El pasado 29 de junio se entregaban durante la 8ª Sesión Anual Abierta de la AEPD los Premios de Protección de Datos 2015, que alcanzan este año su XIX edición. El acto fue inaugurado por el ministro de Justicia en funciones Rafael Catalá.
Estos premios, que se convocan en las categorías de Comunicación e Investigación, reconocen los trabajos que promueven el conocimiento del derecho fundamental a la protección de datos. Treinta y siete candidaturas se presentaron a los premios: diecinueve en la categoría de Comunicación y dieciocho en la de Investigación.
Bajo esta última categoría y en la modalidad de trabajo original e inédito, ha sido premiado el estudio realizado por la periodista Amaya Noain Sánchez ‘La protección de la intimidad y la vida privada en internet: la integridad contextual y los flujos de información en las redes sociales 2004-2014’, publicado conjuntamente por la Agencia Española de Protección de Datos (AEPD) y Boletín Oficial del Estado (BOE). La obra versa sobre los dilemas asociados a la confrontación entre el uso de la nuevas tecnologías y la protección de nuestra esfera privada.
En una conocida calle madrileña nos hemos reunido con Amaya para adentrarnos en su obra y conocer las conclusiones de su reciente estudio, que analiza todos aquellos problemas que los usuarios encuentran a la hora de interactuar con internet para proteger sus datos privados, profundizando en el uso de redes sociales entre los años 2004 y 2014.
- ¿Cómo está estructurada esta obra? ¿De qué partes consta y qué analizas en cada parte?
Al tratarse de una investigación, la primera parte más teórica sienta las bases conceptuales. Los dos pilares fundamentales son, de un lado la definición de intimidad y vida privada y, de otro, la caracterización del universo tecnológico.
Sobres ambos pilares abordo la confluencia entre estas dos realidades, hablando de fenómenos asociados habitualmente, como son: la extimidad, las intrusiones del espacio privado en el espacio público y finalmente la relativización de lo que se considera información reservada en función de los contextos en los que se emplaza.
La segunda parte de la obra analiza las redes sociales encabezadas por Facebook, dado que es la red que más dilemas plantea durante el periodo de análisis.
Al final de la obra, planteo una serie de interrogantes acerca de si realmente el usuario es capaz de percibir y comprender la totalidad de los flujos de intercambios de información que se produce bajo la interfaz de las redes sociales.
- ¿Cuáles son las fuentes de información de tu obra?
Comencé mi investigación analizando otros estudios científicos previos, a la vez que participaba en trabajos de campo en Goethe-Universität Frankurt am Main para conocer de primera mano cómo interactuaban los usuarios con las redes sociales. Algunos de estos trabajos se realizaron en el contexto de proyectos, que se llevan a cabo entre la Universidad de Goethe y el Fraunhofer-Institut für Sichere Informationstechnologie SIT (Instituto Fraunhofer para la seguridad de información).
- ¿Crees que las empresas plataformas de ‘redes sociales’ informan suficientemente al usuario del uso que realizará de sus datos?
No, este es un tema cardinal del libro. Tras analizar los problemas que encontraban los usuarios para proteger sus datos personales, observamos que en una amplia mayoría de casos, estos carecían de información suficiente para decidir si incluir sus datos en la red.
- ¿Es el usuario de redes sociales conocedor del camino o trayectoria de sus datos desde que se da de alta en una red social hasta que interactúa y comparte información de su vida privada?
En una amplia mayoría de casos el usuario lo desconoce, se da la particularidad de que la única información que obtiene el usuario es la que recibe de la parte visible de la red: el interfaz. De este modo no es capaz de acceder al intercambio de informaciones que se da con otras terceras aplicaciones u otros desarrolladores.
- Los datos del usuario, como nombre, localización, o compras. ¿Hasta qué punto son utilizados por las redes sociales y terceras empresas?
Por una parte estos datos son utilizados para perfilar al usuario y convertirle en un potencial consumidor de un servicio, lo que se conoce como creación del público objetivo o targeting. En este caso, la triangulación de datos no indica de por sí que se vaya a conocer la identidad del usuario. Un caso más peligroso sería cuando esta triangulación nos permite conocer datos personales, mediante los cuales, podemos identificar a la persona que se oculta tras esas informaciones.
- ¿Cómo pueden los propios usuarios desarrollar estrategias de autoprotección de la privacidad?
Hasta cierto punto no está en manos de los usuarios saber cómo se van a utilizar los datos. Bajo mi perspectiva, lo primero que deben pensar es que no siempre van a poder controlar la información que vierten en una red social, dado que esta puede decidir cambiar en cualquier momento las configuraciones de privacidad o el contrato que firma el usuario. Como estas cláusulas son tan farragosas, es muy complicado que cada vez que se produzca un cambio en las condiciones del servicio, el usuario sea capaz de memorizar las nuevas condiciones.
- Hablas en tu obra de posibles soluciones ante los problemas que plantea la falta de privacidad en Internet, como directrices técnicas compartidas y una adaptación normativa con respecto a la privacidad. Y aludes a la privacidad por defecto y el consentimiento informado. ¿Puedes explicar un poco más cómo desarrollar estos puntos?
Lo básico sería que todas las aplicaciones sociales por internet incluyeran la privacidad desde el diseño. Esto significa que cada vez realizamos alguna opción en una red social e introducimos una información, la configuración que aparece incluida por defecto es la que otorga una mayor protección a nuestros datos.
En aquellos casos en los que se solicite información al usuario, el consentimiento debe darse de manera explícita y a priori, es decir, antes de que se utilice esa información, al contrario de lo que sucede actualmente en las redes sociales, en las que el individuo se fuerza al individuo a denegar el consentimiento siempre a posteriori.
- El resultado de estas soluciones propuestas nos llevaría a un sistema de información por capas, en el que el usuario reconociera gradualmente cómo se está tratando su información personal. ¿Cómo funcionaría ese sistema?
Lo ideal es que el usuario interiorice todos aquellos contextos en los que su información pueda verse comprometida. Para ello, puede aplicarse un sistema de información por capas, que una vez asimilado por el usuario, le permita identificar situaciones de riesgo.
Por ejemplo, cuando el usuario interactúa a través de una red social, debería conocer que esta aplicación, aún siendo utilizada por todos sus contactos y aparentemente le resulte inocua, puede estar accediendo a ciertos datos personales de los que no se ha percatado. Con el sistema de capas, ofreceríamos información al usuario para que reconozca los peligros asociados a dicha aplicación.
- Nos has hablado del targeting y el tracking down. ¿Podríamos afirmar que el negocio de las redes está basado en la monetización de los datos sus usuarios?
Realmente cuando un usuario se da de alta en una red social, lo que está haciendo es introducir información suya en una base de datos estructurada. Estos datos son necesarios para que funcione la red social, pero a la vez esto provoca que empresas como Facebook se haya hecho con una cantidad de información privada y no privada de sus usuarios que resulta muy apetitosa para los anunciantes. En esta investigación, nos hemos percatado que el flujo de datos que se da ente las redes sociales y las empresas asociados otorga grandes beneficios.
En la obra analizamos de dónde proviene la recogida de información, analizando, de un lado, las prácticas abusivas de las empresas y, de otro, las acciones de los usuarios. Estas últimas las hemos estudiado a través del trabajo campo; mientras que las de las de las empresas las hemos aboradao a través de las denuncias de diversos colectivos de derechos civiles, como la Civil Liberties Union (ACLU) o la Electronic Frontier Foundation (EFF). También hemos contado con los informes de la Federal Trade Comision , que vela por los derechos de los consumidores en Estados Unidos, de autoridades nacionales de protección de datos, y de otros organismos como la Office of the Privacy Commissioner of Canada.
- ¿Qué conclusiones sacas de esta investigación con respecto a la privacidad de usuarios en Internet y concretamente en redes sociales?
Es necesario que las empresas que operan en suelo europeo lo hagan con arreglo a la legislación de protección de datos europea. Sin embargo, esto por ahora sigue siendo complicado y tampoco se trata de legislar cada posible peligro para nuestra vida privada, sino hacer hincapié en la información que se ofrece al usuario para que este sea capaz de decidir lo que quiere proteger y lo que desea mostrar.