Unas notas sobre privacidad

Las últimas semanas nos han enseñado que hay en el mundo decenas de empresas que se preocupan tanto por la protección de nuestros datos que no les ha quedado más remedio que cumplir la ley cuando estaban obligadas a ello. Todos estos cientos de miles (¡de millones!) de e-mails que hemos recibido pidiendo nuestro permiso para "poder seguir en contacto con nosotros"¹ tienen su origen en la entrada en vigor del Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), una regulación a nivel europeo que viene a decir que las empresas que almacenen o procesen datos de carácter personal tendrán que tener un poquito más de cuidado a partir de ahora.

Tengo la impresión de que la tormenta de e-mails ha contribuido a que más de uno se quede con la impresión de que la Unión Europea no es más que una caterva de burócratas pesados que no paran de parir ideas para hacer todo un poquito más molesto, más lento, más difícil y más caro, pero no ha sido muy pedagógica.

Sin ser un experto en esta ley en concreto, en este artículo simplemente quiero dejar un reguero de enlaces e ideas a medio cocer (o no) sobre este asunto que he ido pergeñando recientemente. Sigan leyendo bajo su cuenta y riesgo.

No hablaré aquí del no tengo nada que ocultar, así que no importa que sepan cosas sobre mí que llega a veces desde la barra del bar más cercano. Lo suele decir gente que cierra la puerta del baño y no nos dejaría en ese momento su teléfono móvil. 'I've Got Nothing to Hide' and Other Misunderstandings of Privacy explica todo esto mejor de lo que lo puedo hacer yo.

La privacidad es un derecho fundamental en la Unión Europea. En la Carta de derechos fundamentales, artículo 8, aparece:

Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.

Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificatión.

Todo esto es papel mojado en el momento en el que empiezan a producirse efectos mariposa con el mercadeo de nuestros datos: la gente navega por Internet sin condón (ver Praxis más abajo), y uno visita una página sobre mariposas en Nueva York y termina en una base de datos de "Varón, 40 años, con perro, tendencias progresistas" en Tokyo. Pocos días después, esas variables se mezclarán con otras proveniente de un listado de suscriptores de esa revista de manualidades que recibíamos hace un par de años y terminarán en otro ordenador en otro país y, después, en algún periódico digital, sin darnos cuenta, veremos un anuncio que, en teoría, nos interesará muchísimo.

La privacidad y el vil metal

Las leyes de protección de la privacidad de los datos personales tienen que actuar en medio del surveillance capitalism (capitalismo de vigilancia, (2)), una de las partes más primorosas de este régimen que nos ha tocado vivir:

Más y mejores técnicas de extracción de datos.
Desarrollo de nuevos tipos de contrato usando técnicas de monitorización y automatización.
Personalizar servicios ofrecidos a consumidores en plataformas digitales.
Utilización de la infraestructura tecnológica para realizar experimentos en usuarios y consumidores de forma continua.

Todo esto se mezcla con la ignorancia, la indiferencia y una mezcla de ambas hacia todo lo relativo sobre el tratamiento de nuestros datos: en general, mucha gente ni sabe qué es lo que está entregando, ni para qué usos, ni cómo se va a procesar, ni cómo se puede acceder a ellos. Ni le interesa. Desde donde sea que me están leyendo: ¿saben qué empresas están obteniendo los datos que está generando su teléfono móvil ahora mismo y qué están haciendo con ellos?

Creo que escuché por primera vez a Gabriella Coleman llamar dispositivos privados de rastreo (parafraseo) a los teléfonos móviles. Pensé que era una exageración hasta hace relativamente poco. Hace unas semanas, se supo que un fallo en una página web había permitido el seguimiento en directo de varios millones de usuarios de móvil de Estados Unidos y Canadá. El fallo es que cualquiera habría podido hacerlo, y no las empresas que pagan por ese acceso. En una discusión en esta noticia en Hacker News, uno de los comentaristas aportaba lo siguiente:

I work in location / mapping / geo. Some of us have been waiting for this to blow (which it hasn't yet). The public has zero idea how much personal location data is available.

It's not just your cell carrier. Your cell phone chip manufacturer, GPS chip manufacturer, phone manufacturer and then pretty much anyone on the installed OS (android crapware) is getting a copy of your location data. Usually not in software but by contract, one gives gps data to all the others as part of the bill of materials.

This is then usually (but not always) "anonymized" by cutting it in to ~5 second chunks. It's easy to put it back together again. We can figure out everything about your day from when you wake up to where you go to when you sleep.

This data is sold to whoever wants it. Hedge funds or services who analyze it for hedge funds is the big one. It's normal to track hundreds of millions of people a day and trade stocks based on where they go. This isn't fantasy, it's what happens every day.

La parte de los hedge funds me llamó la atención especialmente. No solamente por el uso especulativo del asunto, sino porque es una afirmación que seguro que se ha comentado en más de un sitio, de ser cierta; de lo contrario habría que etiquetarla con su icono del gorrito de papel de aluminio correspondiente. No tuve que buscar mucho antes de encontrar algún artículo mencionando esto en diversas variantes: 1, 2, 3, 4.

Y luego están cosas como el asuntillo de la aplicación oficial de la Liga de Fútbol, que seguramente conocemos gracias a la GDPR, al forzar a especificar de forma clara qué datos se recogen y para qué. No será el último caso que conoceremos.

Data brokers

Un data broker (o una compañía de reventa de información) es una empresa que recopila datos de diversas fuentes, los limpia, los enlaza, los agrega, los post-procesa, etc, y finalmente los vende (directa o indirectamente -- por ejemplo, vende acceso a los datos, pero no los datos en sí) a terceros. En tiempos, estos datos de entrada podrían ser el código postal, el censo, listados de suscriptores a ciertas publicaciones, información financiera, listados de propietarios de viviendas, etc. Ahora, a todo esto, hay que sumarle la "actividad web", los datos de localización del teléfono móvil y el contenido de la nevera inteligente de la cocina.

Todo esto no es más que El Mercado (TM) perfeccionando la información con la que trabaja. En estas empresas (unas 4000, aunque es difícil saber el número exacto precisamente porque cuanto menos se hable de ellas, mejor) se hacen listas con cientos de categorías. "Gente con gato que viaja al Caribe una vez al año". "Trabajadores a los que hemos convencido de que se puede ser de clase media a base de crédito". "Parejas sin hijos ni ganas". "Ancianos con demencia que no saben ni cómo se llaman ni qué son las acciones preferentes". "Musulmanes". "Enfermos terminales de SIDA que darían lo que les queda en la cuenta corriente y medio riñón, si todavía les funcionase, por una cura, por dudosa que fuese". El capitalismo occidental tiene sus listas extremas y el capitalismo con características chinas, las suyas. Pueden ver más ejemplos en este testimonio de Pam Dixon, presidente del World Privacy Forum, ante el Senado estadounidense en 2013.

En 2014, la Comisión Federal de Comercio (FTC) estadounidense publicó un informe en el que habla largo y tendido sobre esta industria y analiza el modus operandi de nueve de estas compañías. La primera frase de la sección Adquisición de datos es:

None of the nine data brokers collect data directly from consumers.

Siguiendo en la misma línea, incluso tomando como mediador de todo esto a la sacrosanta e infinitamente sabia mano invisible², el asunto está difícil. Como dice Bruce Schneier al hablar del tema:

Right now, the only way we can force these companies to take our privacy more seriously is through the market. But the market is broken. First, none of us do business directly with these data brokers. Equifax might have lost my personal data in 2017, but I can't fire them because I'm not their customer or even their user. I could complain to the companies I do business with who sell my data to Equifax, but I don't know who they are. Markets require voluntary exchange to work properly. If consumers don't even know where these data brokers are getting their data from and what they're doing with it, they can't make intelligent buying choices.

Ya que estamos, el artículo de Schneier es estupendo para estar al tanto de distintas iniciativas legislativas enfocadas a intentar poner un poco de orden en todo esto, como la reciente ley aprobada en Vermont, que creará el primer registro público de data brokers en Estados Unidos (en realidad solamente en ese estado, pero muchos de ellos operan a nivel nacional).

¿Eso que comentaba ahí arriba Bruce Schneier acerca de Equifax? Un data broker. ¿Lo de la filtración de los datos de teléfonos móviles? Un data broker. ¿Cambridge Analytica? Un data broker. Aquí el escándalo no fue lo que hicieron, sino cómo consiguieron los datos. Un gran número de políticos y equipos de campaña han contratado a empresas para influir (o intentarlo) a grupos muy particulares de potenciales votantes y nadie se había rasgado las vestiduras antes. Tampoco antes había ganado Trump. Véase How Obama’s Team Used Big Data to Rally Voters, MIT Technology Review, 19 de diciembre de 2012. La portada de ese número era Bono y debajo el título Big Data will save politics. Eran otros tiempos.

Hay que pararse a pensar si cualquier fragmento de información que uno genera, por minúsculo que sea, puede ser verdaderamente privado. Consideremos:

Un puñado de likes en Facebook puede ser un buen predictor sobre su orientación sexual, raza, ideología, religión, edad, género y otras características, aunque un usuario haya decidido no hacerlas públicas. Fuente: Private traits and attributes are predictable from digital records of human behavior.
En Estados Unidos, si vas a un hospital con el móvil encendido igual empiezas a recibir más anuncios de abogados que antes.
Existe la sospecha de que hay empresas usando Facebook para discriminar a candidatos con más edad.
Su cara está en alguna parte.

Si queremos ser muy ~~cínicos~~ realistas, podemos simplemente asumir que la información es binaria: se divide en aquella que ya ha salido a la luz y la que todavía no se ha filtrado. Si sus datos no se han hecho públicos ya, lo harán la próxima vez que alguien aproveche un fallo de seguridad, no se preocupe, ¡si hay copias por todas partes!

La GDPR

En Estados Unidos la protección de la privacidad es algo a equilibrar con el derecho de las empresas (freedom!) a hacer negocio. En Europa es un derecho fundamental, y de ahí las diferencias a uno y otro lado del Atlántico. La nueva regulación dice bastantes cosas, pero en lo que nos interesa la podemos reducir a estas dos instrucciones a empresas:

No obtengas de tus usuarios más datos de los estrictamente necesarios y no se los cedas a nadie.
Si te vas a saltar el punto 1, obtén consentimiento de tus usuarios y asegúrate de explicar muy bien qué es lo que vas a hacer.

Del punto 2 emanan joyas, muchas de ellas recopiladas en GDPR Hall of Shame:

Aquí tienen la lista de empresas con las que Tumblr compartirá sus datos de navegación: cuidado, es larga. El motivo, como siempre: proporcionarte experiencias relevantes.
Aquí tienen lis lista de empresas con las que PayPal compartirá información: click (y visualización).
¿Han intentado acceder a El País últimamente? Si en lugar de aceptar las cookies pinchan en los menús que les permiten obtener más información, ahí también tendrán la lista de empresas. Aquí hay un extracto, copiado y pegado a la hora de escribir este artículo.

Los periódicos on-line son, de forma nada sorprendente, unos de los mayores afectados por todo esto. El modelo gratis con publicidad significa gratis siguiéndote por la red siempre que podamos³. No es de extrañar que algunos de los primeros servicios hospedados en Estados Unidos que decidieron que el mejor modo de cumplir la ley era simplemente bloquear a toda IP europea fueran periódicos: el Los Angeles Times y el Seattle Times, por ejemplo. Otros, como USA Today, decidieron ofrecer una página sin JavaScript, sin anuncios y sin ningún elemento pesado: ahora ocupa 10 veces menos y carga bastante más rápido. El Washington Post tiene ahora 3 modalidades de suscripción: gratis, suscripción básica por $60, y suscripción sin anuncios ni seguimiento por $90. Si alguien quiere hacer una estimación de cuánto le valemos a un periódico, ahí lo tiene.

Praxis

¿Y ahora, qué? Además de relajarse, ver qué ocurre y disfrutar del espectáculo, tenemos una herramienta más para controlar a empresas (que recuerden que trabajan para nosotros, no al revés). Yo, por mi parte, ya he empezado a enviar peticiones de datos a bancos españoles con los que mantengo cuenta y al operador de telefonía móvil con el que aún tengo mi número español. Veremos qué sale de esto, aunque tengo grandes esperanzas.

Por lo demás: independientemente de esta ley, a Internet se sale con el capuchón puesto. En mi caso, eso significa tener Firefox con dos plugins: uBlock origin y Cookie AutoDelete.

El primero sirve para bloquear anuncios, en general, aunque yo lo tengo puesto en modo nazi y no permite que ninguna página cargue ningún elemento que no provenga de su dominio (esto se puede cambiar dominio a dominio, obviamente). También permite eliminar elementos aislados de las páginas web, así que en vez de aceptar los términos de condiciones y servicios, borro ese elemento y ya no vuelve a salir. No estoy aceptando sus cookies, pero además déjenme tranquilo.

Ya que hablamos de cookies, el segundo hace que toda cookie que no esté expresamente autorizada se borre al cerrar la pestaña correspondiente.

Este montaje también sirve para el móvil, por cierto. Esto también se traduce en un menor tráfico de datos, lo que se agradece.

Tengo pendientes algunas lecturas sobre este tema, pero ya me he extendido demasiado. Principalmente, Networks of Control, del grupo de investigación Cracked Labs (y cualquiera de sus publicaciones, ya que nos ponemos), promete sobremanera.

Unos minutos musicales: On Every Street.

y en letra muy pequeña, abajo, en tono gris claro sobre fondo blanco: y poder seguir trapicheando datos con terceros. Por otra parte, todos estos e-mails han venido muy bien como recordatorio de que tenemos por ahí cuentas que no usamos y que podemos cerrar tranquilamente. ↩
la misma que hace que haya gente que siga comprando en El Corte Inglés. ↩
también significa gratis pero vamos a partir este artículo en varias páginas para poder cargar más publicidad y agárrate, que viene el clickbait. ↩

No tengo sistema de comentarios. Si quieres decirme algo sobre este artículo, puedes ponerte en contacto conmigo mediante e-mail o Mastodon.