La nueva amenaza para la privacidad

En kⒶosTICa ya hemos escrito en más de una ocasión acerca de la tecnología para llevar puesta o, como ya se conoce por su término inglés, los wearables. Se trata de un mercado en pleno desarrollo, para el que este año las previsiones hablaban de 22 millones de unidades vendidas, lo que representa un 129% más que los 9,7 millones de 2013. Las reinas de esta tecnología es son las pulseras inteligentes y, más concretamente, aquellas dirigidas a medir las distancias que recorremos y monitorizar nuestra actividad. Para finales del año, de los cerca de 35 millones de wearables que se estén utilizando, más de la mitad podrían ser estas pulseras.

El crecimiento de la tecnología para llevar puesta es tan explosivo que para 2018 ya se habla de unos 135 millones de estos dispositivos, entre los que ya se habla de unos 68 millones de relojes inteligentes y otros 50 millones de las mencionadas pulseras. Y como se trata de un mercado pleno desarrollo, los usuarios también estamos aprendiendo a desenvolvernos con esta tecnología.

Si hace años resultaba muy común ver cómo las personas compartían todo tipo de intimidades en las redes sociales, sin absolutamente ninguna cortapisa, cada vez comienza a ser más complejo y, tanto es así, que cada dos por tres vemos en los muros de nuestros ‘amigos sociales’ cómo éstos cortan y pegan mensajes –por lo general inútiles- de reivindicación de la privacidad.

Ahora deberíamos mirar hacia ese nuevo mundo de tecnología para llevar puesta, del Internet de las Cosas (IoT, por su terminología en inglés), como ya se ha bautizado a ese alud de dispositivos y sensores conectados a la red que envían información constantemente a la red. No en vano, recientemente un experto señalaba que en España en España hay más de 4.500 aplicaciones de salud y muy pocas cumplen con la legislación de protección de datos.

Consciente de esta problemática, en Europa ya han movido ficha, al menos, con un dictamen. En la Unión Europea (UE) opera el Grupo de Trabajo del Artículo 29, es decir, un grupo consultivo que agrupa a representantes de las autoridades nacionales de protección de datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea. Hace unos meses y bajo el liderazgo de la Agencia Española de Protección de Datos (AEPD) junto con la Autoridad francesa (CNIL), este Grupo elaboró el primer Dictamen conjunto sobre IoT.

El documento se dirigía específicamente a los fabricantes de dispositivos, desarrolladores de aplicaciones y gestores de redes sociales, así como a los propios usuarios.

¿Por qué hay riesgos para la privacidad?

La respuesta a esta pregunta es mucho más sencilla de lo que parece. Si nos paramos a pensar, esta tecnología no hace más que registrar todo tipo de información sobre nuestros hábitos y estilo de vida. Ya no hablamos de la información más evidente, como calorías y distancias recorridas cuando salimos a correr o niveles de azúcar y tensión cuando nos medimos las constantes, sino que incluso el acelerómetro y el giroscopio de un teléfono inteligente puede deducir información sobre nuestros hábitos de conducción.

Los famosos contadores inteligentes, por ejemplo, se perfilan como uno de los mayores peligros a nuestra privacidad. A fin de cuentas, a partir de ahora las eléctricas sabrán a qué hora nos levantamos, nos acostamos, llegamos del trabajo... ¿y alguien cree que no tratarán de comerciar con esa información para, por ejemplo, vendérsela a empresas de seguridad (alarmas)?

Es cierto que muchos de estos datos son tan parciales que podrían no decir nada de nosotros, pero si los reuniéramos y los procesáramos correctamente, la información puede ser muy precisa dando lugar a auténticos patrones de la vida de las personas. Y buena parte de esta información se va esparciendo por diferentes redes sociales, desde las más genéricas a las verticales de runners, por ejemplo. Imaginen lo que algún experto en fuentes abiertas podría hacer con todos esos datos: buena parte de la información con la que los piratas somalíes abordaban barcos mercantes procedía, simplemente, de cruzar diferentes fuentes abiertas y las propias centrales de inteligencia ya tienen espías dedicados exclusivamente a ello.

Concienciar al usuario

¿Qué puede hacer el usuario para no perder el control sobre la difusión de sus datos? En primer lugar, ser consciente de esta difusión y de las consecuencias que puede llegar a tener. No son pocos los que reivindican el anonimato para poder hacer uso de, por ejemplo, una de esas bandas para aficionados del deporte. “¿Para qué le hace falta a la compañía saber mi nombre, edad, lugar de residencia, etc. para decirme cuánto he corrido y cuántas calorías he quemado?”, pensarán muchos. Para nada, cierto, pero el modelo de negocio de quien provee el servicio no es ni siquiera la aplicación –que suele ser gratuita- sino la comunidad de runners –y toda su información-, con la que comercia a su libre albedrío.
Hace unos meses tuve la oportunidad de entrevistar al gurú Jeff Jarvis, que es uno de los mayores defensores de ceder privacidad para obtener servicios. Jarvis lo llamaba, ‘transacción’. Y es cierto que lo es, pero no son pocos los casos en los que quienes nos suministran un servicio determinado nos exigen a cambio demasiada información y, parte de ella, totalmente irrelevante para la prestación del servicio en cuestión.

No se trata de alarmar, pero sí concienciar, tal y como nos cuentan desde la AEPD. Entre las recomendaciones del Dictamen del Grupo de Trabajo del Artículo 29 destacan, por ejemplo, las dirigidas a los fabricantes de sistemas operativos y dispositivos. Proporcionar opciones granulares sobre qué datos se capturan, la hora y la frecuencia –al más puro estilo de la funcionalidad ‘no molestar’ de los smartphones-, límites a la geolocalización o el seguimiento de una Seguridad por Diseño (Security by Design) con mayores prestaciones criptográficas son algunas de las recomendaciones que podemos encontrar en el documento.
Por el lado de los desarrolladores, el Dictamen advierte de que éstos deberían programar avisos a los usuarios acerca de la captura de datos personales; facilitar opciones al usuario de acceder, modificar y borrar información transmitida y, por supuesto, no poder acceder más que a información en bruto cuando se encuentran desarrollando funcionalidades de aplicaciones, impidiendo que jamás puedan ver información agregada de ningún usuario.

Además, el usuario debería poder recabar toda la información que ha transmitido en cualquier momento y en cualquier lugar, pudiendo exportar esa información en un formato estructurado –algo que hoy por hoy no es en absoluto una práctica habitual-. Los usuarios debemos ser conscientes de que tenemos el derecho de saber de un modo claro y completo qué datos se recogen, cómo se recopilan y con qué fin se van a tratar. Ninguna compañía puede capturar nuestros datos sin nuestro consentimiento efectivo y jamás plantearnos que los almacenan sin un fin concreto. Toda captura de información debe tener un fin específico y, en caso de ser utilizados para otro, se estará cometiendo un delito. Es más, cuando cancelamos el servicio que habíamos contratado, la compañía tiene la obligación de eliminar toda nuestra información almacenada en sus servidores.

Finalmente, recordar que la AEPD rara vez actúa de oficio, pero si denunciamos a la compañía que esté utilizando fraudulentamente nuestros datos personales o que esté recopilándolos sin nuestro consentimiento previo, la Agencia dejará caer todo el peso de la ley. No en vano, el marco jurídico existente (Directiva de Protección de Datos 95/46/CE, en combinación con la Directiva 2002/58/CE de Privacidad y Comunicaciones Electrónicas) se aplica en la UE a cualquier organización que preste sus servicios, estén establecidas o no lo esté en territorio europeo.