como personas. ¿Quien sería capaz de hacerlo si todos y cada uno de nuestrospasos fueran registrados y difundidos?.
Sin embargo, parece que en estos tiempos cada vez es mas difícil ejercer nuestro derechoa la privacidad, que para conseguir un nivel de privacidad suficientemente alto no nosquedaría mas remedio que dejar de utilizar algunos de los servicios que Internet pone anuestra disposición (las redes sociales, por ejemplo), una abstención que cada vez esmas imposible dada la progresiva evolución a una sociedad digital en las que mas y masprocesos están intermediados por Internet y sus servicios.
Los problemas de la privacidad causados por la tecnología no son algo nuevo. Caberecordar aquí el artículo que dos abogados de Boston publicaron en 1890 en la "HarvardLaw Review", en el que avisaban que las tecnologías invasivas de ese momentoamenazaban con hacer públicas hasta las conversaciones y temas mas privados,resaltaban el derecho a la privacidad de las personas y afirmaban el derecho de losciudadanos a ser indemnizados cuando sus derechos a la privacidad no fueranrespetados. Si ya hace un siglo se alertaba frente a los riesgos que la privacidad puedepadecer a manos de la tecnología, podríamos llegar a la conclusión de que, aunque elpapel de la tecnología es muy relevante, no lo es todo sin embargo y que puede ser quela autentica clave esté en la actitud y las reacciones de las personas, de los usuarios.
Una de las consecuencias mas serias de lo que las tecnologías TIC pueden implicar encuanto a pérdida de privacidad, es que hace posible que quede un rastro prácticamenteinborrable relativo a la mayoría de las actividades que las personas realizan. Esamemoria "infinita" es una de las diferencias esenciales respecto a la situación de laprivacidad previa a las TIC y constituye algo nuevo, dado que aun no somos capacesde comprender lo que es vivir en una sociedad que "nunca olvida". Otro de losriesgos importantes es que las nuevas generaciones podrían desarrollarse sin valorar laprivacidad tanto como las anteriores, perdiendo en un cierto grado control sobre suspropias vidas en favor de los gobiernos y las empresas.
Internet, por una parte, nos permite un grado de privacidad sin precedentes. Caberecordar aquí una famosa viñeta de Pat Steiner en el The New Yorker que decía algoasí como "En Internet nadie sabe que eres un perro". Pero junto con esa oportunidad,Internet permite un grado de perdida de privacidad también sin precedentes, y pareceque en los últimos años es esa perdida progresiva de privacidad la tendencia masdominante. Personas como Scott McNealy (fundador de Sun Microsystems) o MarkZuckerberg (fundador de Facebook) han afirmado (13) (14) que "la edad de laprivacidad ha terminado" o que "la privacidad se ha perdido ya sin remedio y lo quedebemos hacer es superarlo y no mirar hacia atrás".
Sin embargo, no parece que las personas hayan dejado de apreciar los valores ylas ventajas que la privacidad les ofrece. En multitud de estudios y encuestas (15),los usuarios han expresado de forma consistente su preocupación por la pérdida de
7
privacidad en Internet y por sus consecuencias (por ejemplo la diseminación y utilizaciónincontrolada de los datos acumulados por las empresas y los gobiernos sobre losconsumidores y sobre los ciudadanos).
Son recurrentes además los "escándalos" que se producen con cierta frecuencia en elámbito de Internet por razones directamente asociadas a la privacidad (16) (17) (18)(por ejemplo los recientes y serios problemas de Google en el lanzamiento de Buzz, unautilidad asociada a su servicio Gmail de correo electrónico, debido a la extremadamentedeficiente gestión de la privacidad en la definición inicial del servicio).
En contraste con esta aparentemente clara preocupación de los usuarios, no parece quelos usuarios estén haciendo nada realmente eficaz para protegerse. Tampoco parece que, contra lo que esperaba la revista The Economist en un articulo sobre la privacidad enInternet de 1999 (19), las tecnologías de protección de la privacidad hayan avanzadogran cosa hasta ahora, o que haya surgido de forma significativa un nuevo segmentode empresas que proporcionen servicios de protección de la privacidad a los usuarios deInternet.
Las que si han progresado de forma muy significativa son las tecnologías que permitenobtener y agregar mas y mas datos sobre los usuarios, siguiendo el interés comercial delas grandes empresas, los actores principales a este respecto, sin olvidar el crecienteinterés de muchos gobiernos por reducir la privacidad de sus ciudadanos en aras de lalucha contra el terrorismo o contra la evasión fiscal.
Para algunos la solución debe pasar, al menos en parte, por la implantación de un sistemarobusto de identidad electrónica (20), una especie de pasaporte para Internet, aunqueno parece que el acuerdo sea ni mucho menos unánime a este respecto. Es cierto queun esquema adecuado de identidad electrónica serviría para prevenir en gran medidaproblemas actuales de tanta gravedad como el robo de identidad pero, en todo caso,parece que debería ser compatible con el mantenimiento de esquemas que permitan elanonimato de las personas en sus accesos y utilización de Internet (las personas a vecesnecesitan un acceso plenamente identificado y a veces un acceso totalmente anónimo,y parece razonable permitir que sean ellas mismas las que decidan cual usar en cadamomento).
La privacidad en las redes sociales de Internet (porejemplo: Facebook)
La importancia de las redes sociales de Internet no deja de de crecer. Basta para ellodarse cuenta de que Facebook ha superado ya los 400 millones de usuarios y recibe enla actualidad mas tráfico que la propia Google (para el caso de Estados Unidos).
Si hablamos de privacidad, tiene sentido poner un foco especial en las redes sociales dadosu mas que relevante papel actual, de que siguen en pleno desarrollo tanto desde elpunto de vista del número de usuarios como de la riqueza funcional de las mismas y deque constituyen cada vez mas el lugar donde los usuarios de Internet se relacionan entresi y comparten todo tipo de datos (con los problemas consiguientes de privacidad quepodemos figurarnos).
Hace unos pocos meses Facebook cambió su política de privacidad, lo que motivó unagran discusión en la Red y la puesta en foco de la privacidad como uno de los aspectoscríticos de las redes sociales. ¿Que resumen se puede hacer de esos recientes cambios enFacebook?. Comentamos a continuación el resumen que a este respecto realizó la EFF(Electronic Frontier Foundation) (21).Los aspectos positivos identificados fueron: 1) una simplificación de la configuración dela privacidad por parte de los usuarios; 2) la eliminación de redes sociales regionales;
8
3) la posibilidad de configurar la privacidad a nivel de aportación ("post") individual;4) el hecho de que haber cambiado su política de privacidad hizo a muchos usuariosreflexionar (por primera vez en muchos casos) sobre la misma y como debía aplicarse asu caso particular.
Los aspectos negativos identificados fueron: 1) la configuración por defecto de laprivacidad, que pasó a ser mucho mas abierta que la anterior lo que tiene granimportancia si se tiene en cuenta que mas del 80% de los usuarios nunca cambian laconfiguración de la privacidad que les da Facebook por defecto; 2) que ahora algunasinformaciones asociadas al perfil del usuario deben ser compartidas de forma obligatoriaen el ámbito mas amplio (antes no era así, sino que lo definía el usuario); 3) que lasaplicaciones desarrolladas en Facebook tienen un acceso mucho mas amplio que antes alos datos de los usuarios y, además, sin que estos puedan restringir ese acceso.
El paso fue en definitiva hacia "obligar" a los usuarios a compartir mucha masinformación que antes (con toda probabilidad debido a los intereses comerciales deFacebook), quitándoles además algunos grados de control del nivel de privacidad deque antes disponían.
Este interés económico que las redes sociales tienen en que los usuarios de las mismascompartan información de la forma mas amplia posible, explica también muyprobablemente por qué en la mayoría ellas no es fácil controlar el nivel de privacidad(22) (debido a una usabilidad deficiente).
Por supuesto los usuarios tienen a su alcance mecanismos de control en su utilización deredes como Facebook, y pueden minimizar los problemas que se pueden derivar de unacompartición demasiado amplia o poco cuidadosa. Puede resultar útil repasar aquí losconsejos que a este respecto (y para el caso de Facebook) proporcionaba recientementeun articulo del New York Times (23) .
Los referidos consejos eran los siguientes: 1) preparar listas de tus amigos, clasificandoa todos dentro de un cierto numero de grupos distintos y segregados entre si (esta esprobablemente la medida mas útil de todas, toda vez que permite a la persona separarclaramente sus diferentes ámbitos de relación - así por ejemplo y obviamente: no secomparten las mismas cosas con tu abuela o con tus padres que con tus amigos); 2)acceder a tu menú de privacidad y configurar cuidadosamente las distintas opcionesdisponibles; 3) configurar con especial cuidado quien tiene acceso a tus datos dedirección y número de teléfono; 4) configurar quien tiene acceso a encontrarte mediantela utilización del buscador de Facebook; 5) configurar que tipos de aplicaciones tienenacceso a tus datos de usuario.
Todas las anteriores son medidas posibles y útiles, pero llevadas a la practica hastaahora por solo una minoría de los usuarios, en parte por una usabilidad aun muymejorable. A efectos de ilustrar este aspecto, en las siguientes figuras pueden versealgunas de las ventanas de configuración de la privacidad en Facebook y los diferentesparámetros presentes en las mismas.
9
10
11
Otro de los aspectos problemáticos relativos a la privacidad en las redes sociales enInternet, es la cada vez mas demostrada posibilidad técnica (24) (25) (26) (27)de eliminar el anonimato en las mismas de forma automática mediante el recurso aalgoritmos que trabajan sobre el grafo social y a los que parece que basta para comenzarcon tener identificados solo a un pequeño porcentaje de los usuarios (unas pocas decenasde usuarios de los que se conozca su identidad pueden servir de "semilla" para acabaridentificando a decenas de miles de usuarios). En este sentido trabajar en técnicas quepermitan revertir o al menos controlar suficientemente este tipo de problemas parecealgo realmente necesario, si se desea tener un equilibrio razonable entre privacidad yriqueza funcional en las redes sociales.
Un tema también interesante es tratar de entender por que se producen tantos problemasen las redes sociales con la compartición de información de formas o con un alcanceno previsto inicialmente por los usuarios (por ejemplo, el caso de la abuela que puedever fotos "inconvenientes" de su nieta en una fiesta, fotos estas que su nieta hubierapreferido que no hubiera visto). ¿Por qué los usuarios tienen tantos problemas paravisualizar con anticipación el grado de compartición que van a tener sus contenidos?.¿Por qué aparecen con tanta frecuencia lo que se denomina como "audiencias invisibles",esto es: personas que comparten nuestros datos pero con las que nunca habíamoscontado inicialmente?.
La respuesta típica de que la realidad es que los usuarios no se preocupan gran cosa porla privacidad no parece sostenerse, si hacemos caso de algunas encuestas (28) quede forma sistemática identifican el control de la privacidad como una de las principalespreocupaciones de los usuarios (en Internet en general y también para las redessociales).
Una explicación mas adecuada (29) (según se explica en un reciente articulo deChris Peterson) es que las redes sociales actualmente no permiten, o no facilitansuficientemente, que las interacciones sociales de sus usuarios, Facebook por ejemplo,se realicen respetando el contexto de las mismas y de un modo similar a como éstas serealizan en la vida "real". El típico ejemplo aquí es el de la persona que, lógicamente,interacciona y comparte de modos muy distintos con su grupo de amigos, con sus padres,con sus profesores o con su abuela (como en el ejemplo anterior).
Aunque, como en el caso de Facebook, si sea posible crear grupos de amigos y respetarpor tanto el contexto de las diferentes relaciones de cada persona, esta funcionalidad nosuele ser demasiado conocida por los usuarios, no suele tener una usabilidad lo bastantebuena y/o no es lo suficientemente destacada y publicitada por la propia Facebook. Silas interacciones y las comparticiones son demasiado planas (todos con todos) no es deextrañar que se produzcan todo tipo de problemas de privacidad.
Por otra parte, y esto es un elemento positivo, el que esto sea así no deja de serun problema de diseño de las redes sociales. Parece perfectamente posible rediseñar
12
las mismas de modo que sea mucho mas sencillo para los usuarios acomodar susinteracciones sociales en Internet a los contextos asociados a los distintos tipos derelaciones que mantienen, siendo así mucho mas capaces de controlar y visualizar consuficiente precisión el alcance y el ámbito en el que se va a compartir cada elemento deinformación que aportan. Es mas, una evolución de este tipo parecería que solo puede ira favor de los intereses (al menos a medio y largo plazo) de empresas como Facebook,toda vez que estarán respetando y adaptándose mucho mejor a los auténticos interesesde los usuarios (si es que creemos en la sinceridad de los usuarios, cuando manifiestansu preocupación por los problemas de privacidad de las redes sociales en Internet).
En el inicio de Facebook no eran tan necesarios los citados mecanismos de adaptación alcontexto de cada relación, toda vez que los usuarios iniciales tenían en su gran mayoríauna misma procedencia (universitarios) pero obviamente, cuando se cuenta con mas de400 millones de usuarios esto ya no puede ser así.
Las redes sociales, como Facebook, pueden hacer mucho por si mismas para solucionaren gran medida los problemas de privacidad que ahora mismo padecen sus usuarios.El que lo puedan hacer por si mismas (autoregulación) o que necesiten la "ayuda" delas autoridades regulatorias es algo que el tiempo dirá pero, en cualquier caso, el que lasituación actual de la privacidad en las redes sociales en Internet debe mejorar de formasustancial parece algo irrrenunciable para los usuarios.
El futuro de la privacidad en Internet y la Sociedad de laInformacion
La privacidad es un tema cada vez de mas actualidad tal y como nos podemos dar cuentaa partir de solo algunos de los últimos casos que, a este respecto, han sido objeto de laatención publica en los últimos meses:
• El desarrollo de KDDI de un teléfono móvil que es capaz de registrar losmovimientos físicos y la posición de los empleados que los llevan, transmitiendola misma a servidores situados en la Red (el espionaje de las empresas a susempleados llevado a uno de sus extremos) (16).
• Los empleados de la empresa Dixon's del Reino Unido, que llamaron estúpidos asus clientes en una pagina de Facebook asociada a su empresa (con el desastrede relaciones públicas consiguiente) (30).
• El espionaje a alumnos de una escuela de secundaria de Estados Unidos, pormedio de las webcam de los ordenadores portátiles que habían proporcionado alos mismos (31).
• Las sospechas (parece que bastante fundadas) de que agentes del FBI estánempezando a infiltrarse en Facebook para obtener información para susinvestigaciones (y probablemente lo mismo podría aplicarse a otros países)(32).
• El debate surgido a partir del último cambio de política de privacidad en Facebook(21), (23).
Cabe resaltar, en relación por ejemplo con el caso de KDDI descrito anteriormente, queel progreso de la tecnología está abriendo la puerta a niveles de interferencia con laprivacidad impensables hasta ahora. Esto ha llevado a algunos expertos a argumentar
13
que estamos en un momento decisivo y que es ("ahora o nunca") el momento de que losusuarios defiendan su derecho a la privacidad en el ámbito de Internet y de la Sociedadde la Información y exijan a los proveedores de servicio y a los gobiernos un cambio derumbo y la puesta en marcha de las medidas necesarias (incluyendo el recurso a medidasde carácter regulatorio, si fuera preciso).
Algunas opiniones son claramente pesimistas a este respecto por ejemplo la de NicholasCarr (33) (autor del blog "Rough Type" y del libro "The Big Switch”) que dijorecientemente: "Para 2020, Internet habrá permitido la monitorización y manipulaciónde las personas por parte de las compañías comerciales y los gobiernos a una escalaantes inimaginable. La mayoría de las personas habrán aceptado esta situación de faltade privacidad - de forma consciente o inconsciente - debido a ciertas ventajas asociadascon el consumo de bienes, como por ejemplo un proceso de compra mas sencillo o unosprecios mas reducidos. El resultado será que la linea entre el marketing y la manipulaciónse habrá difuminado en gran medida".
Todo esto, por tanto, nos lleva a recalcar la urgencia de desarrollar las diferentes vías queexisten para tratar de llegar a una situación de equilibrio razonable entre los derechosa la privacidad de los ciudadanos y el desarrollo de la Sociedad de la Información y deInternet, entre ellas posiblemente:
• Adoptando nuevas medidas legales y regulatorias (seguramenteimprescindibles). No parece probable que un enfoque basado únicamente enla autoregulación sea suficiente a este respecto. Parece necesario el dialogodirecto (y detallado) entre las autoridades de regulación (agencias de protecciónde datos) y los proveedores de servicios (como Facebook) como forma deprogresar en la solución de los problemas de privacidad (34) (ver por ejemploel informe de la agencia de protección de datos de Canadá sobre el estado de laprivacidad en Facebook).
• Desarrollando tecnologías que protegan y potencien la privacidad, dando a losusuarios los niveles de control que precisan, y promoviendo el desarrollo deun mercado de productos y servicios asociados a la privacidad. Los aspectosrelacionados con la usabilidad parecen en este caso especialmente relevantes.
• Considerando de modo especifico los problemas asociados a la privacidad en loque respecta a los servicios en la "nube" (35) (36).
• Evitando que la necesaria protección de los derechos de propiedad intelectualse realice a costa de conculcar los derechos a la privacidad de los ciudadanos(37) (ver por ejemplo el documento preparado por el EPDS de la Union Europeaen relación a negociación del ACTA - secreta en el momento de preparación deeste articulo - según el cual pueden estarse considerando medidas claramenteinvasivas de la privacidad).
• Incorporando desde el principio la gestión y protección de la privacidad como unode los aspectos claves a la hora de diseñar un nuevo producto o servicio.
• Generalizando la utilización de las técnicas de protección de la privacidad (PET) yde las evaluaciones de impacto en la privacidad (PIA) como medidas significativaspara un mejor cumplimiento de los estándares de privacidad
• Mejorando la formación de los empleados de las empresas en relación con lostemas y problemas que pueden surgir de forma asociada a la privacidad (38).
• Sensibilizando y proporcionando mas formación a los ciudadanos en general, enrelación con los temas asociados a la privacidad.
14
Como ya se ha mencionado, la mayoría de las encuestas parecen dejar claro que losciudadanos no solo no renuncian (¿por el momento?) a disponer de niveles de privacidadrazonables en su utilización de Internet sino que están mas sensibilizados y preocupadosque nunca a este respecto (¿seguirá esto siendo así en el futuro para las generacionesmas jóvenes?).
La preservación de niveles adecuados de privacidad en el acceso a Internet y a susservicios no solo no tiene por que ir en contra del desarrollo de Internet sino que contoda probabilidad puede constituir uno de los factores clave para que éste continué sinsobresaltos excesivos y con un equilibrio razonable. Las experiencias recientes a esterespecto de empresas como Google en relación con su lanzamiento de Buzz han dejadoclaro que, al menos en cierto ámbito, el no darle suficiente prioridad a los aspectosligados a la privacidad a la hora de diseñar un servicio puede ser una táctica cercana asuicida.
Como resumen final, las aspiraciones de la comunidad ligada a Internet, en lo relativo alderecho a la privacidad de los ciudadanos, pueden resumirse bien con el manifiesto (39)que a este respecto se firmó en noviembre del pasado año con ocasión de la celebraciónen Madrid de la 31ª reunión anual de la Conferencia Internacional de Autoridades deProtección de Datos y Privacidad. Puede merecer la pena copiar aquí en su integridad elcitado manifiesto:
La Declaración de la Sociedad Civil; Madrid, España; 3 de Noviembre de 2009
• Afirmando que la privacidad es un derecho humano fundamental consagrado enla Declaración Universal de Derechos Humanos, el Convenio Internacional sobreDerechos Civiles y Políticos, y en otros instrumentos de derechos humanos asícomo constituciones nacionales;
• Recordando a los países miembros de la UE sus obligaciones de hacer cumplirlas disposiciones de la Directiva de Protección de Datos de 1995 y la Directiva deComunicaciones Electrónicas de 2002;
• Recordando a otros países miembros de la OCDE sus obligaciones de mantenerlos principios que se exponen en las Directrices de Privacidad OCDE de 1980;
• Recordando a todos los países sus obligaciones de salvaguardar las garantíasindividuales tanto de sus ciudadanos como de sus residentes, establecidos en susconstituciones, sus leyes nacionales así como en las normas internacionales sobrederechos humanos;
• Anticipando la entrada en vigor de las disposiciones que fortalecerán los derechosConstitucionales de privacidad y protección de datos de carácter personal en laUnión Europea;
• Alarmados ante la espectacular expansión de la vigilancia ilícita y secreta, asícomo ante la creciente colaboración entre gobiernos y proveedores de tecnologíasde vigilancia con el fin de establecer nuevas formas de control social;
• Destacando que las nuevas estrategias de investigación sobre derechos de autory contenidos ilícitos ponen en peligro el secreto de las comunicaciones, la libertadde pensamiento y el proceso legalmente establecido;
• Aún más, destacando no sólo la creciente consolidación de servicios basadosen Internet sino el hecho de que algunas empresas estén adquiriendo ingentescantidades de datos de caracter personal sin supervisión independiente;
15
• Advirtiendo que tanto las leyes sobre privacidad como las institucionesencargadas de velar por la privacidad no han tenido en consideración, en todasu extensión, las nuevas prácticas de vigilancia, incluyendo la selección basadaen la conducta, las bases de datos de ADN y otros identificadores biométricos, elcruce de bases de datos entre el sector público y el privado, así como los riesgosespecíficos para grupos vulnerables, incluidos niños, migrantes y minorías;
• Advirtiendo que el fracaso en la salvaguarda de la privacidad pone en peligro otraslibertades asociadas, incluida la libertad de expresión, la libertad de asociación,la libertad de acceso a la información, el derecho a la no discriminación, y, endefinitiva, la estabilidad de las democracias constitucionales;
• La Sociedad Civil aprovecha la oportunidad de la 31ª reunión anual de laConferencia Internacional de Autoridades de Protección de Datos y Privacidadpara:
(1) Ratificar el apoyo a un marco global de prácticas justas sobre lainformación que establezca obligaciones a los que recogen y procesaninformación personal, y conceda derechos a aquéllos cuya informaciónpersonal se recoge;
(2) Ratificar el apoyo a aquellas autoridades independientes de protecciónde datos que adopten sus decisiones de forma transparente y sin ventajacomercial o influencia política, dentro del marco que las leyes establecen;
(3) Ratificar el apoyo a las técnicas de protección de la privacidad (PET), queminimicen o eliminen la recogida de datos personales, así comola realización de evaluaciones de impacto en la privacidad (PIA) significativaspara el cumplimiento con los estándares de privacidad;
(4) Exhortar a los países que no hayan ratificado la Convención 108 delConsejo de Europa junto con el Protocolo de 2001 para que lo hagan con lamayor celeridad;
(5) Exhortar a los países que aún no hayan establecido un marco exhaustivopara la protección de la privacidad ni una autoridad independiente para laprotección de datos personales para que lo hagan con la mayor celeridad;
(6) Exhortar a aquellos países que hayan establecido marcos legales para laprotección de la privacidad a que aseguren un cumplimiento y observanciaefectiva de la ley y a colaborar tanto a nivel internacional como regional;
(7) Exhortar a los países para asegurarse que los individuos seaninmediatamente notificados cuando su información personal sea revelada deforma inapropiada o usada para finalidades distintas para la que fue recogidao recabada;
(8) Recomendar una investigación exhaustiva sobre la adecuación de lastécnicas de anonimización para determinar si las mismas salvaguardan, en lapráctica, la privacidad y el anonimato;
(9) Solicitar una moratoria en el desarrollo o implantación de nuevos sistemasde vigilancia de masas, incluido el reconocimiento facial, la toma de imágenesde cuerpo entero, el escaneo del cuerpo humano, identificaciones biométricas,y las etiquetas con tecnología RFID, y que sean sujetos a una evaluacióncompleta y transparente por parte de autoridades independientes y sujeto aldebate democrático;
16
(10) Hacer un llamado para el establecimiento de un nuevo marcointernacional para la protección de la privacidad, con la plena participaciónde la sociedad civil, basado en el imperio de la ley, el respeto a los derechoshumanos y el apoyo a las instituciones democráticas.
Referencias
(1) A taxonomy of privacy; D. Solove; University of Pennsylvania Law Review; January2006
(2) "I've nothing to hide" and other misunderstandings of privacy; D. Solove; GeorgeWashington University Law School; July 2008
(3) Understanding privacy; D. Solove; Harvard University Press; May 2008
(4) http://www.un.org/es/documents/udhr/
(5) Agencia Española de Proteccion de Datos; Memoria 2008
(6) INTECO; Estudio "La privacidad de los datos personales y la seguridad de lainformacion en las redes sociales online"; febrero 2009
(7) INTECO; Estudio "La seguridad de la informacion y la e-confianza de los hogaresespañoles"; Primer trimestre 2009
(8) INTECO; Guia legal "Proteccion del derecho al honor, a la intimidad y a la propiaimagen en Internet"
(9) INTECO; Guia legal "Privacidad en Internet"
(10) INTECO; Guia legal "Redes sociales., menores de edad y privacidad en la Red"
(11) http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
(12) http://www.oecd.org/department/0,3355,en_2649_34255_1_1_1_1_1,00.html
(13) http://www.readwriteweb.com/archives/facebooks_zuckerberg_says_the_age_of_privacy_is_ov.php
(14) http://www.wired.com/politics/law/news/1999/01/17538
(15) http://www.nokiasiemensnetworks.com/press/press-releases/survey-shows-us-and-canadian-consumers-feel-they-lack-control-over-personal-dat
(16) http://news.bbc.co.uk/2/hi/8559683.stm
(17) http://www.youtube.com/watch?v=Vza_bMuy42M&feature=related
(18) http://www.infoworld.com/d/adventures-in-it/oh-google-why-do-you-do-us-wrong-012?page=0,0
(19) http://web.ics.purdue.edu/~felluga/privacy2.html
(20) http://www.technologyreview.com/web/22831/
(21) http://www.eff.org/deeplinks/2009/12/facebooks-new-privacy-changes-good-bad-and-ugly
17
(22) http://www.cl.cam.ac.uk/~jcb82/doc/privacy_social_networks.pdf
(23) http://www.nytimes.com/external/readwriteweb/2009/09/16/16readwriteweb-5-easy-steps-to-stay-safe-and-private-on-fac-6393.html?em
(24) A practical way to de-anonymize social networks users; G. Wondracek et al;Technical Report TR-iSecLab-0110-001; http://www.iseclab.org/papers/sonda-TR.pdf
(25) De-anonymizing social networks; A. Narayanan et al; The University of Texas atAustin; http://userweb.cs.utexas.edu/~shmat/shmat_oak09.pdf
(26) http://www.schneier.com/blog/archives/2009/05/on_the_anonymit.html
(27) http://www.technologyreview.com/web/22593/?a=f
(28) http://www.wired.com/politics/security/commentary/securitymatters/2006/05/70886
(29) Losing face: An environmental analysys of privacy on Facebook; C. Peterson; Draftfor comment; January 2010; http://www.cpeterson.org/2010/01/06/losing-face-an-environmental-analysis-of-privacy-on-facebook/
(30) http://news.bbc.co.uk/2/hi/8241509.stm
(31) http://www.infoworld.com/d/adventures-in-it/when-schools-spy-their-students-bad-things-happen-474
(32) http://www.infoworld.com/d/adventures-in-it/fbi-facebook-watching-every-move-you-make-954
(33) http://www.roughtype.com/archives/2010/01/other_peoples_p.php
(34) http://www.priv.gc.ca/cf-dc/2009/2009_008_0716_e.cfm
(35) http://cordis.europa.eu/fp7/ict/ssai/docs/cloudevent-barcelo_en.pdf
(36) http://www.infoworld.com/d/the-industry-standard/why-privacy-laws-should-make-you-think-twice-about-the-cloud-692?source=IFWNLE_nlt_wrapup_2010-03-31
(37) http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2010/10-02-22_ACTA_EN.pdf
(38) http://www.informationweek.com/news/global-cio/showArticle.jhtml?articleID=18901849
(39) http://thepublicvoice.org/madrid-declaration/es/
Algunas Web de interés:
(1) http://www.iusmentis.com/technology/remailers/index.html
(2) http://dataprivacyday2010.org/
(3) http://www.digitaldueprocess.org/index.cfm?objectid=37940370-2551-11DF-8E02000C296BA163
18
(4) http://epic.org/
(5) http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
(6) http://www.cl.cam.ac.uk/~jcb82/publications.html
(7) http://kidsprivacy.org/
(8) http://www.michaelgeist.ca/content/view/4530/408/
(9) http://www.oecd.org/department/0,3355,en_2649_34223_1_1_1_1_1,00.html
(10) http://www.priv.gc.ca/index_e.cfm
(11) http://www.w3.org/P3P/
(12) http://www.privacyrights.or
(13) http://www.eff.org/issues/privacy
(14) http://privacy.org/
(15) http://www.teneros.com/socialsentry/
(16) http://www.inteco.es/
(17) https://www.agpd.es
(18) http://www.pogowasright.org
19