Zoom, la aplicación de moda durante la pandemia que no deberías usar [Actualizado]

En esta coyuntura de la pandemia del Covid-19, tanto trabajar en remoto como romper el aislamiento social fruto de la reclusión ha hecho que se recurran a herramientas de video conferencia.

La herramienta de referencia en los últimos años simpre ha sido Skype. Últimamente destaca una plataforma que se llama Zoom. Sin embargo, Zoom no debería usarse porque no protege la intimidad profesional ni personal.

Zoom realiza un excesivo control sobre los participantes de las videollamadas que podría vulnerar el derecho a la intimidad del trabajador, así como su derecho a que no se recojan de él más datos que los imprescindibles.

A nivel profesional, Zoom permite a los empleadores rastrear la atención de los empleados durante las llamadas. Así es, cuando se usa para compartir pantalla, la plataforma avisa al organizador de la llamada cuando alguien no tiene el cliente de escritorio o la aplicación móvil en foco por más de 30 segundos, lo cual puede suceder con cierta frecuencia porque se puede haber minimizado para tomar notas, revisar un correo electrónico del que se está hablando o responder a una pregunta en otra aplicación.

Zoom recoge abundantes cantidades de datos que comparte y recopila con terceros.

Por otra parte, según la política de privacidad de la empresa, Zoom recoge múltiples  datos sobre el usuario, tales como: nombre, dirección física, dirección de correo electrónico, número de teléfono, puesto de trabajo, empleador.

Incluso si no te registras en Zoom, pero lo usas, este recogerá y guardará datos sobre el tipo de dispositivo que usas al conectarte y la dirección IP desde la que lo haces. También recopila información del perfil de Facebook (si utilizas Facebook para iniciar sesión) y cualquier “información que cargue, proporcione o cree mientras utiliza el servicio”.

Una aplicación que se expresa con absoluta ambigüedad en su política de privacidad ya debe hacernos sospechar. En su site se puede leer “¿Vende Zoom datos personales?” la política dice: “Depende de lo que entienda por ‘vender'” y luego vienen a decir que no venden datos personales por dinero a terceros, pero sí comparten datos personales con terceros para los “fines comerciales” de esas empresas.

En su política de privacidad, afirma que puede transferir tu información personal a Google, el traficante de datos personales por excelencia. ¿Por qué tendría que tener Google datos personales de una video llamada? ¿Son de análisis? ¿Son las conversaciones? ¿Son otros metadatos?

Además, se ha sabido que la aplicación Zoom hecha para iOS comparte una cantidad sustancial de datos del usuario con Facebook, incluso aunque el usuario no tenga una cuenta en la red social. ¿Para qué necesita Facebook estos datos? ¿Están anonimizados?

Estos datos incluyen la hora en que se abre la aplicación, detalles sobre el dispositivo que está utilizando, la zona horaria y la ciudad desde la que se está conectando, el proveedor de telefonía que está utilizando y el identificador único del anunciante de su dispositivo. Zoom no menciona el envío de datos a Facebook en ninguna parte de su política de privacidad.

Finalmente, por si lo anterior fuera poco, la seguridad de la aplicación ha quedado en entredicho y Zoom ha sido denunciada oficialmente por el Centro de Información de Privacidad Electrónica de la FTC  alegando que intencionadamente diseñó su servicio de conferencias web para evadir los ajustes de seguridad del navegador y habilitar remotamente la cámara web del usuario sin su conocimiento ni consentimiento.

Cuando se elige una herramienta, el primer criterio no debe ser si es muy fácil de usar;  o si tiene un diseño impecable o es gratuita. Eso nos puede valer para hacer una primera selección de búsqueda, pero, una vez ello, para decidir, el primer filtro para elegir una app debe ser si respeta la privadad y una vez se valida que sea cumplidora, se evalúan los demás criterios para optar por la que más interese.

¿Cómo podemos mantener video conferencias encriptadas? Podemos optar por usar soluciones como Wire que permite llamadas múltiples y están cifradas de punto a punto. Otras opciones accesibles y respetuosas con la privacidad son jitsi.org que se puede usar directamente (con llamadas cifradas punto a punto en las individuales) o instalar en servidor propio de fácilmente [Actualizado 2020/04/10 Es la aplicación que está usando el gobierno para hacer videoconferencias]. Otra opción muy recomendable por su versatilidad es recurrir a Riot. Finalmente, podemos usar una solución carente intermediario donde la comunicación se produce de dispositivo a dispositivo (peer-to-peer o p2p), robusta y veterana como Tox.

Actualización [2020/03/31]

En las últimas horas se ha conocido que Zoom no utiliza cifrado de extremo a extremo en sus comunicaciones, por lo que pueden ser accedidas por la empresa e interceptadas por terceros.

De acuerdo a la información publicada por The Intercept, los responsables de la compañía reconocen que han venido mintiendo sobre esta esencial característica por cuanto en su libro blanco así lo afirmaban: “Actualmente no es posible habilitar la encriptación E2E (de extremo a extremo) para las reuniones de vídeo de Zoom. Las videoconferencias de Zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se hacen usando TLS y las conexiones UDP se encriptan con AES usando una clave negociada sobre una conexión TLS”.

En efecto, en el libro blanco de Zoom, la empresa hacía una serie de afirmaciones falsas en tal sentido al indicar la existencia de una relación de “capacidades de seguridad previas a la reunión” que están disponibles para el anfitrión de la reunión que comienza con “Habilitar una reunión cifrada de extremo a extremo (E2E)”; “Asegurar una reunión con encriptación E2E” como una “capacidad de seguridad durante la reunión” que está disponible para los anfitriones de la misma; ó cuando un anfitrión inicia una reunión con el ajuste “Requerir cifrado para puntos finales de terceros” activado, los participantes ven un candado verde que dice: “Zoom está utilizando una conexión cifrada de extremo a extremo” cuando pasan el ratón por encima de ella.

Actualización [2020/04/01]

Actualización [2020/04/04]

  • Elon Musk prohíbe a sus empleados usar Zoom debido a sus problemas de seguridads.
  • El FBI lanza una alerta sobre Zoom.
  • Nueva falla de seguridad de Zoom pone al descubierto miles de videoconferencias sobre terapia, Know How empresarial e información confidencial.
  • Una función de prospección de ventas de Zoom permitía a ciertos usuarios tener acceso a los perfiles de LinkedIn de otras personas durante una reunión sin notificárselo. Un análisis de The New York Times descubrió que cuando la gente se inscribía en una reunión, el software de Zoom enviaba automáticamente sus nombres y direcciones de correo electrónico a un sistema de la empresa que utilizaba para relacionarlos con sus perfiles de LinkedIn.
  • De acuerdo a este estudio, Zoom envía datos de credenciales a servidores chinos y tiene importantes fallos de encriptación incluso cuando se aplica.En efecto, parece que, si bien Zoom tiene su sede en los Estados Unidos y figura en el NASDAQ, la aplicación principal de Zoom parece haber sido desarrollada por tres empresas en China, todas las cuales tienen el nombre 软视软件 (“Ruanshi Software”). Dos de las tres empresas son propiedad de Zoom, mientras que una es propiedad de una entidad llamada 美国云视频软件技术有限公司 (“American Cloud Video Software Technology Co., Ltd.”) Los puestos de trabajo para Ruanshi Software en Suzhou incluyen puestos vacantes para codificadores de C++, desarrolladores de aplicaciones Android e iOS e ingenieros de pruebas. Además, el escaneo que se realizó mostró un total de cinco servidores en China y 68 en los Estados Unidos que aparentemente ejecutan el mismo software de servidor Zoom que el servidor de Beijing. Se sospecha que las claves pueden ser distribuidas a través de estos servidores. Una empresa que a veces distribuye claves de encriptación a través de servidores en China es potencialmente preocupante, dado que Zoom puede estar legalmente obligada a revelar estas claves a las autoridades en China.

Actualización [2020/04/07]

Actualización [2020/04/08]

  • Google prohíbe a sus empleados usar Zoom. Suponemos que entre los empleados usarán las soluciones propias de videoconferencia de Google y que el uso de Zoom sería con terceros, a iniciativa de los mismos.

Actualización [2020/04/09]

Actualización [2020/04/09]

Conceptos de privacidad: Tu huella digital

Cuando creamos o subimos contenidos a las plataformas de Internet y a la nube en general, así como cuando usamos aplicaciones de teléfono móvil como chats, redes sociales, servicios digitales de edición y otros tantos análogos, dejamos una impronta digital.

Esta impronta digital a menudo sirve para hacernos identificables. Sería el caso de subir fotos a redes sociales, publicar opiniones en ellas o dejar comentarios en blogs o foros públicos o privados.

En la terminología digital se denomina “huella digital” y, a través de la misma, las entidades succionadoras de datos mediante Big Data construyen inmensos expedienes sobre nosotros.

Tales entidades conviereten estos expedientes en perfiles de evaluación según los parámetros de interés y se venden e intercambian con otras entidades para calificarnos, ubicarnos o discriminarnos.

En Inglés el concepto de huella digital suele expresarse como “Digital fingerprint” o “Digital footprint” aunque a veces no es del todo preciso y debe hablarse, más bien, de otro concepto yuxtapuesto y más amplio aún como es la “Sombra Digital” y sobre la que comentaremos en otro post.

Los padres son muy proclives a construir perfiles digitales a sus hijos. Perfiles que ellos no han solicitado. Lo hacen subiendo fotos a las redes sociales, compartiéndolas en chats con puertas traseras como Whatsapp o bien ofuscados como Telegram.

Esta actitud irresponsable de los padres va en contra de los derechos del niño y a su desarollo personal, puesto que, hoy en día, pueden llegar a tener un perfil digital en silos de datos de terceros solamente con lo que han compartido sus progenitores. Y todo sin el permiso del niño y sin contar con él.

La “huella digital” de cada persona es algo a cuidar en extremo. Sirve a los empleadores para descartar candidatos, por ejemplo. Puede penalizar un proceso de selección para formar parte de las Fuerzas Públicas si se encuentran contenidos subidos a la red que sean contrarios a los requerimientos. También pueden servir para que los procesos de selección, que disponen de tantos datos nuestros sin que lo sepamos, usen algoritmos donde nos descarten ante determinadas informaciones. Es decir, en realidad, están almacenando datos de salud – sicosociales – sobre nosotros, sin nuestro permiso, que luego limita nuestras opciones, intereses y derechos.

Tu privacidad es como un tamagochi y necesita que la cuides. De momento, toma conciencia de que la huella que dejas es aprovechada por otros en tu perjuicio.

 

El formato de los archivos desde una perspectiva de privacidad; el formato libre, frente al formato propietario

Quienes tratan  datos personales están obligados por Ley a la adopción de medidas legales, técnicas y organizativas dirigidas a proteger a los datos personales bajo su responsabilidad, en los aspectos de disponibilidad, autenticidad, integridad y confidencialidad.

Así lo refiere primero el Considerando 49 del Reglamento General de Protección de Datos Personales,  que luego es reiterado como una de las obligaciones legales de seguridad de los tratadores de datos por el apartado 1.b) del artículo 32 del RGPD, al referirse de nuevo a que los responsables de los datos deben tener la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

Pues bien, uno de los múltiples riesgos que tiene la nube pública; o mejor dicho, de cierto tipo de nube pública, es justamente el de la pérdida de disponibilidad de los datos.

Nos hemos acostumbrado a que los archivos que almacenamos en la nube están disponibles, pero la mayoría no suele saber que estos pueden estar almacenados en remoto, no en local.

El lector se preguntará cómo es posible que se almacenen en remoto y no en local si cuando entra a su directorio sincronizado con la nube puede ver los archivos. La respuesta radica en que no son archivos editables sino un tipo de archivo que hace de puntero a la platatorma en la nube para que verifique y permita abrirlo o descargarlo.

Además, como el usuario pierda sus credenciales, no podrá autenticarse, con el riesgo de perder sus archivos. Esto es algo que se comprueba que sucede y genera daños irreparables a empresas y usuarios.

De unos años para acá proveedores digitales de todo tipo se han subido al carro de los modelos de suscripción en línea (SAAS), de modo que se realiza pago por uso mensual.

Antes los paquetes ofimáticos se instalaban en un PC y duraban años a un precio más caro, ahora se paga menos a corto plazo pero el progama solo se posee mientras se pague.

Los usuarios, por tanto, deben seguir pagando para acceder al software y, por lo tanto, a sus documentos. .Y aquí hay una clave.

Si se deja de pagar, se pierde la disponibilidad. Tal vez no a corto plazo, pero sí a medio plazo si el archivo que sirve de puntero deja de ser utilizable. Google Suite sirve de ejemplo ilustrativo ya que si no se mantiene abierta la app de escritorio la unidad de Google Drive del PC simplemente desapare del directorio “Equipo”. Los archivos están en la nube pública, pero no están en el dispositivo del usario, no están disponibles.

Los clientes, por tanto, se convierten en cautivos de un sistema lleno de jardines vallados.

En cambio, los formatos abiertos, como los archivos .odf (open document format) siguen apostado por la libertad del usuario lo que, en este caso, generan menos riesgos de no disponibilidad.

De hecho, esta disponibilidad no hay que entenderla solamente en términos de entorno de escritorio (PC), sino también en términos de infraestructura crítica para cualquier organización.

Efectivamente, si hablamos de Continuidad de Negocio, la apuesta por formatos abiertos en la ofimática – y otros sistemas – ofrece más garantías que cualquier otro sistema privativo ya que estos formatos pueden ser totalmente implementados por cualquier proveedor de software sin precisar licencia ni tener que configurar compatibilidades a medida de los sistemas propietarios.

Para que el lector menos versado en tecnología se haga una idea más ilustrativa, podemos partir del ejemplo comparando entre dos herramientas con dos filosofías de disponibilidad distintas: el mail y el chat. Los usuarios saben que pueden escribirse correos electrónicos desde cuentas de distintos proveedores y estos se intercambiarán sin problemas. En cambio, cuando hablamos de chat vemos en seguida que se produce un efecto cautividad, la gente usa un chat predominante porque es donde están sus contactos ¿Por qué un mensaje del cliente de chat Whatsapp no puede enviarse a un cliente de chat como Telegram? La respuesta es que ambos usan formatos propietarios totalmente cerrados que nos hipotecan con un solo proveedor; o Whatsapp o Telegram, por ejemplo. En cambio, el mail permite elegir proveedor con libertad porque se elija el que se elija, gracias a que el protocolo que se usa es libre y abierto, el mail llegará igualmente. No existe cautividad.

Volviendo a la suites ofimáticas, como bien explica The Document Foundation en su web y que transcribo debajo, las características de los formatos libres permiten cumplir con garantías mucho mayores la obligación legal de disponibilidad y la continuidad de negocio:

  • ODF es un estándar abierto y duradero, y como tal puede asegurar que un documento guardado hoy no será bloqueado tecnológicamente o abandonado mañana, y siempre será posible acceder a los contenidos independientemente de las estrategias comerciales de cualquier vendedor.
  • ODF mantiene el contenido (información) separado de la aplicación utilizada para desarrollarlo, de modo que cualquier documento puede ser procesado por cualquier aplicación sin problemas y con fidelidad, sin la interferencia de ningún código privativo o cualquier otra restricción
  • Debido a que ODF es un estándar verdaderamente abierto, nivela el campo de juego para que múltiples proveedores de software compitan en funcionalidad y precio, y proporciona una mayor elección debido a la competencia entre los proveedores, incluyendo tanto aplicaciones privativas como de código abierto.
  • ODF proporciona un formato independiente de la plataforma en el que cualquier empresa puede construir y distribuir nuevas aplicaciones y servicios, garantizando al mismo tiempo que los documentos seguirán siendo accesibles incluso después de que se hayan añadido innovaciones gracias al estándar abierto de línea de base
  • ODF es el único formato de archivo de documento abierto basado en XML que se encuentra actualmente en el mercado y que satisface la necesidad básica de las empresas y los gobiernos de acceder a los documentos de significado histórico, creado y almacenado en forma digital, no sólo hoy sino también para las generaciones futuras
  • La adopción de ODF también resulta atractiva en el contexto de las situaciones de emergencia, para garantizar la posibilidad de acceder y compartir información esencial para los esfuerzos de socorro sin tener que preocuparse por las características del documento original

Una manera de asegurarse el uso de estándares abiertos, por defecto, es apostar por el software que está diseñado así por defecto también. Por ejemplo, puedes descargar LibreOffice.

Proponen prohibir la publicidad basada en datos y virar a un modelo no intrusivo

A través de un post de Enrique Dans, profesor del Instuto de Empresa y escritor, llego a este artículo de opinión escrito en Wired, publicación de referencia en tecnología para muchos, que plantea suprimir la publicidad segmentada.

El artículo lo firma Gilad Edelman, escritor de política en dicha revista digital, licenciado en Derecho por Yale, para más señas.

Si lo pensamos bien, tiene mucho sentido. El actual modelo publicitario solamente beneficia a los anunciantes y, por otra parte, perjudica gravemente a los lectores que ven invadida su privacidad en todo tipo de interfaces (Recordemos que las apps móviles, por ejemplo, siguen el mismo sistema).

Si nos damos cuenta, el modelo publicitario offline no se puede segmentar. O no excesivamente. Los periódicos, radios y televisiones emiten sus anuncios a un público general y, a lo sumo, pueden aprovechar ciertas ventanas de tiempo para según qué audiencias o seleccionar qué partes de la publicación atraen más la atención.

Un modelo publicitario digital sin segmentación, que funciona muy bien también, eliminaría, en gran medida, las problemáticas actuales de privacidad con ingentes silos de datos personales que se usan en contra de sus titulares y también devolvería los frontend de las páginas web a “su ser” sin displays totalmente agobiantes (ahí están los blockers para proveer experiencias de lectura racionales y no distractivas).

“La única razón por la que Facebook y otros están recolectando estos datos, comprando estos datos – robando estos datos – es porque los datos son muy valiosos”, dice Hansson, “Si reduces el valor de esos datos a casi cero, entonces todo el incentivo desaparece”

Se iría a un nuevo equilibrio en la relación entre los editores y los usuarios. También haría evolucionar los modelos de negocios basados en datos para conciliar ingresos con privacidad.

Desde aquí aprobamos totalmente este planteamiento que, además, ya se ha comprobado que es realizable, como demuestra el planteamiento publicitario que, al menos a día de hoy, realizan motores de búsqueda como Duck Duck Go o Qwant.

Así, por ejemplo, DDG declara e informa en su página que su modelo publicitario es viable en ingresos al tiempo que respeta la privacidad:

Es un mito que los motores de búsqueda necesitan rastrearte para ganar dinero en la búsqueda web. Cuando escribes una búsqueda, podemos mostrar un anuncio basado en ese término de búsqueda. Por ejemplo, si escribes “coche”, mostraremos un anuncio de coche. Eso no implica un seguimiento porque se basa en la palabra clave y no en la persona.

La publicidad en DuckDuckGo toma la forma de enlaces patrocinados que aparecen sobre los resultados de la búsqueda. La visualización de los anuncios está protegida por la privacidad de DuckDuckGo y los clics de los anuncios son administrados por la red publicitaria de Microsoft

Promovamos este planteamiento mediante su difusión y el uso de motores de búsqueda respetuosos con la privacidad, sobre los que, por otro lado, hablaremos más adelante.

La UE califica de alto riesgo para la privacidad la adquisición de Google sobre Fitbit

El Comité Europeo de Protección de Datos (CEPD) ha emitido una declaración dirigida a las partes de la fusión entre Google LLC y Fitbit, Inc. (Empresa especializada en pulseras de monitorización de actividad personal, ejercicio, sueño, nutrición y peso), por las implicaciones que, para la privacidad de los usuarios, podría tener una fusión entre estas dos empresas de Big Data.

A la Comisión le preocupa la posible combinación y acumulación ulterior de datos personales delicados relativos a personas en Europa por parte de la empresa resultante de la fusión.

La CEPD (EDPB en Inglés), califica de alto nivel de riesgo para los derechos fundamentales a la privacidad y a la protección de los datos personales esta operación empresarial.

Es lógico que lo califique de alto riesgo porque los datos personales que recogen este tipo de pulseras de cuantificación son de salud y, por tanto, entran en la categoría de “sensibles” y de especial protección.

Los riesgos para los usuarios son enormes. Baste pensar en esto: la pulsera toma Big Data del ritmo cardiaco de un usuario; lo transfiere a Google; esta lo cede a sus clientes, filiales o socios (Véase, aseguradoras, entidades crediticias o bancarias y otros); finalmente, el usuario experimenta una subida de su póliza o una pérdida de su capacidad crediticia (Lógicamente nunca le van a decir que un algoritmo del departamento de riesgos estimó que, por su edad, ritmos cardiacos, peso y estilo de vida se estima que su vida será más corta).

El CEPD ha declarado anteriormente que es esencial evaluar las consecuencias a largo plazo para la protección de los derechos económicos, de protección de datos y del consumidor siempre que se proponga una fusión importante.

Por ello, el CEPD advierte a las partes de la fusión propuesta, de llevar a cabo de manera transparente una completa evaluación de los requisitos de protección de datos y las implicaciones de la fusión para la privacidad, según la normativa.

Con la privacidad no se juega

La CEPD insta a las partes a mitigar los posibles riesgos de la fusión para los derechos a la privacidad y protección de datos antes de notificar la fusión a la Comisión Europea. El EDPB considerará la implicaciones que esta fusión puede tener para la protección de los datos personales en el Área y está dispuesto a contribuir con su asesoramiento sobre la fusión propuesta a la Comisión si es así solicitado.

Ciertamente, la UE se muestra conciliadora en esta fase, pero, al mismo tiempo supone un aviso a tiempo de que si no se hacen bien las cosas, la fusión podría no llegar a autorizarse o tener otras implicaciones posteriores.

Lo más importante de esta declaración es poder comprobar cómo la progresiva relevancia de la privacidad en tanto que posible obstáculo a las fusiones empresariales de alto nivel.

Paso 1 para mejorar tu privacidad: Usar mails temporales

Seguramente no eres consciente de la cantidad de veces que facilitas tus datos personales, en particular tu correo electrónico, para obtener a cambio alguna recompensa de un servicio de terceros.

Una de las estrategias típicas en el márketing online de contenidos consiste en crear un producto digital en formato .pdf y motivar su descarga mediante una serie de convincentes contenidos que invitan a ello GRATIS.

De este modo, puedes obtener el “regalo” a cambio de facilitar una dirección de mail y, a menudo, otros datos adicionales, al efecto de que puedan luego enviarte spam mediante newsletters promocionales de sus productos o servicios.

También es frecuente que, para probar un servicio online nuevo que no sabemos si queremos contratar o no, utilicemos un periodo gratuito que nos permite testearlo y para lo cual, en lugar de crear una demo pública y accesible sin restricción, nos piden crear una cuenta de registro. A menudo se trata de negocios freemium.

A base de faciltar nuestro mail múltiples veces, no solo estamos dejando nuestra huella digital por toda la red, sino que, además, estamos generando más oportunidades de ser ciberatacados.

El primer paso para mejorar tu privacidad, por tanto, solo requiere dos cosas muy sencillas:

  • Que pienses bien si lo que te quieres descargar es realmente necesario
  • Que si finalmente es necesario descagar el producto digital que te pide tus datos a cambio, utilices un correo electrónico temporal

Así es, lo que te aconsejo es que utilices una dirección de mail temporal, también conocidas como mails desechables o direcciones de mail falsas que no requieren facilitar datos dado que no exigen registro alguno.

Efectivamente, este tipo de herramientas online son un servicio que permite recibir correo electrónico en una dirección temporal que se autodestruye después de cierto tiempo que es variable según el que uses.

Pero, ¿Por qué usar un mail que se autodestruye? pues porque muchos servicios como los comentados requieren un mail, bien para simple y directamente facilitar el producto digital directamente, bien para verificar quie quien se registra es una persona física a la que se exige confirmar el alta de registro pulsando un link que se debe recibir en la bandeja de entrada.

Personalmente, uso correos temporales de forma constante para no ceder más datos de los necesarios, pues suelo probar muchos servicios por razones profesionales y personalaes.

Existen múltiples opciones, pero algunas de ellas son: Temp Mail; Guerrilla Mail ó Tempail.

Si aún te queda duda de cómo funcionan, puedes ver este video explicativo realizado por chica geek en el que, además, podrás conocer otros servicios adicionales que puedes usar.

 

 

El efecto cascada global del Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos se publicó en 2016, pero entró en vigor del 25 de mayo de 2018. Llevamos, pues, casi un año desde su aplicación obligatoria y casi tres para que los responsables del tratamiento se fueran adaptando.

Desde entonces, el RGPD se ha convertido en el estándar de protección de datos mundial, hasta tal punto que está inspirando los cuerpos normativos de múltiples países.

Ejemplos de ello serían la CCPA, la nueva ley de protección de datos en California; la Ley General de Protección de Datos del Brasil; la Ley de Protección de Datos de Tailandia; la Ley de Protección de Datos de Kenia; y ahora Ecuador.

Como se puede ver, el ejemplo europeo ha cundido y está dando fruto en América, Asia y África, nada menos.

El país hispano americano, en concreto, se vió motivado tras una traumática experiencia nacional, pues sufrió una imponente brecha de datos personales  que alcanzó a alrededor de 20 millones de sus ciudadanos, por lo que el Ministerio de Telecomunicaciones declaró la urgencia de desarrollar una regulación de la privacidad.

No solo podemos felicitarnos de que Europa lidere la protección de este derecho fundamental a nivel global, sino que, además, estamos comprobando que, al servir de referencia, permite una regulación más armónica entre los países, poco a poco.

 

Cuando la solución de privacidad es realmente un lobo con piel de oveja

Las personas concernidas por su privacidad pueden ser víctimas ideales de lobos con piel de oveja. Cada vez conocemos más servicios, programas y empresas que, a cambio de prometer una ventaja de privacidad y seguridad, obtienen nuestros datos personales para revenderlos.

Así es. En los últimos meses, los escándalos por estos lobos disfrazados de ovejas protectoras de nuestra privacidad han adoptado distintas formas y usado distintos pretextos.

Desde antivirus que se han venido comportando como malware, siendo Avast el caso más clamoroso; pasando por extensiones de navegador que, bajo la promesa de proteger nuestros patrones de uso en Internet, nos roban nuestros metadatos; hasta servicios de VPN gratuitos que, con la excusa de cifrar gratis nuestro acceso a la nube, envían toda la información a servidores situados en terceros países; y llegando al paroxismo de empresas de ciberseguridad que ofrecían sus servicios de securización a gobiernos y multinacionales teniendo en el accioniariado a la mismísima CIA.

¿Qué conclusiones podemos sacar de estos casos?:

  • Que lo barato suele salir caro;
  • Que no podemos usar cualquier solución;
  • Que deberíamos tener un asesor cibernético;
  • Que la desconfianza debe inspirar nuestra respuesta primaria;
  • Que nuestros datos son tan valiosos que hay quienes los roban;
  • Que estos ladrones de datos personales son profesionales del engaño y el cinismo;

El usuario web normal cede sus datos personales a unas 350 empresas y los más intensivos a unas 2.834 de promedio

De acuerdo a lo publicado por Fast Company, el CEO de Mine, Gal Ringel, reportó que, tras el estudio que ha venido realizando su Startup sobre una muestra de 30.000 de sus usuarios, el usuario promedio tenía correos electrónicos que indicaban que estaban en las bases de datos de 350 compañías, con el 5% de los usuarios más importantes teniendo 2.834 compañías con acceso a sus datos.

Lo más alarmante es que cuando los usuarios no suelen ser conscientes de esta cantidad de datos en manos de terceros. Lo más positivo, que la herramienta permite concienciar sobre la exposición de datos personales.

Mine es una empresa que presta un servicio para darte a conocer qué empresas tienen los datos que les has cedido mediante el uso de tu correo electrónico para obtener recompensas o disfrutar de servicios.

Su algoritmo rastrea los correos electrónicos de los usuarios (Actualmente soporta Gmail y Outlook), y construye una gran base de datos con los destinatarios y remitentes de los mails que luego contrasta con sus listas de empresas que aglutinan datos.

Con toda esa información construye un informe que revela quiénes tratan datos personales porque se cedieron en algún momento, normalmente motivado en obtener albún beneficio pasajero.

Posteriormente, ofrece un servicio para ejercer el derecho de cancelación de los datos personales y su posterior destrucción, tal y como permite el artículo 16  del Reglamento General de Protección de Datos europeo.

No obstante, el directivo señala que, pese a todo, sus datos son incluso estimativos puesto que hay empresas que, pese a haber recibido su solicitud no le han enviado un correo electrónico (Bien porque no existan, bien porque se nieguen o se demoren).

La paradoja es que hay que conceder permiso a Mine para que acceda a nuestra información personal, de modo que nos pueda mostrar nuestra huella digital posteriormente. De hecho, Mine no informa de que sus procesos se realicen de forma anonimizada o encriptada, lo que, por otro lado, para ser una empresa enfocada en la privacidad, parece poco transparente.

Esto nos lleva a dos reflexiones. Por un lado, queda claro la enorme huella digital que vamos dejando tras nuestros registros en servicios de terceros. Por el otro, que incluso quienes se ofrecen a proteger nuestra privacidad, deberían dar garantías serias.

 

 

 

Si no controlas los datos que cedes, los algoritmos te harán perder derechos. Primera sentencia que condena a las administraciones por discriminar socialmente

No es un titular amarillista, es la cruda realidad, cada día más palmaria de que ceder datos sin control no es una cuestión de si tenemos mucho o poco que ocultar, sino de si tenemos mucho o poco que perder.

Y tenemos mucho que perder; perder dinero; perder oportunidades de trabajo; perder coberturas de seguros; perder financiación bancaria; perder ayudas sociales; perder elecciones; perder nuestra democracia…

A medida que la transformación digital avanza y lo invade todo, las inteligencias artificiales, que no son  otra cosa que algoritmos – programas con una capacidad enorme para hacer cosas y decidirlas en base a unos parámetros previamente introducidos – empiezan a tener un peso específico en la toma de decisiones de las entidades públicas y privadas.

Estamos habituados a vivir con el hecho de que detrás de las tomas de decisiones existen personas. Sin embargo, el entorno está cambiando. Detrás de las tomas de decisiones empieza a haber máquinas. Y cada vez más, en el presente más inmediato, las máquinas hablarán con las máquinas y, entre ellas, tomarán cada vez más decisiones.

Ceder datos sin control no es una cuestión de si tenemos mucho o poco que ocultar, sino de si tenemos mucho o poco que perder.

Los algoritmos, por su parte, tienen sesgos. Los sesgos que introducen quienes los programan. Esto quiere decir que un algoritmo puede ser tan ideológico como los parámetros que tenga introducidos. Y también puede ser tan arbitrario como los ajustes que se le hayan hecho.

Un tribunal holandés ha resuelto que el estado ha venido discriminando a sus ciudadanos al decidir determinadas ayudas sociales en función de un perfil de riesgo que calculaba la probabilidad de que la solicitud de la misma fuera un fraude. El ciudadano al que se le clasificaba como potencialmente estafador, formaba parte de un colectivo que se había categorizado como problemático, normalmente barrios de determinada tipología.

Para obtener dichos resultados, las administraciones municipales enlazaban todos los datos personales de sus residentes almacenados por todas ellas, los cruzaban y comparaban que los de los ciudadanos que habían delinquido. A su vista, se generaban nuevas listas negras que se podían conservar durante dos años para ser tomadas como un factor de decisión adicional.

Los municipios deben pedir permiso al citado ministerio si sospechan del posible abuso de las ayudas económicas, u otras actuaciones ilegales, para poder analizar la información. La Agencia Tributaria, la inspección de Asuntos Sociales y Empleo, o el Banco de la Seguridad Social disponen de acceso a SyRI, y el ciudadano puede consultar el informe a su nombre. Pero no es informado de forma automática de la investigación, según explica la coalición demandante en la web que creó para trabajar en el caso.

En términos de privacidad, el tribunal holandés falló en su sentencia que el uso del programa System Risk Indication “no respeta la privacidad del ciudadano y vulnera el artículo 8 de la Convención Europea de Derechos Humanos”, relativo al derecho a la vida privada. Con SyRI, el Ministerio de Asuntos Sociales y Empleo venía analizando desde 2014 datos sobre ingresos, pensiones, seguros, tipo de casa, impuestos, multas, integración, educación, deudas o subsidio de desempleo de los contribuyentes para calcular luego a base de algoritmos quién tiene más probabilidades de defraudar a la Administración.

Es decir, si vivías en un barrio que había sido declarado problemático y solicitabas una ayuda, el programa, que te tenía perfectamente rastreado, te ponía una nota para ser vigilado de forma automática.

Ceder nuestros datos genera una asimetría entre quienes los recogen, los ceden, los cruzan y los usan y nosotros. De esta cesión incontrolada de datos que hacemos sobre nuestra privacidad, solamente podemos salir perdedores.

Uno de los derechos regulados en el artículo 22 del Reglamento General de Protección de Datos. Este artículo, regulado por primera vez en la Historia, seuo, establece que: todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

Por su parte, los considerandos 71 y 72 del RGPD, establecen que:

El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento, incluso con fines de control y prevención del fraude y la evasión fiscal, realizada de conformidad con las reglamentaciones, normas y recomendaciones de las instituciones de la Unión o de los órganos de supervisión nacionales y para garantizar la seguridad y la fiabilidad de un servicio prestado por el responsable del tratamiento, o necesario para la conclusión o ejecución de un contrato entre el interesado y un responsable del tratamiento, o en los casos en los que el interesado haya dado su consentimiento explícito. En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor.

A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.

Lo que proclamamos en este blog parafraseando a nuestro insigne filósofo José Ortega y Gasset

“Yo soy yo y mis datos y si no los salvo a ellos, no me salvo yo”.