Tus datos son tóxicos
El rastro de información que los usuarios dejan en Internet puede ser usado en su contra. En la era digital, proteger la privacidad es la única forma de conseguir una sociedad libre
CARISSA VÉLIZ
El País
En esta fase temprana de la era digital salen a la luz de forma constante escándalos relacionados con la violación de la privacidad. Desde el llamado porno por despecho, con la publicación de fotos íntimas de exparejas, hasta el comercio con historiales médicos sin consentimiento de los pacientes, pasando por el llamado microtargeting mercadotécnico, que utiliza los datos de un consumidor potencial para tratar de influir en sus decisiones. También ha habido casos específicos y mediáticos como el de Ashley Madison —una red social de citas amorosas extramatrimoniales que sufrió un ataque que hizo públicos perfiles de millones de usuarios— o el más reciente, el de Cambridge Analytica, consultora que usó los perfiles de millones de usuarios de Facebook para manipular procesos electorales en todo el mundo.
Estos desastres demuestran la importancia de la privacidad. Mantener a salvo nuestros datos nos protege de humillaciones que pueden resultar catastróficas para sus víctimas, nos ayuda a evitar discriminaciones injustas y contribuye a la buena salud de las democracias al ser una condición necesaria para que los ciudadanos puedan formarse una opinión relativamente libre de injerencias.
De esos mismos desastres podemos extraer, además, algunas lecciones fundamentales. Un elemento importante es que las consecuencias de la pérdida de privacidad no suelen materializarse de forma inmediata porque los daños relacionados con estos delitos son acumulativos. Algo parecido sucede con el medio ambiente: ningún coche es, por sí solo, responsable del cambio climático, pero la acumulación de las emisiones de todos los coches en su conjunto contribuye sin duda a agravar el problema.
La mayoría de fugas en Internet se producen sin que los usuarios lo sepan o puedan oponerse
Lo más peligroso es que los efectos nocivos pueden ser invisibles hasta que se llega a un punto en el que el desastre es inminente e irreversible. Cabría pensar que no pasa nada por ceder un dato personal a una empresa. Pero, una vez que se ha dado una información, a menudo no se puede recuperar y esta rara vez permanece aislada, sino que se acumula, agrega, analiza y utiliza, muchas veces en detrimento de los sujetos que la cedieron.
Precisamente porque los daños derivados son acumulativos, esos datos personales constituyen un desastre en potencia. Almacenarlos es como guardar una bomba que, tarde o temprano, explotará. Por eso, el experto en seguridad Bruce Schneier se refiere a ellos como “bienes tóxicos”: tarde o temprano serán utilizados en nuestra contra. Incluso cuando la información ha sido recogida con buenas intenciones —en las investigaciones médicas, por ejemplo—, si los datos se guardan durante suficiente tiempo, es posible que al final sean vendidos o robados y utilizados con fines nada constructivos.
Los datos son vulnerables, y por eso hacen vulnerable tanto a quien los almacena (una fuga de información puede desvelar secretos empresariales o terminar en una costosa demanda) como a los sujetos de esos datos. Esa información que se recoge es peligrosa porque no es fácil de proteger.
Cabría pensar que no pasa nada por ceder información, pero es difícil de proteger y no se suele poder recuperar
Garantizar la seguridad es muy complicado, porque los ciberatacantes siempre juegan con ventaja. Quienes tratan de romper las defensas pueden escoger el momento y la manera de hacerlo, mientras que quien trata de salvaguardar la privacidad tiene que protegerse de cualquier tipo de ataque en todo momento. Un atacante habilidoso, motivado y con dinero suficiente tiene grandes probabilidades de éxito. A este peligro hay que añadir que los datos son muy codiciados; son las pepitas de oro del Lejano Oeste de Internet. Siempre habrá gente que trate de aprovecharse de las vulnerabilidades de nuestra información personal.
Sacar partido de esas debilidades puede reportar dinero y poder. Dinero, porque nuestros datos se pueden vender a otras empresas: cuanto más se sabe de nosotros, más fácil y fiable resulta el cálculo de qué querríamos comprar y cuánto estaríamos dispuestos a pagar por ello. Esto desemboca, por ejemplo, en prácticas como los llamados “precios discriminatorios”, es decir, en que unos paguen más que otros por el mismo servicio. Una aseguradora médica también puede ahorrarse dinero si rechaza a los clientes que, según sus datos, tienen malos hábitos alimenticios o genes tendentes a determinadas enfermedades. Los Gobiernos también compran datos. Además, el valor de esos datos puede utilizado para la extorsión y el robo.
Respecto del poder, cuanta más información se tiene de nosotros, más vulnerables somos. Si un Gobierno, por ejemplo, fuese capaz de saberlo todo sobre sus ciudadanos (sus búsquedas en Internet, lo que leen, los mensajes que mandan), también podría aplastar cualquier intento de disidencia antes de que lograra manifestarse de manera organizada. La vigilancia permite adelantarse a los actos de las personas señaladas, permite dominarlas. Supongamos que toda la información recabada sobre nosotros acaba un día en manos de un tirano, se podría decir que estamos construyendo ahora la arquitectura de datos sobre la que se sostendría una dictadura en el futuro. Al fin y al cabo, la caza de judíos por parte de los nazis fue mucho más eficaz en aquellos lugares donde había buenos registros civiles. Y tampoco es casualidad que los nazis innovaran en técnicas de registro e identificación de la población, apoyados en una empresa informática, IBM, y en su tecnología de la tarjeta perforada.
Se debería ofrecer a los usuarios un sistema de limpieza para borrar sus datos de forma periódica
Por eso es aterrador el llamado “crédito social” que está poniendo en marcha el Gobierno chino. Este sistema evalúa la reputación de una persona a partir de todos los datos que de ella se tienen y, de acuerdo con su calificación, permite limitar su acceso a diferentes oportunidades. En febrero de 2017, el Tribunal Popular Supremo de ese país anunció que había prohibido coger un avión a 6,15 millones de personas en los últimos cuatro años por haber cometido “delitos sociales”. Otros 1,65 millones están en la lista negra que les impide desplazarse en tren. El Gobierno está creando un sistema de control total en el que se registra y califica cada acción de cada individuo; y no contentos con eso, para hacer notar el poder absoluto que están acumulando, se castiga con la exclusión social a aquellos que se desmarcan de las líneas establecidas.
El respeto a la privacidad va de la mano del respeto a la democracia, la libertad y la igualdad. Si se nos trata de manera diferente por lo que se sabe de nosotros —por nuestros hábitos de compra, poder adquisitivo, genes, estado de salud o cualquier otro detalle personal—, se rompe el principio de igualdad de oportunidades sobre el que se asienta una democracia. Un ejemplo claro: cuando se descubrió que los algoritmos de Google mostraban anuncios de trabajos bien pagados a más hombres que mujeres. Si el buscador no fuese capaz de saber si somos mujeres u hombres, ricos o pobres, nos trataría a todos por igual.
Habrá gente que quiera ser tratada de forma diferente y a la que no moleste que se le muestre publicidad personalizada. Pero para quien sospecha que sus datos pueden actuar en su contra —por ser mujer, por ser negro, por ser pobre o rico, por estar enfermo—, el riesgo de discriminación pesa más que la ventaja de ver anuncios de su marca favorita. Si algunos optan por ceder sus datos y recibir un tratamiento personalizado, siempre habrá perdedores, gente a quien se trate peor. ¿No sería mejor que las empresas e instituciones nos trataran de la forma más igualitaria posible? Las consecuencias negativas de la pérdida de privacidad no se dan solo a nivel individual, sino también a un nivel social y político. El mito de que la privacidad es un lujo reservado a pudorosos. Quien salvaguarda su privacidad no está anteponiendo su interés personal de manera egoísta, sino que está protegiendo el bien común: la seguridad de todos y la democracia.
Las sustancias altamente tóxicas están prohibidas o muy reguladas en nuestras sociedades. Así que cabe preguntarse si el nivel de toxicidad de algunos datos es tan alto que deberían estar fuera de circulación, o al menos fuera del mercado. De la misma forma que estamos de acuerdo en que algunas cosas muy importantes o sensibles no deben estar a la venta, como los niños, los órganos y los votos.
Cierto tipo de información es tan personal y sensible que no debería ser posible lucrarse con ella. Por ejemplo, las empresas que comercian con datos (data brokers) investigan detalles de la historia de cada usuario de Internet para saber qué venderles y cómo. Separan a la gente en listas que permiten ver sus vulnerabilidades y que venden a otras empresas. Las categorías de esas listas incluyen descripciones como “víctimas de violaciones”, “perdió a su hija en un accidente”, “personas mayores con demencia” y “enfermos de sida”. La información de que alguien ha sido víctima de un crimen, ha sufrido un accidente o padece una enfermedad no debería poder compartirse sin el consentimiento de la persona en cuestión, ni mucho menos poder venderse o usarse para aprovecharse de sus debilidades.
Con otro tipo de datos, menos sensibles y quizá necesarios para el funcionamiento de diferentes servicios, habría que crear procedimientos que permitan que puedan borrarse de manera rutinaria para evitar que se acumulen y posibles fugas. Las redes sociales y otras empresas podrían proporcionar a sus usuarios un sistema de limpieza que permita borrar aplicaciones que ya no se usan, amigos con los que no han interactuado en años y datos que no es necesario guardar. Los tuits y las publicaciones en Facebook podrían tener fecha de caducidad.
Max Schrems, defensor de la privacidad en la Red y director de la organización NOYB (siglas de None Of Your Business, no es asunto tuyo), quiere llevar a juicio a las empresas que violen las normas de privacidad. Schrems borra sus tuits cada dos meses. Como él, la gente debería hacer todo lo posible para proteger su privacidad: ceder tan pocos datos como sea posible, usar servicios que cumplan las normas (DuckDuckGo en vez de Google, Telegram en lugar de WhatsApp, ProtonMail y no Gmail…) y borrar de vez en cuando los datos acumulados. Sin embargo, resulta excesivo trasladar toda la responsabilidad a los usuarios. No solo por la dificultad, que raya en la imposibilidad, que conlleva estar al tanto de lo que se puede hacer por proteger la privacidad a nivel individual, sino también porque la gran mayoría de fugas de datos suceden sin que los usuarios lo sepan o puedan oponerse. Nada puede sustituir en este campo a la regulación oficial.
El Reglamento General de Protección de Datos (RGPD) es la legislación sobre privacidad más puntera y entrará en vigor en la UE el 25 de mayo. Esta nueva ley constituye un verdadero hito histórico: no solo representa el sentir de los europeos en un momento en el que se hacen cada vez más evidentes los peligros de la era digital, sino que también marca un tiempo de madurez en esta era. El Salvaje Oeste está dejando de serlo. Empresas como Facebook y Google han abusado de nuestra confianza. La UE está demostrando visión y liderazgo al comprometerse con la protección de los derechos de sus ciudadanos. Entre otras cosas, la nueva normativa establece el derecho al olvido. Los ciudadanos pueden reclamar que quienes controlan sus datos los borren, que cese la diseminación de su información personal o exigir que no sean procesada por terceros.
El éxito de la legislación dependerá de que las instituciones europeas sean firmes en su aplicación y de que los ciudadanos exijamos nuestros derechos. Hay que pedir a las empresas e instituciones que borren nuestros datos siempre que sea posible. Y hay que organizarse para poder llevar a juicio a quien no cumpla con la ley. De lo contrario, si seguimos acumulando datos como acumulamos basura, podríamos acabar siendo testigos de un cataclismo de privacidad de una magnitud nunca antes vista.
CARISSA VÉLIZ
El País
En esta fase temprana de la era digital salen a la luz de forma constante escándalos relacionados con la violación de la privacidad. Desde el llamado porno por despecho, con la publicación de fotos íntimas de exparejas, hasta el comercio con historiales médicos sin consentimiento de los pacientes, pasando por el llamado microtargeting mercadotécnico, que utiliza los datos de un consumidor potencial para tratar de influir en sus decisiones. También ha habido casos específicos y mediáticos como el de Ashley Madison —una red social de citas amorosas extramatrimoniales que sufrió un ataque que hizo públicos perfiles de millones de usuarios— o el más reciente, el de Cambridge Analytica, consultora que usó los perfiles de millones de usuarios de Facebook para manipular procesos electorales en todo el mundo.
Estos desastres demuestran la importancia de la privacidad. Mantener a salvo nuestros datos nos protege de humillaciones que pueden resultar catastróficas para sus víctimas, nos ayuda a evitar discriminaciones injustas y contribuye a la buena salud de las democracias al ser una condición necesaria para que los ciudadanos puedan formarse una opinión relativamente libre de injerencias.
De esos mismos desastres podemos extraer, además, algunas lecciones fundamentales. Un elemento importante es que las consecuencias de la pérdida de privacidad no suelen materializarse de forma inmediata porque los daños relacionados con estos delitos son acumulativos. Algo parecido sucede con el medio ambiente: ningún coche es, por sí solo, responsable del cambio climático, pero la acumulación de las emisiones de todos los coches en su conjunto contribuye sin duda a agravar el problema.
La mayoría de fugas en Internet se producen sin que los usuarios lo sepan o puedan oponerse
Lo más peligroso es que los efectos nocivos pueden ser invisibles hasta que se llega a un punto en el que el desastre es inminente e irreversible. Cabría pensar que no pasa nada por ceder un dato personal a una empresa. Pero, una vez que se ha dado una información, a menudo no se puede recuperar y esta rara vez permanece aislada, sino que se acumula, agrega, analiza y utiliza, muchas veces en detrimento de los sujetos que la cedieron.
Precisamente porque los daños derivados son acumulativos, esos datos personales constituyen un desastre en potencia. Almacenarlos es como guardar una bomba que, tarde o temprano, explotará. Por eso, el experto en seguridad Bruce Schneier se refiere a ellos como “bienes tóxicos”: tarde o temprano serán utilizados en nuestra contra. Incluso cuando la información ha sido recogida con buenas intenciones —en las investigaciones médicas, por ejemplo—, si los datos se guardan durante suficiente tiempo, es posible que al final sean vendidos o robados y utilizados con fines nada constructivos.
Los datos son vulnerables, y por eso hacen vulnerable tanto a quien los almacena (una fuga de información puede desvelar secretos empresariales o terminar en una costosa demanda) como a los sujetos de esos datos. Esa información que se recoge es peligrosa porque no es fácil de proteger.
Cabría pensar que no pasa nada por ceder información, pero es difícil de proteger y no se suele poder recuperar
Garantizar la seguridad es muy complicado, porque los ciberatacantes siempre juegan con ventaja. Quienes tratan de romper las defensas pueden escoger el momento y la manera de hacerlo, mientras que quien trata de salvaguardar la privacidad tiene que protegerse de cualquier tipo de ataque en todo momento. Un atacante habilidoso, motivado y con dinero suficiente tiene grandes probabilidades de éxito. A este peligro hay que añadir que los datos son muy codiciados; son las pepitas de oro del Lejano Oeste de Internet. Siempre habrá gente que trate de aprovecharse de las vulnerabilidades de nuestra información personal.
Sacar partido de esas debilidades puede reportar dinero y poder. Dinero, porque nuestros datos se pueden vender a otras empresas: cuanto más se sabe de nosotros, más fácil y fiable resulta el cálculo de qué querríamos comprar y cuánto estaríamos dispuestos a pagar por ello. Esto desemboca, por ejemplo, en prácticas como los llamados “precios discriminatorios”, es decir, en que unos paguen más que otros por el mismo servicio. Una aseguradora médica también puede ahorrarse dinero si rechaza a los clientes que, según sus datos, tienen malos hábitos alimenticios o genes tendentes a determinadas enfermedades. Los Gobiernos también compran datos. Además, el valor de esos datos puede utilizado para la extorsión y el robo.
Respecto del poder, cuanta más información se tiene de nosotros, más vulnerables somos. Si un Gobierno, por ejemplo, fuese capaz de saberlo todo sobre sus ciudadanos (sus búsquedas en Internet, lo que leen, los mensajes que mandan), también podría aplastar cualquier intento de disidencia antes de que lograra manifestarse de manera organizada. La vigilancia permite adelantarse a los actos de las personas señaladas, permite dominarlas. Supongamos que toda la información recabada sobre nosotros acaba un día en manos de un tirano, se podría decir que estamos construyendo ahora la arquitectura de datos sobre la que se sostendría una dictadura en el futuro. Al fin y al cabo, la caza de judíos por parte de los nazis fue mucho más eficaz en aquellos lugares donde había buenos registros civiles. Y tampoco es casualidad que los nazis innovaran en técnicas de registro e identificación de la población, apoyados en una empresa informática, IBM, y en su tecnología de la tarjeta perforada.
Se debería ofrecer a los usuarios un sistema de limpieza para borrar sus datos de forma periódica
Por eso es aterrador el llamado “crédito social” que está poniendo en marcha el Gobierno chino. Este sistema evalúa la reputación de una persona a partir de todos los datos que de ella se tienen y, de acuerdo con su calificación, permite limitar su acceso a diferentes oportunidades. En febrero de 2017, el Tribunal Popular Supremo de ese país anunció que había prohibido coger un avión a 6,15 millones de personas en los últimos cuatro años por haber cometido “delitos sociales”. Otros 1,65 millones están en la lista negra que les impide desplazarse en tren. El Gobierno está creando un sistema de control total en el que se registra y califica cada acción de cada individuo; y no contentos con eso, para hacer notar el poder absoluto que están acumulando, se castiga con la exclusión social a aquellos que se desmarcan de las líneas establecidas.
El respeto a la privacidad va de la mano del respeto a la democracia, la libertad y la igualdad. Si se nos trata de manera diferente por lo que se sabe de nosotros —por nuestros hábitos de compra, poder adquisitivo, genes, estado de salud o cualquier otro detalle personal—, se rompe el principio de igualdad de oportunidades sobre el que se asienta una democracia. Un ejemplo claro: cuando se descubrió que los algoritmos de Google mostraban anuncios de trabajos bien pagados a más hombres que mujeres. Si el buscador no fuese capaz de saber si somos mujeres u hombres, ricos o pobres, nos trataría a todos por igual.
Habrá gente que quiera ser tratada de forma diferente y a la que no moleste que se le muestre publicidad personalizada. Pero para quien sospecha que sus datos pueden actuar en su contra —por ser mujer, por ser negro, por ser pobre o rico, por estar enfermo—, el riesgo de discriminación pesa más que la ventaja de ver anuncios de su marca favorita. Si algunos optan por ceder sus datos y recibir un tratamiento personalizado, siempre habrá perdedores, gente a quien se trate peor. ¿No sería mejor que las empresas e instituciones nos trataran de la forma más igualitaria posible? Las consecuencias negativas de la pérdida de privacidad no se dan solo a nivel individual, sino también a un nivel social y político. El mito de que la privacidad es un lujo reservado a pudorosos. Quien salvaguarda su privacidad no está anteponiendo su interés personal de manera egoísta, sino que está protegiendo el bien común: la seguridad de todos y la democracia.
Las sustancias altamente tóxicas están prohibidas o muy reguladas en nuestras sociedades. Así que cabe preguntarse si el nivel de toxicidad de algunos datos es tan alto que deberían estar fuera de circulación, o al menos fuera del mercado. De la misma forma que estamos de acuerdo en que algunas cosas muy importantes o sensibles no deben estar a la venta, como los niños, los órganos y los votos.
Cierto tipo de información es tan personal y sensible que no debería ser posible lucrarse con ella. Por ejemplo, las empresas que comercian con datos (data brokers) investigan detalles de la historia de cada usuario de Internet para saber qué venderles y cómo. Separan a la gente en listas que permiten ver sus vulnerabilidades y que venden a otras empresas. Las categorías de esas listas incluyen descripciones como “víctimas de violaciones”, “perdió a su hija en un accidente”, “personas mayores con demencia” y “enfermos de sida”. La información de que alguien ha sido víctima de un crimen, ha sufrido un accidente o padece una enfermedad no debería poder compartirse sin el consentimiento de la persona en cuestión, ni mucho menos poder venderse o usarse para aprovecharse de sus debilidades.
Con otro tipo de datos, menos sensibles y quizá necesarios para el funcionamiento de diferentes servicios, habría que crear procedimientos que permitan que puedan borrarse de manera rutinaria para evitar que se acumulen y posibles fugas. Las redes sociales y otras empresas podrían proporcionar a sus usuarios un sistema de limpieza que permita borrar aplicaciones que ya no se usan, amigos con los que no han interactuado en años y datos que no es necesario guardar. Los tuits y las publicaciones en Facebook podrían tener fecha de caducidad.
Max Schrems, defensor de la privacidad en la Red y director de la organización NOYB (siglas de None Of Your Business, no es asunto tuyo), quiere llevar a juicio a las empresas que violen las normas de privacidad. Schrems borra sus tuits cada dos meses. Como él, la gente debería hacer todo lo posible para proteger su privacidad: ceder tan pocos datos como sea posible, usar servicios que cumplan las normas (DuckDuckGo en vez de Google, Telegram en lugar de WhatsApp, ProtonMail y no Gmail…) y borrar de vez en cuando los datos acumulados. Sin embargo, resulta excesivo trasladar toda la responsabilidad a los usuarios. No solo por la dificultad, que raya en la imposibilidad, que conlleva estar al tanto de lo que se puede hacer por proteger la privacidad a nivel individual, sino también porque la gran mayoría de fugas de datos suceden sin que los usuarios lo sepan o puedan oponerse. Nada puede sustituir en este campo a la regulación oficial.
El Reglamento General de Protección de Datos (RGPD) es la legislación sobre privacidad más puntera y entrará en vigor en la UE el 25 de mayo. Esta nueva ley constituye un verdadero hito histórico: no solo representa el sentir de los europeos en un momento en el que se hacen cada vez más evidentes los peligros de la era digital, sino que también marca un tiempo de madurez en esta era. El Salvaje Oeste está dejando de serlo. Empresas como Facebook y Google han abusado de nuestra confianza. La UE está demostrando visión y liderazgo al comprometerse con la protección de los derechos de sus ciudadanos. Entre otras cosas, la nueva normativa establece el derecho al olvido. Los ciudadanos pueden reclamar que quienes controlan sus datos los borren, que cese la diseminación de su información personal o exigir que no sean procesada por terceros.
El éxito de la legislación dependerá de que las instituciones europeas sean firmes en su aplicación y de que los ciudadanos exijamos nuestros derechos. Hay que pedir a las empresas e instituciones que borren nuestros datos siempre que sea posible. Y hay que organizarse para poder llevar a juicio a quien no cumpla con la ley. De lo contrario, si seguimos acumulando datos como acumulamos basura, podríamos acabar siendo testigos de un cataclismo de privacidad de una magnitud nunca antes vista.