La Privacidad en la Sociedad de la Infomación: Una taxonomía de la privacidad
1. La Privacidad en la Sociedad de la
Infromación
Una taxonomía de la privacidad
A pesar de lo mucho que se habla de privacidad, éste resulta un concepto difícil de definir
con precisión. Por una parte la privacidad no puede entenderse de forma independiente
de la sociedad y de las necesidades sociales. Como afirma D. Solove (1) (2) (3) la
privacidad permite aliviar un cierto rango de fricciones sociales, permite a las personas
participar en actividades de valor, individual y social, en formas que de otro modo serían
muy difíciles o imposibles. El término privacidad resulta ser según este mismo autor
una especie de "paraguas" que cubre un cierto número de elementos, diferentes entre si
pero a la vez estrechamente relacionados. En aras de clarificar esta multitud de facetas
asociadas a la privacidad vamos a presentar a continuación un resumen de la taxonomía
que el referido autor ha elaborado al respecto y que constituye una de las referencias
mas importantes.
En la referida taxonomía, se identifican cuatro grupos de actividades que forman parte del
concepto general de privacidad y que constituyen potencialmente riesgos y problemas
para los ciudadanos: 1) Recogida de Información; 2) Procesado de Información: 3)
Diseminación de Información; 4) Invasión de la Privacidad. Cada uno de estos grupos
se divide a su vez en un cierto numero de subactividades (16 en total). La taxonomía se
ha desarrollado poniendo en el centro de la misma a las personas, cuya vida puede verse
afectada negativamente por las actividades y subactividades identificadas.
La recogida de información puede a veces ser una actividad dañina en si misma,
aunque obviamente solo en algunos casos. Aquellas entidades que recogen datos ("data
holders", almacenadores de contenidos) pueden también procesarlos, almacenarlos,
combinarlos, manipularlos, someterlos a algoritmos de búsqueda de información así
como hacer uso de los mismos. Todas estas actividades se denominan de procesado
de información. La siguiente etapa es la de diseminación de información, en la cual
las entidades que han acumulado y disponen de datos de los usuarios, transfieren los
mismos a otras entidades y/o diseminan en abierto la información.
Esta cadena, que comienza con la etapa de recogida de información, continúa con la
etapa de procesado y finaliza con la de diseminación, supone además una progresiva y
creciente disminución del control sobre sus propios datos de las personas sobre las que
éstos se recogieron en primer lugar.
La ultima clase de actividades en la referida taxonomía es la denominada como invasión,
que recoge actividades que inciden y actúan directamente sobre las personas y que no
tienen que ver necesariamente con el manejo de información. La relación entre los
citados grupos de actividades y subactividades puede verse reflejada en la siguiente
figura de D. Solove (1) (2) (3).
1
2. El primer grupo de actividades, como se ha comentado, es el de Recogida de Información
y puede resultar en una serie de problemas consecuencia del propio proceso de recogida
de informacion, y ésto aunque la información recogida no sea posteriormente diseminada
o revelada públicamente. Se identifican dos subactividades: 1) Vigilancia; 2)
Interrogación.
• Vigilancia: Cuando se realiza de una cierta forma (como por ejemplo la
monitorización continua) la vigilancia puede provocar problemas, como por
ejemplo sentimientos de ansiedad e incomodidad. El hecho de que una persona
se de cuenta de que la están vigilando puede además alterar su
comportamiento, desembocando en inhibicion y autocensura. Por otra parte, en
muchas ocasiones, la vigilancia puede ser positiva socialmente pero utilizada
en un grado excesivo puede afectar negativamente a la libertad individual, la
creatividad y el desarrollo de las personas.
2
3. • Interrogación: Interrogación equivale a presionar a las personas para que
divulguen información. Por una parte la interrogación puede tener beneficios
desde un punto de vista social. Por otra puede provocar daños a las personas.
Parte de este daño se deriva del grado de coacción que se haya ejercido. Otro
aspecto negativo asociado a la interrogación es su potencial para desembocar
en una visión distorsionada de la información conseguida, en función de las
habilidades o intenciones (no siempre rectas) de la persona que realice el
interrogatorio.
El segundo grupo de actividades es el de Procesado de Información, lo que se refiere al
uso, almacenamiento y manipulación de los datos que han sido recogidos previamente.
Se identifican 5 subactividades; 1) Agregación; 2) Identificación; 3) Inseguridad; 4)
Uso secundario; 5) Exclusión.
• Agregación: Por agregación se entiende la recolección de información sobre una
persona. Un solo dato puede no decir mucho por si mismo pero si se junta con
otros muchos, sirve para obtener un retrato bastante completo de esa persona.
En este sentido el todo es mayor que la suma de las partes, debido a las sinergias
que ese proceso de agregación consigue en muchas ocasiones La consecuencia,
es que cuando se analiza la información así agregada pueden salir a la luz hechos
sobre una persona que ésta no esperaba en modo alguno fueran divulgados
cuando fueron recogidos los diferentes datos de forma aislada. El proceso de
agregación se ha vuelto mucho mas poderoso en esta era de las tecnologías de la
información. La agregación en si misma no tiene por que ser perjudicial, pero en
muchas ocasiones si lo es (por ejemplo, cuando se obtiene un informe mediante
3
4. un proceso de agregación sobre una persona y a continuación se usa para decidir
si se le debe conceder o no un crédito, sin que la persona tenga conocimiento ni
control efectivo alguno sobre lo que ese informe contiene).
• Identificación: La identificación nos permite verificar, por ejemplo, si una
persona es el autentico dueño de una cuenta de correo electrónico y tiene derecho
a acceder a la misma. La identificación tiene por tanto muchos beneficios pero
también puede producir problemas, derivados de que la identificación es un
proceso que asocia conjuntos de datos con personas específicas y puede alterar,
erroneamente en ocasiones, la opinión sobre ellas de otras personas. También
incrementa el poder de los gobiernos sobre los ciudadanos y en este sentido
ha sido frecuentemente usada de forma extrema por gobiernos totalitarios para
incrementar el grado de control social. Conviene no olvidar que es el anonimato
(o pseudo anonimato) lo que protege muchas veces a las personas de ser
juzgadas de forma sesgada debido a su identidad y les permite asociarse y votar
con mayor libertad y sin temor a represalias. En este sentido los presentes
esfuerzos de muchos gobiernos y compañías comerciales para conseguir tener
identificados en todo momento a los usuarios de Internet son particularmente
preocupantes.
• Inseguridad: El robo de identidad es uno de los delitos que están creciendo mas
rápidamente dentro del ámbito de Internet y es una de las consecuencias de
un grupo de problemas mas amplio que se puede denominar como inseguridad.
Inseguridad por tanto se refiere a aquellos problemas causados por la forma en
que nuestra información (los informes que sobre la mayoría de nosotros tienen
muchas compañías comerciales y agencias gubernamentales) es gestionada y
protegida. La mayoría de las leyes y reglamentos referidos a privacidad exigen
que esta sea conservada de forma segura (aunque muchas veces, en la práctica,
no es así).
• Uso secundario: Las leyes y reglamentos referidos a la privacidad suelen obligar
a comunicar a los usuarios cual es la utilización principal para la que se recoge
una determinada información. Uso secundario se refiere a cuando los datos
recogidos se utilizan para propósitos diferentes del inicialmente previsto y sin
haber obtenido el consentimiento explícito previo de los usuarios. Como siempre
pasa, el uso secundario puede ser útil en muchas ocasiones pero también
puede provocar problemas. Así por ejemplo, muchas personas se negarían a
proporcionar datos si supieran que mas tarde iban a ser cedidos a terceras
empresas para la realización de actividades de telemarketing (llamadas no
deseadas). El uso secundario, además, puede crear en las personas una
sensación de inseguridad, dada su falta de conocimiento sobre como serán
utilizados en el futuro datos que proporcionaron en su día para un propósito muy
especifico.
• Exclusión: En las normativas sobre privacidad suele haber tres principios
relacionados entre si: 1) la existencia de bases de datos que acumulan
información sobre las personas no debe mantenerse en secreto; 2) una persona
debe tener la capacidad de enterarse que informacion está almacenada sobre
ella así como para que propósito está siendo usada dicha información; 3) una
persona debe tener la capacidad de corregir cualquier dato erróneo que esté
registrado sobre la misma. Exclusión se produce cuando estos principios no se
respetan y la persona por tanto ni sabe que información está registrada sobre
ella, ni puede por tanto corregir cualquier error que se pueda haber producido.
El tercer grupo de actividades es el denominado como de Diseminación de Información
y puede resultar en daños a las personas derivados de la revelación de datos personales
o de la amenaza de revelación de los mismos. Es el grupo en el que mas subactividades
se han identificado, un total de 7. Las citadas subactividades son las siguientes: (1)
4
5. Ruptura de confidencialidad, (2) Revelación; 3) Desenmascaramiento; 4) Incremento de
la accesibilidad; 5) Chantaje; 6) Apropiación; 7) Distorsión.
• Ruptura de confidencialidad: Puede producir diferentes tipos de problemas y de
daños a las personas. Tiene que ver con la revelación de secretos sobre una
persona, pero sobre todo significa que se ha quebrado el principio de confianza
que se había depositado en una relación determinada. El daño sobre la persona
no es solo que se haya revelado un secreto sobre la misma sino que la víctima ha
sido traicionada en su confianza.
• Revelación: Ocurre cuando se revela (sin autorización) a terceras partes una
información cierta sobre una persona, pudiéndose producir un daño de forma
asociada a ese proceso de difusión de información. El riesgo de revelación
de información puede hacer que las personas se autocensuren a la hora de
emprender nuevas actividades, lo que en general cabe calificar como algo
negativo para la sociedad, así como llegar a constituir una amenaza para la
seguridad física de las personas. En muchas ocasiones, además, la revelación de
algún dato (aunque sea correcto) sobre una persona no mejora necesariamente
nuestra habilidad para tomar decisiones referidas a nuestra relación con la misma,
dado que solo ofrece una visión parcial. Puede convertir, en definitiva, a una
persona en prisionera de su pasado.
• Desenmascaramiento: Consiste en divulgar ciertos aspectos físicos o emocionales
de una persona (por ejemplo fotos de una persona desnuda, en privado). Se
refiere a aspectos que las personas suelen asociar con algo realmente privado,
pudiendo su difusión producir sentimientos de verguenza y humillación, sin que
además esto normalmente nos permita mejorar nuestro conocimiento del carácter
o habilidades de esa persona.
• Incremento de la accesibilidad: Consiste en mejorar la accesibilidad por parte del
público a informaciones que ya previamente eran accesibles, pero de una forma,
en la práctica, mas restringida. Las tecnologías de la información han reforzado
notablemente este tipo de problemas, toda vez que no es lo mismo tener que
acudir a una oficina física para consultar un documento, que poder acceder al
mismo a través de Internet y haciendo uso además de las capacidades de los
buscadores. De este incremento de la accesibilidad pueden derivarse problemas
derivados de la explotación de la información para objetivos distintos de los
inicialmente previstos.
• Chantaje: Chantaje, como se sabe, consiste en tratar de obtener ventajas de
una persona (económicas normalmente) mediante la amenaza de divulgar datos
sobre la misma. El chantaje supone control de una persona sobre otra y causa
daño no a través de la divulgación de información sino mediante la simple
amenaza de hacerlo.
• Apropiación: Se produce cuando alguien se aprovecha sin permiso del nombre o
reputación de una persona para beneficio propio (por ejemplo usando el nombre
de una persona conocida para anunciar un producto, sin el permiso de la misma).
• Distorsión: Se refiere a la manipulación de como una persona es percibida por
otras, trayendo consigo por tanto la exposición de la misma al público de un
modo distorsionado e incorrecto.
El cuarto y último grupo de actividades es el denominado como Invasión. Este grupo
difiere de los anteriores en que no siempre tiene que ver con el manejo de información.
Se identifican dos subactividades : 1) Intrusión; 2) Interferencia decisional.
5
6. • Intrusión: Se refiere a las invasiones o intrusiones en la vida de una persona.
Supone molestar a la víctima en sus actividades diarias, alterar sus rutinas,
destruir su soledad y concentración haciéndola sentirse incomoda. Proteger a las
persona frente a este problema implica proteger el derecho de cada persona a "ser
dejada sola" siempre que así lo desee. Intrusión no se refiere solo a invasiones
en el espacio físico sino que también puede tener carácter virtual (en Internet)
como por ejemplo la recepción de correo basura.
• Interferencia decisional: Se refiere a la interferencia de los gobiernos en
decisiones de las personas referidas a ciertos aspectos de sus vidas (por ejemplo
el debate producido en algunos países en relación al derecho o no de las personas
a consumir pornografía en privado) y tiene mucho que ver con el derecho a la
privacidad de la información.
Como puede derivarse de esta taxonomía, son muchas las facetas asociadas a la
privacidad, lo que conviene tener en cuenta para evitar confusiones y estar en condiciones
de proteger los derechos de las personas sin llegar por ello a paralizar o dificultar en
demasía la evolución y crecimiento de Internet y de la Sociedad de la Información.
La privacidad sigue siendo algo muy importante... y cada
vez resulta mas difícil de preservar
El 10 de diciembre de 1948, la Asamblea General de las Naciones Unidas aprobó y
proclamó la Declaración Universal de Derechos Humanos (4). La privacidad formaba
parte constituyente de la misma, tal y como puede comprobarse si examinamos los
siguientes artículos de la misma:
• Artículo 12: " Nadie será objeto de injerencias arbitrarias en su vida privada,
su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su
reputación. Toda persona tiene derecho a la protección de la ley contra tales
injerencias o ataques".
• Artículo 19: " Todo individuo tiene derecho a la libertad de opinión y de expresión;
este derecho incluye el de no ser molestado a causa de sus opiniones, el de
investigar y recibir informaciones y opiniones, y el de difundirlas, sin limitación de
fronteras, por cualquier medio de expresión".
En coherencia con lo anterior, el derecho y la proteccion de la privacidad como derecho
fundamental de las personas está recogido y protegido en las legislaciones de la mayoria
de los diferentes paises y regiones. Algunas de las principales referencias a este respecto
son las siguientes:
• España (5) (6) (7) (8) (9) (10): Articulo 18 de la Constitucion Española de 1978,
Ley Orgánica 1/1982, de Protección Civil del Derecho al Honor, a la Intimidad
Personal y Familiar y a la Propia Imagen, Ley 34/2002 de Servicios de la Sociedad
de la Información y del Comercio Electrónico, Ley 56/2007 de Medidas de Impulso
de la Sociedad de la Información, Ley Orgánica 15/1999 de 13 de diciembre
de Protección de Datos de Carácter Personal, Real Decreto 1720/2007 de 21 de
diciembre por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica
de Protección de Datos.
• Union Europea (11): Directiva 95/46/CE (Directiva sobre protección de datos),
Directiva 97/66/CE (se ocupa específicamente de la protección de la intimidad en
el sector de las telecomunicaciones).
6
7. • OCDE y otras entidades (12): OECD (2007) Recommendation of the Council on
Cross-border Co-operation in the Enforcement of Laws Protecting Privacy; OECD
(1980) Guidelines on the Protection of Privacy and Transborder Flows of Personal
Data; OECD (2003) Privacy Online - Guidance on Policy and Practical; OECD
(2006) Radio-Frequency Identification (RFID) - Drivers, Challenges and Public
Policy Considerations; Council of Europe’s 1981 Convention on Privacy.
La privacidad, por tanto, siempre ha sido algo muy importante para las personas,
y lo sigue siendo en el ámbito de Internet y de la Sociedad de la Información. Un
nivel suficiente de protección de datos y de confidencialidad es lo que nos protege
frente a delitos electrónicos como el robo de identidad o frente a molestias como el
correo basura. La privacidad es lo que hace posible ejercer con confianza el derecho a
intercambiar información y opiniones con otras personas y constituye por tanto una de
las bases de la democracia. El derecho a estar solos" es lo que nos permite aprender
y crecer como personas. ¿Quien sería capaz de hacerlo si todos y cada uno de nuestros
pasos fueran registrados y difundidos?.
Sin embargo, parece que en estos tiempos cada vez es mas difícil ejercer nuestro derecho
a la privacidad, que para conseguir un nivel de privacidad suficientemente alto no nos
quedaría mas remedio que dejar de utilizar algunos de los servicios que Internet pone a
nuestra disposición (las redes sociales, por ejemplo), una abstención que cada vez es
mas imposible dada la progresiva evolución a una sociedad digital en las que mas y mas
procesos están intermediados por Internet y sus servicios.
Los problemas de la privacidad causados por la tecnología no son algo nuevo. Cabe
recordar aquí el artículo que dos abogados de Boston publicaron en 1890 en la "Harvard
Law Review", en el que avisaban que las tecnologías invasivas de ese momento
amenazaban con hacer públicas hasta las conversaciones y temas mas privados,
resaltaban el derecho a la privacidad de las personas y afirmaban el derecho de los
ciudadanos a ser indemnizados cuando sus derechos a la privacidad no fueran
respetados. Si ya hace un siglo se alertaba frente a los riesgos que la privacidad puede
padecer a manos de la tecnología, podríamos llegar a la conclusión de que, aunque el
papel de la tecnología es muy relevante, no lo es todo sin embargo y que puede ser que
la autentica clave esté en la actitud y las reacciones de las personas, de los usuarios.
Una de las consecuencias mas serias de lo que las tecnologías TIC pueden implicar en
cuanto a pérdida de privacidad, es que hace posible que quede un rastro prácticamente
inborrable relativo a la mayoría de las actividades que las personas realizan. Esa
memoria "infinita" es una de las diferencias esenciales respecto a la situación de la
privacidad previa a las TIC y constituye algo nuevo, dado que aun no somos capaces
de comprender lo que es vivir en una sociedad que "nunca olvida". Otro de los
riesgos importantes es que las nuevas generaciones podrían desarrollarse sin valorar la
privacidad tanto como las anteriores, perdiendo en un cierto grado control sobre sus
propias vidas en favor de los gobiernos y las empresas.
Internet, por una parte, nos permite un grado de privacidad sin precedentes. Cabe
recordar aquí una famosa viñeta de Pat Steiner en el The New Yorker que decía algo
así como "En Internet nadie sabe que eres un perro". Pero junto con esa oportunidad,
Internet permite un grado de perdida de privacidad también sin precedentes, y parece
que en los últimos años es esa perdida progresiva de privacidad la tendencia mas
dominante. Personas como Scott McNealy (fundador de Sun Microsystems) o Mark
Zuckerberg (fundador de Facebook) han afirmado (13) (14) que "la edad de la
privacidad ha terminado" o que "la privacidad se ha perdido ya sin remedio y lo que
debemos hacer es superarlo y no mirar hacia atrás".
Sin embargo, no parece que las personas hayan dejado de apreciar los valores y
las ventajas que la privacidad les ofrece. En multitud de estudios y encuestas (15),
los usuarios han expresado de forma consistente su preocupación por la pérdida de
7
8. privacidad en Internet y por sus consecuencias (por ejemplo la diseminación y utilización
incontrolada de los datos acumulados por las empresas y los gobiernos sobre los
consumidores y sobre los ciudadanos).
Son recurrentes además los "escándalos" que se producen con cierta frecuencia en el
ámbito de Internet por razones directamente asociadas a la privacidad (16) (17) (18)
(por ejemplo los recientes y serios problemas de Google en el lanzamiento de Buzz, una
utilidad asociada a su servicio Gmail de correo electrónico, debido a la extremadamente
deficiente gestión de la privacidad en la definición inicial del servicio).
En contraste con esta aparentemente clara preocupación de los usuarios, no parece que
los usuarios estén haciendo nada realmente eficaz para protegerse. Tampoco parece que
, contra lo que esperaba la revista The Economist en un articulo sobre la privacidad en
Internet de 1999 (19), las tecnologías de protección de la privacidad hayan avanzado
gran cosa hasta ahora, o que haya surgido de forma significativa un nuevo segmento
de empresas que proporcionen servicios de protección de la privacidad a los usuarios de
Internet.
Las que si han progresado de forma muy significativa son las tecnologías que permiten
obtener y agregar mas y mas datos sobre los usuarios, siguiendo el interés comercial de
las grandes empresas, los actores principales a este respecto, sin olvidar el creciente
interés de muchos gobiernos por reducir la privacidad de sus ciudadanos en aras de la
lucha contra el terrorismo o contra la evasión fiscal.
Para algunos la solución debe pasar, al menos en parte, por la implantación de un sistema
robusto de identidad electrónica (20), una especie de pasaporte para Internet, aunque
no parece que el acuerdo sea ni mucho menos unánime a este respecto. Es cierto que
un esquema adecuado de identidad electrónica serviría para prevenir en gran medida
problemas actuales de tanta gravedad como el robo de identidad pero, en todo caso,
parece que debería ser compatible con el mantenimiento de esquemas que permitan el
anonimato de las personas en sus accesos y utilización de Internet (las personas a veces
necesitan un acceso plenamente identificado y a veces un acceso totalmente anónimo,
y parece razonable permitir que sean ellas mismas las que decidan cual usar en cada
momento).
La privacidad en las redes sociales de Internet (por
ejemplo: Facebook)
La importancia de las redes sociales de Internet no deja de de crecer. Basta para ello
darse cuenta de que Facebook ha superado ya los 400 millones de usuarios y recibe en
la actualidad mas tráfico que la propia Google (para el caso de Estados Unidos).
Si hablamos de privacidad, tiene sentido poner un foco especial en las redes sociales dado
su mas que relevante papel actual, de que siguen en pleno desarrollo tanto desde el
punto de vista del número de usuarios como de la riqueza funcional de las mismas y de
que constituyen cada vez mas el lugar donde los usuarios de Internet se relacionan entre
si y comparten todo tipo de datos (con los problemas consiguientes de privacidad que
podemos figurarnos).
Hace unos pocos meses Facebook cambió su política de privacidad, lo que motivó una
gran discusión en la Red y la puesta en foco de la privacidad como uno de los aspectos
críticos de las redes sociales. ¿Que resumen se puede hacer de esos recientes cambios en
Facebook?. Comentamos a continuación el resumen que a este respecto realizó la EFF
(Electronic Frontier Foundation) (21).
Los aspectos positivos identificados fueron: 1) una simplificación de la configuración de
la privacidad por parte de los usuarios; 2) la eliminación de redes sociales regionales;
8
9. 3) la posibilidad de configurar la privacidad a nivel de aportación ("post") individual;
4) el hecho de que haber cambiado su política de privacidad hizo a muchos usuarios
reflexionar (por primera vez en muchos casos) sobre la misma y como debía aplicarse a
su caso particular.
Los aspectos negativos identificados fueron: 1) la configuración por defecto de la
privacidad, que pasó a ser mucho mas abierta que la anterior lo que tiene gran
importancia si se tiene en cuenta que mas del 80% de los usuarios nunca cambian la
configuración de la privacidad que les da Facebook por defecto; 2) que ahora algunas
informaciones asociadas al perfil del usuario deben ser compartidas de forma obligatoria
en el ámbito mas amplio (antes no era así, sino que lo definía el usuario); 3) que las
aplicaciones desarrolladas en Facebook tienen un acceso mucho mas amplio que antes a
los datos de los usuarios y, además, sin que estos puedan restringir ese acceso.
El paso fue en definitiva hacia "obligar" a los usuarios a compartir mucha mas
información que antes (con toda probabilidad debido a los intereses comerciales de
Facebook), quitándoles además algunos grados de control del nivel de privacidad de
que antes disponían.
Este interés económico que las redes sociales tienen en que los usuarios de las mismas
compartan información de la forma mas amplia posible, explica también muy
probablemente por qué en la mayoría ellas no es fácil controlar el nivel de privacidad
(22) (debido a una usabilidad deficiente).
Por supuesto los usuarios tienen a su alcance mecanismos de control en su utilización de
redes como Facebook, y pueden minimizar los problemas que se pueden derivar de una
compartición demasiado amplia o poco cuidadosa. Puede resultar útil repasar aquí los
consejos que a este respecto (y para el caso de Facebook) proporcionaba recientemente
un articulo del New York Times (23) .
Los referidos consejos eran los siguientes: 1) preparar listas de tus amigos, clasificando
a todos dentro de un cierto numero de grupos distintos y segregados entre si (esta es
probablemente la medida mas útil de todas, toda vez que permite a la persona separar
claramente sus diferentes ámbitos de relación - así por ejemplo y obviamente: no se
comparten las mismas cosas con tu abuela o con tus padres que con tus amigos); 2)
acceder a tu menú de privacidad y configurar cuidadosamente las distintas opciones
disponibles; 3) configurar con especial cuidado quien tiene acceso a tus datos de
dirección y número de teléfono; 4) configurar quien tiene acceso a encontrarte mediante
la utilización del buscador de Facebook; 5) configurar que tipos de aplicaciones tienen
acceso a tus datos de usuario.
Todas las anteriores son medidas posibles y útiles, pero llevadas a la practica hasta
ahora por solo una minoría de los usuarios, en parte por una usabilidad aun muy
mejorable. A efectos de ilustrar este aspecto, en las siguientes figuras pueden verse
algunas de las ventanas de configuración de la privacidad en Facebook y los diferentes
parámetros presentes en las mismas.
9
12. Otro de los aspectos problemáticos relativos a la privacidad en las redes sociales en
Internet, es la cada vez mas demostrada posibilidad técnica (24) (25) (26) (27)
de eliminar el anonimato en las mismas de forma automática mediante el recurso a
algoritmos que trabajan sobre el grafo social y a los que parece que basta para comenzar
con tener identificados solo a un pequeño porcentaje de los usuarios (unas pocas decenas
de usuarios de los que se conozca su identidad pueden servir de "semilla" para acabar
identificando a decenas de miles de usuarios). En este sentido trabajar en técnicas que
permitan revertir o al menos controlar suficientemente este tipo de problemas parece
algo realmente necesario, si se desea tener un equilibrio razonable entre privacidad y
riqueza funcional en las redes sociales.
Un tema también interesante es tratar de entender por que se producen tantos problemas
en las redes sociales con la compartición de información de formas o con un alcance
no previsto inicialmente por los usuarios (por ejemplo, el caso de la abuela que puede
ver fotos "inconvenientes" de su nieta en una fiesta, fotos estas que su nieta hubiera
preferido que no hubiera visto). ¿Por qué los usuarios tienen tantos problemas para
visualizar con anticipación el grado de compartición que van a tener sus contenidos?.
¿Por qué aparecen con tanta frecuencia lo que se denomina como "audiencias invisibles",
esto es: personas que comparten nuestros datos pero con las que nunca habíamos
contado inicialmente?.
La respuesta típica de que la realidad es que los usuarios no se preocupan gran cosa por
la privacidad no parece sostenerse, si hacemos caso de algunas encuestas (28) que
de forma sistemática identifican el control de la privacidad como una de las principales
preocupaciones de los usuarios (en Internet en general y también para las redes
sociales).
Una explicación mas adecuada (29) (según se explica en un reciente articulo de
Chris Peterson) es que las redes sociales actualmente no permiten, o no facilitan
suficientemente, que las interacciones sociales de sus usuarios, Facebook por ejemplo,
se realicen respetando el contexto de las mismas y de un modo similar a como éstas se
realizan en la vida "real". El típico ejemplo aquí es el de la persona que, lógicamente,
interacciona y comparte de modos muy distintos con su grupo de amigos, con sus padres,
con sus profesores o con su abuela (como en el ejemplo anterior).
Aunque, como en el caso de Facebook, si sea posible crear grupos de amigos y respetar
por tanto el contexto de las diferentes relaciones de cada persona, esta funcionalidad no
suele ser demasiado conocida por los usuarios, no suele tener una usabilidad lo bastante
buena y/o no es lo suficientemente destacada y publicitada por la propia Facebook. Si
las interacciones y las comparticiones son demasiado planas (todos con todos) no es de
extrañar que se produzcan todo tipo de problemas de privacidad.
Por otra parte, y esto es un elemento positivo, el que esto sea así no deja de ser
un problema de diseño de las redes sociales. Parece perfectamente posible rediseñar
12
13. las mismas de modo que sea mucho mas sencillo para los usuarios acomodar sus
interacciones sociales en Internet a los contextos asociados a los distintos tipos de
relaciones que mantienen, siendo así mucho mas capaces de controlar y visualizar con
suficiente precisión el alcance y el ámbito en el que se va a compartir cada elemento de
información que aportan. Es mas, una evolución de este tipo parecería que solo puede ir
a favor de los intereses (al menos a medio y largo plazo) de empresas como Facebook,
toda vez que estarán respetando y adaptándose mucho mejor a los auténticos intereses
de los usuarios (si es que creemos en la sinceridad de los usuarios, cuando manifiestan
su preocupación por los problemas de privacidad de las redes sociales en Internet).
En el inicio de Facebook no eran tan necesarios los citados mecanismos de adaptación al
contexto de cada relación, toda vez que los usuarios iniciales tenían en su gran mayoría
una misma procedencia (universitarios) pero obviamente, cuando se cuenta con mas de
400 millones de usuarios esto ya no puede ser así.
Las redes sociales, como Facebook, pueden hacer mucho por si mismas para solucionar
en gran medida los problemas de privacidad que ahora mismo padecen sus usuarios.
El que lo puedan hacer por si mismas (autoregulación) o que necesiten la "ayuda" de
las autoridades regulatorias es algo que el tiempo dirá pero, en cualquier caso, el que la
situación actual de la privacidad en las redes sociales en Internet debe mejorar de forma
sustancial parece algo irrrenunciable para los usuarios.
El futuro de la privacidad en Internet y la Sociedad de la
Informacion
La privacidad es un tema cada vez de mas actualidad tal y como nos podemos dar cuenta
a partir de solo algunos de los últimos casos que, a este respecto, han sido objeto de la
atención publica en los últimos meses:
• El desarrollo de KDDI de un teléfono móvil que es capaz de registrar los
movimientos físicos y la posición de los empleados que los llevan, transmitiendo
la misma a servidores situados en la Red (el espionaje de las empresas a sus
empleados llevado a uno de sus extremos) (16).
• Los empleados de la empresa Dixon's del Reino Unido, que llamaron estúpidos a
sus clientes en una pagina de Facebook asociada a su empresa (con el desastre
de relaciones públicas consiguiente) (30).
• El espionaje a alumnos de una escuela de secundaria de Estados Unidos, por
medio de las webcam de los ordenadores portátiles que habían proporcionado a
los mismos (31).
• Las sospechas (parece que bastante fundadas) de que agentes del FBI están
empezando a infiltrarse en Facebook para obtener información para sus
investigaciones (y probablemente lo mismo podría aplicarse a otros países)
(32).
• El debate surgido a partir del último cambio de política de privacidad en Facebook
(21), (23).
Cabe resaltar, en relación por ejemplo con el caso de KDDI descrito anteriormente, que
el progreso de la tecnología está abriendo la puerta a niveles de interferencia con la
privacidad impensables hasta ahora. Esto ha llevado a algunos expertos a argumentar
13
14. que estamos en un momento decisivo y que es ("ahora o nunca") el momento de que los
usuarios defiendan su derecho a la privacidad en el ámbito de Internet y de la Sociedad
de la Información y exijan a los proveedores de servicio y a los gobiernos un cambio de
rumbo y la puesta en marcha de las medidas necesarias (incluyendo el recurso a medidas
de carácter regulatorio, si fuera preciso).
Algunas opiniones son claramente pesimistas a este respecto por ejemplo la de Nicholas
Carr (33) (autor del blog "Rough Type" y del libro "The Big Switch”) que dijo
recientemente: "Para 2020, Internet habrá permitido la monitorización y manipulación
de las personas por parte de las compañías comerciales y los gobiernos a una escala
antes inimaginable. La mayoría de las personas habrán aceptado esta situación de falta
de privacidad - de forma consciente o inconsciente - debido a ciertas ventajas asociadas
con el consumo de bienes, como por ejemplo un proceso de compra mas sencillo o unos
precios mas reducidos. El resultado será que la linea entre el marketing y la manipulación
se habrá difuminado en gran medida".
Todo esto, por tanto, nos lleva a recalcar la urgencia de desarrollar las diferentes vías que
existen para tratar de llegar a una situación de equilibrio razonable entre los derechos
a la privacidad de los ciudadanos y el desarrollo de la Sociedad de la Información y de
Internet, entre ellas posiblemente:
• Adoptando nuevas medidas legales y regulatorias (seguramente
imprescindibles). No parece probable que un enfoque basado únicamente en
la autoregulación sea suficiente a este respecto. Parece necesario el dialogo
directo (y detallado) entre las autoridades de regulación (agencias de protección
de datos) y los proveedores de servicios (como Facebook) como forma de
progresar en la solución de los problemas de privacidad (34) (ver por ejemplo
el informe de la agencia de protección de datos de Canadá sobre el estado de la
privacidad en Facebook).
• Desarrollando tecnologías que protegan y potencien la privacidad, dando a los
usuarios los niveles de control que precisan, y promoviendo el desarrollo de
un mercado de productos y servicios asociados a la privacidad. Los aspectos
relacionados con la usabilidad parecen en este caso especialmente relevantes.
• Considerando de modo especifico los problemas asociados a la privacidad en lo
que respecta a los servicios en la "nube" (35) (36).
• Evitando que la necesaria protección de los derechos de propiedad intelectual
se realice a costa de conculcar los derechos a la privacidad de los ciudadanos
(37) (ver por ejemplo el documento preparado por el EPDS de la Union Europea
en relación a negociación del ACTA - secreta en el momento de preparación de
este articulo - según el cual pueden estarse considerando medidas claramente
invasivas de la privacidad).
• Incorporando desde el principio la gestión y protección de la privacidad como uno
de los aspectos claves a la hora de diseñar un nuevo producto o servicio.
• Generalizando la utilización de las técnicas de protección de la privacidad (PET) y
de las evaluaciones de impacto en la privacidad (PIA) como medidas significativas
para un mejor cumplimiento de los estándares de privacidad
• Mejorando la formación de los empleados de las empresas en relación con los
temas y problemas que pueden surgir de forma asociada a la privacidad (38).
• Sensibilizando y proporcionando mas formación a los ciudadanos en general, en
relación con los temas asociados a la privacidad.
14
15. Como ya se ha mencionado, la mayoría de las encuestas parecen dejar claro que los
ciudadanos no solo no renuncian (¿por el momento?) a disponer de niveles de privacidad
razonables en su utilización de Internet sino que están mas sensibilizados y preocupados
que nunca a este respecto (¿seguirá esto siendo así en el futuro para las generaciones
mas jóvenes?).
La preservación de niveles adecuados de privacidad en el acceso a Internet y a sus
servicios no solo no tiene por que ir en contra del desarrollo de Internet sino que con
toda probabilidad puede constituir uno de los factores clave para que éste continué sin
sobresaltos excesivos y con un equilibrio razonable. Las experiencias recientes a este
respecto de empresas como Google en relación con su lanzamiento de Buzz han dejado
claro que, al menos en cierto ámbito, el no darle suficiente prioridad a los aspectos
ligados a la privacidad a la hora de diseñar un servicio puede ser una táctica cercana a
suicida.
Como resumen final, las aspiraciones de la comunidad ligada a Internet, en lo relativo al
derecho a la privacidad de los ciudadanos, pueden resumirse bien con el manifiesto (39)
que a este respecto se firmó en noviembre del pasado año con ocasión de la celebración
en Madrid de la 31ª reunión anual de la Conferencia Internacional de Autoridades de
Protección de Datos y Privacidad. Puede merecer la pena copiar aquí en su integridad el
citado manifiesto:
La Declaración de la Sociedad Civil; Madrid, España; 3 de Noviembre de 2009
• Afirmando que la privacidad es un derecho humano fundamental consagrado en
la Declaración Universal de Derechos Humanos, el Convenio Internacional sobre
Derechos Civiles y Políticos, y en otros instrumentos de derechos humanos así
como constituciones nacionales;
• Recordando a los países miembros de la UE sus obligaciones de hacer cumplir
las disposiciones de la Directiva de Protección de Datos de 1995 y la Directiva de
Comunicaciones Electrónicas de 2002;
• Recordando a otros países miembros de la OCDE sus obligaciones de mantener
los principios que se exponen en las Directrices de Privacidad OCDE de 1980;
• Recordando a todos los países sus obligaciones de salvaguardar las garantías
individuales tanto de sus ciudadanos como de sus residentes, establecidos en sus
constituciones, sus leyes nacionales así como en las normas internacionales sobre
derechos humanos;
• Anticipando la entrada en vigor de las disposiciones que fortalecerán los derechos
Constitucionales de privacidad y protección de datos de carácter personal en la
Unión Europea;
• Alarmados ante la espectacular expansión de la vigilancia ilícita y secreta, así
como ante la creciente colaboración entre gobiernos y proveedores de tecnologías
de vigilancia con el fin de establecer nuevas formas de control social;
• Destacando que las nuevas estrategias de investigación sobre derechos de autor
y contenidos ilícitos ponen en peligro el secreto de las comunicaciones, la libertad
de pensamiento y el proceso legalmente establecido;
• Aún más, destacando no sólo la creciente consolidación de servicios basados
en Internet sino el hecho de que algunas empresas estén adquiriendo ingentes
cantidades de datos de caracter personal sin supervisión independiente;
15
16. • Advirtiendo que tanto las leyes sobre privacidad como las instituciones
encargadas de velar por la privacidad no han tenido en consideración, en toda
su extensión, las nuevas prácticas de vigilancia, incluyendo la selección basada
en la conducta, las bases de datos de ADN y otros identificadores biométricos, el
cruce de bases de datos entre el sector público y el privado, así como los riesgos
específicos para grupos vulnerables, incluidos niños, migrantes y minorías;
• Advirtiendo que el fracaso en la salvaguarda de la privacidad pone en peligro otras
libertades asociadas, incluida la libertad de expresión, la libertad de asociación,
la libertad de acceso a la información, el derecho a la no discriminación, y, en
definitiva, la estabilidad de las democracias constitucionales;
• La Sociedad Civil aprovecha la oportunidad de la 31ª reunión anual de la
Conferencia Internacional de Autoridades de Protección de Datos y Privacidad
para:
(1) Ratificar el apoyo a un marco global de prácticas justas sobre la
información que establezca obligaciones a los que recogen y procesan
información personal, y conceda derechos a aquéllos cuya información
personal se recoge;
(2) Ratificar el apoyo a aquellas autoridades independientes de protección
de datos que adopten sus decisiones de forma transparente y sin ventaja
comercial o influencia política, dentro del marco que las leyes establecen;
(3) Ratificar el apoyo a las técnicas de protección de la privacidad (PET), que
minimicen o eliminen la recogida de datos personales, así como
la realización de evaluaciones de impacto en la privacidad (PIA) significativas
para el cumplimiento con los estándares de privacidad;
(4) Exhortar a los países que no hayan ratificado la Convención 108 del
Consejo de Europa junto con el Protocolo de 2001 para que lo hagan con la
mayor celeridad;
(5) Exhortar a los países que aún no hayan establecido un marco exhaustivo
para la protección de la privacidad ni una autoridad independiente para la
protección de datos personales para que lo hagan con la mayor celeridad;
(6) Exhortar a aquellos países que hayan establecido marcos legales para la
protección de la privacidad a que aseguren un cumplimiento y observancia
efectiva de la ley y a colaborar tanto a nivel internacional como regional;
(7) Exhortar a los países para asegurarse que los individuos sean
inmediatamente notificados cuando su información personal sea revelada de
forma inapropiada o usada para finalidades distintas para la que fue recogida
o recabada;
(8) Recomendar una investigación exhaustiva sobre la adecuación de las
técnicas de anonimización para determinar si las mismas salvaguardan, en la
práctica, la privacidad y el anonimato;
(9) Solicitar una moratoria en el desarrollo o implantación de nuevos sistemas
de vigilancia de masas, incluido el reconocimiento facial, la toma de imágenes
de cuerpo entero, el escaneo del cuerpo humano, identificaciones biométricas,
y las etiquetas con tecnología RFID, y que sean sujetos a una evaluación
completa y transparente por parte de autoridades independientes y sujeto al
debate democrático;
16
17. (10) Hacer un llamado para el establecimiento de un nuevo marco
internacional para la protección de la privacidad, con la plena participación
de la sociedad civil, basado en el imperio de la ley, el respeto a los derechos
humanos y el apoyo a las instituciones democráticas.
Referencias
(1) A taxonomy of privacy; D. Solove; University of Pennsylvania Law Review; January
2006
(2) "I've nothing to hide" and other misunderstandings of privacy; D. Solove; George
Washington University Law School; July 2008
(3) Understanding privacy; D. Solove; Harvard University Press; May 2008
(4) http://www.un.org/es/documents/udhr/
(5) Agencia Española de Proteccion de Datos; Memoria 2008
(6) INTECO; Estudio "La privacidad de los datos personales y la seguridad de la
informacion en las redes sociales online"; febrero 2009
(7) INTECO; Estudio "La seguridad de la informacion y la e-confianza de los hogares
españoles"; Primer trimestre 2009
(8) INTECO; Guia legal "Proteccion del derecho al honor, a la intimidad y a la propia
imagen en Internet"
(9) INTECO; Guia legal "Privacidad en Internet"
(10) INTECO; Guia legal "Redes sociales., menores de edad y privacidad en la Red"
(11) http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
(12) http://www.oecd.org/department/0,3355,en_2649_34255_1_1_1_1_1,00.html
(13) http://www.readwriteweb.com/archives/
facebooks_zuckerberg_says_the_age_of_privacy_is_ov.php
(14) http://www.wired.com/politics/law/news/1999/01/17538
(15) http://www.nokiasiemensnetworks.com/press/press-releases/survey-shows-us-
and-canadian-consumers-feel-they-lack-control-over-personal-dat
(16) http://news.bbc.co.uk/2/hi/8559683.stm
(17) http://www.youtube.com/watch?v=Vza_bMuy42M&feature=related
(18) http://www.infoworld.com/d/adventures-in-it/oh-google-why-do-you-do-us-
wrong-012?page=0,0
(19) http://web.ics.purdue.edu/~felluga/privacy2.html
(20) http://www.technologyreview.com/web/22831/
(21) http://www.eff.org/deeplinks/2009/12/facebooks-new-privacy-changes-good-bad-
and-ugly
17
18. (22) http://www.cl.cam.ac.uk/~jcb82/doc/privacy_social_networks.pdf
(23) http://www.nytimes.com/external/readwriteweb/2009/09/16/
16readwriteweb-5-easy-steps-to-stay-safe-and-private-on-fac-6393.html?em
(24) A practical way to de-anonymize social networks users; G. Wondracek et al;
Technical Report TR-iSecLab-0110-001; http://www.iseclab.org/papers/sonda-TR.pdf
(25) De-anonymizing social networks; A. Narayanan et al; The University of Texas at
Austin; http://userweb.cs.utexas.edu/~shmat/shmat_oak09.pdf
(26) http://www.schneier.com/blog/archives/2009/05/on_the_anonymit.html
(27) http://www.technologyreview.com/web/22593/?a=f
(28) http://www.wired.com/politics/security/commentary/securitymatters/2006/05/
70886
(29) Losing face: An environmental analysys of privacy on Facebook; C. Peterson; Draft
for comment; January 2010; http://www.cpeterson.org/2010/01/06/losing-face-an-
environmental-analysis-of-privacy-on-facebook/
(30) http://news.bbc.co.uk/2/hi/8241509.stm
(31) http://www.infoworld.com/d/adventures-in-it/when-schools-spy-their-students-
bad-things-happen-474
(32) http://www.infoworld.com/d/adventures-in-it/fbi-facebook-watching-every-move-
you-make-954
(33) http://www.roughtype.com/archives/2010/01/other_peoples_p.php
(34) http://www.priv.gc.ca/cf-dc/2009/2009_008_0716_e.cfm
(35) http://cordis.europa.eu/fp7/ict/ssai/docs/cloudevent-barcelo_en.pdf
(36) http://www.infoworld.com/d/the-industry-standard/why-privacy-laws-should-make-
you-think-twice-about-the-cloud-692?source=IFWNLE_nlt_wrapup_2010-03-31
(37) http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/
Consultation/Opinions/2010/10-02-22_ACTA_EN.pdf
(38) http://www.informationweek.com/news/global-cio/
showArticle.jhtml?articleID=18901849
(39) http://thepublicvoice.org/madrid-declaration/es/
Algunas Web de interés:
(1) http://www.iusmentis.com/technology/remailers/index.html
(2) http://dataprivacyday2010.org/
(3) http://www.digitaldueprocess.org/
index.cfm?objectid=37940370-2551-11DF-8E02000C296BA163
18