Huella digital: El riesgoso rastro que dejamos en la red

Con el avance de las tecnologías para el análisis de grandes cantidades de datos, la información personal es una moneda de cambio muy valiosa para la industria digital, que ofrece servicios gratuitos para recopilarla, analizarla y buscar mejores ingresos por publicidad dirigida. Se cambia privacidad por acceder a bienes y servicios. En últimas, lo que está en juego son los derechos económicos y a la intimidad.

Imagen para huella digital

Solo con cruzar tres datos personales —edad, género y código postal o lugar de residencia— o tener acceso a una base de datos de geoposicionamiento global es posible identificar a una persona, conocer su historial médico y su rutina diaria o cobrarle más por un servicio. Todo sin invadir su privacidad, de acuerdo con investigaciones de una profesora de la Universidad de Harvard y el diario The New York Times.

En 1997, antes de los grandes avances de las tecnologías de análisis de datos, la ahora profesora de Harvard Latanya Sweeney, logró identificar en un experimento el historial médico del gobernador de Massachusetts de entonces, William Weld, cruzando únicamente fecha de nacimiento, género y cinco dígitos de su código postal entre la lista de votantes de Cambridge y la información anonimizada que tenía Group Insurance Comission, encargada de comprar seguros de salud para los empleados estatales.

En una investigación que realizó tres años después, demostró que el riesgo de identificación seguía siendo alto a pesar de las prácticas de anonimización de la época. En Simple Demographics Often Identify People Uniquely (2000), la fundadora y directora del Laboratorio de Privacidad de Datos de Harvard encontró que el 87 % de las personas que figuraban en el censo de EE. UU. de 1990 podían ser identificadas con base únicamente en los tres datos utilizados en su experimento de finales de los 90, mientras que para el 53 %, además del género y la fecha de nacimiento, ni siquiera se necesitaba el código postal —da una ubicación más precisa del lugar de residencia—, pues bastaba con saber el nombre de la ciudad.

Otro es el caso denunciado por The New York Times en 2018. En un estudio sobre información de sistemas de geoposicionamiento global (GPS) encontraron que, por más que no se guarde información para relacionar los datos con sus dueños, con el cruce de información que puede ser pública (lugar de trabajo, residencia o asistencia a algún evento público) es posible seguir los movimientos de una persona de forma muy precisa.

Por otro lado, el uso de insumos como el lugar de residencia o la geolocalización a la hora de realizar compras virtuales puede afectar los precios de los bienes y servicios en internet, lo que ha llevado a la Unión Europea a prohibir este tipo de discriminación.

“Ellos se dieron cuenta de que era más caro un tiquete para entrar a un parque en París si se compraba desde Alemania que desde España porque, en teoría, los primeros tienen más capacidad de pago que los segundos; aunque todos deberíamos tener el mismo precio por el mismo objeto”, explica María Lorena Flórez, abogada consultora en derecho de las tecnologías, protección de datos personales y protección al consumidor.

La también profesora de la Facultad de Derecho de Los Andes ha encontrado en sus investigaciones que en Colombia paquetes turísticos, tiquetes aéreos y electrodomésticos en algunos sitios web varían sus precios de acuerdo con el perfil del usuario, basado muchas veces en su historial de búsqueda y uso de aplicaciones.

“La tecnología de recolección y análisis de datos ha progresado mucho en los últimos años, lo que ha incrementado este tipo de riesgos, que, a pesar de que ya existían, eran mucho más difíciles de materializar en el pasado”, aclara Sandra Rueda, doctora en Ciencias de la Computación e Ingeniería de la Universidad del Estado de Pennsylvania (EE. UU.), quien asegura que en este momento distintos investigadores están proponiendo aproximaciones para tener un estimado más preciso sobre los riesgos de liberar información así sea anonimizada.

Normas y leyes

Qué dice la ley

La protección de los datos personales se encuentra establecida en el artículo 15 de la Constitución y desarrollada por las leyes 1266 de 2008 (de habeas data) y 1581 de 2012 (de protección de datos personales), en donde se especifican las condiciones para su recolección, tratamiento, circulación y remoción, y se determina que el ente regulador es la Superintendencia de Industria y Comercio.

Entre los derechos de los titulares de la información está la solicitud de la prueba de autorización para el tratamiento de datos —en caso de recibir una llamada, correo o mensaje sin saber cómo consiguieron el contacto— y la posibilidad de revocar dicha autorización y solicitar la supresión de la información: “bien porque se está haciendo un uso indebido de ella o por simple voluntad del titular —salvo las excepciones previstas en la normativa”, de acuerdo con la sentencia C-748 de 2011 de la Corte Constitucional.

Sin embargo, algunas empresas han ignorado esa sentencia y se escudan de forma equivocada en la misma Ley 1581 de 2012 para evitar responder cómo consiguen la información personal o acceder a su eliminación, asegura Flórez. Por estos casos, la Superindustria sancionó, por ejemplo, a Falabella y Rappi por medio de la Resolución 9800 del 2019.

 

Privacidad: ¿un derecho en vía de extinción?

“Mucha gente desde el lado de la tecnología asegura que la privacidad ya murió, pero eso no es cierto. En este país, cuando llegamos a casa cerramos la puerta y en muchas partes viven con las cortinas completamente cerradas todo el tiempo. Pero eso que tenemos tan claro en el mundo físico parece desdibujarse en el virtual porque no sentimos que sea una intromisión”, afirma Pilar Sáenz, coordinadora de proyectos en tecnología y privacidad de Karisma, una organización de la sociedad civil que promueve la protección de los derechos humanos en el mundo digital.

Con la masificación de internet y las redes sociales, la aparición de aplicaciones móviles, el historial de búsquedas en la web y los múltiples aparatos inteligentes que son enlazados con las cuentas personales (televisor, reloj, nevera, etc.), es cada vez mayor la cantidad de datos que entregamos, lo que incrementa también las posibilidades de análisis.

“Estamos dando una información tan privada que ni nosotros mismos la conocemos tan bien. Con ella, las empresas crean un perfil nuestro y nos ponen en algunos de sus grupos para ofrecernos bienes y servicios según nuestros gustos. Es muy curioso que la gente se aferre a cosas físicas, pero no a su privacidad e intimidad, fotos íntimas o gustos”, asevera Flórez.

Por ejemplo, en un reportaje de NPR de 2016, el entonces jefe de Investigación Económica de Uber Keith Chen, contó que en los análisis de datos que realiza la empresa encontraron que los usuarios son más propensos a pagar tarifas más altas en sus viajes cuando tienen poca batería en sus celulares; aunque aseguró que esta variable no es tenida en cuenta a la hora de calcular el precio de una carrera, sí es una señal de qué tipo de información se entrega y qué se podría hacer con ella.

De allí que organizaciones como Amnistía Internacional hagan un llamado a cambiar los modelos de negocios basados en la recolección de datos personales para ofrecer publicidad personalizada y permitirles a los usuarios acceder a los servicios sin ser forzados a entregar su información. Principalmente a los de las dos compañías dominantes: Facebook y Google.

“Estas dos empresas recopilan una gran cantidad de datos relacionados con qué buscamos en internet, adónde vamos, con quiénes hablamos, qué leemos y, mediante los análisis que hoy son posibles por los avances tecnológicos, tienen el poder de inferir cuál puede ser nuestro estado de ánimo, nuestra etnia, nuestra orientación sexual, nuestra opinión política y nuestra mayor vulnerabilidad. Algunas de estas categorías, incluidas características protegidas por los derechos humanos, se ponen a disposición de terceros con el propósito de segmentar a los usuarios de internet para brindarles anuncios e información de forma dirigida”, señala la ONG en su informe Gigantes de la vigilancia.

Además de ellas, existen otras empresas como Acxiom, Oracle, Equifax, Quantcast y Tapad que ofrecen a terceros sus servicios de recolección de este tipo de datos para suministrar productos que se derivan de la venta directa de la información o de su análisis. Son conocidos como corredores de datos o data brokers y funcionan a nivel mundial.

Para Sandra Rueda, profesora de Ingeniería de Sistemas y Computación de la Universidad de los Andes, esto se lleva a cabo con una justificación legítima: ofrecer una mejor experiencia al usuario o cliente y analizar la información, procesarla y tomar decisiones de negocios que pueden representar una ventaja competitiva, pero es necesario hacerlo de forma ética, manejándolos como si fueran los datos propios.

Sin embargo, esta información puede ser utilizada para agresivas campañas de publicidad basadas en la psicología del mercadeo en donde se puede influenciar al consumidor a la hora de elegir qué comprar. “Muchas veces no sé si necesito esas cosas que compro o si las empresas de mercadeo me las están metiendo hasta los ojos para hacerme creer que es así”, reflexiona Flórez.

Otro riesgo, de acuerdo con Andrés Páez —doctor en Filosofía de la Universidad de la Ciudad de Nueva York (EE. UU.)— es el sesgo de confirmación, el cual ocurre cuando las redes sociales filtran la información que les llega a los usuarios, según sus gustos y preferencias políticas: “Se generan burbujas epistémicas en donde solo leo y escucho noticias que confirman lo que yo creo. No es solo la publicidad que nos llega, sino también los contenidos. Esto impide que se acceda a puntos de vista diversos y ayuda a la polarización política”.

Mi perfil en Facebook y Google

Para conocer la información recogida por Google se puede ingresar desde un navegador Chrome, luego de iniciar sesión con una cuenta de Gmail, a https://adssettings.google.com/ y https://myactivity.google.com/. En ambos casos se puede detener y borrar el almacenamiento de información.

En cuanto a Facebook, es necesario dar clic en Configuración y privacidad > Configuración > Tu información de Facebook > Acceder a tu información.

Privacidad en Facebook y Google

Sin nada que esconder ni derecho al olvido

En Colombia, está prohibido vender y compartir bases de datos con información personal, a menos que se cuente con el consentimiento de la persona, algo a lo que se accede cuando se aceptan los términos y condiciones de las páginas web, aplicaciones o establecimientos comerciales muchas veces sin leerlos: “La información se comparte también con sus socios, aliados o proveedores de servicios como empresas de publicidad y mercadeo. Sería una muy buena práctica que los empresarios les dijeran a sus clientes o usuarios con quiénes la comparten para que, por lo menos, sepan quiénes los pueden estar llamado”, asegura María Lorena Flórez, doctora en Derecho de la Escuela Superior de Santa Ana, Pisa (Italia) y magíster en Derecho y Tecnología de la Universidad de Tilburgo (Holanda).

Actualmente, la ley no obliga a las empresas a contar con quién comparten la información de los usuarios, qué usos le dan ni exige que su recolección esté deshabilitada por defecto, contrario a lo que ocurre en Europa.

A criterio de Pilar Sáenz y la Fundación Karisma, no basta con los términos de condiciones y servicios: “Cuando entras a una página web con base en la UE, todas las opciones de rastreo están deshabilitadas, no guardan información sobre ti, a menos que quieras lo contrario. En este caso, como usuario comienzas a habilitar una a una las funciones; pero acá, la única opción que brindan es no usarla, en vez de dejar que se haga una configuración sobre qué información se quieren compartir”.

Por otro lado, algunos estudiantes de Flórez, Rueda o Páez concuerdan en que no tienen nada que esconder ni perciben algún miedo a la hora de compartir sus datos de forma pública. Además, parten del imaginario de que empresas como Microsoft, Google o Facebook ya tienen toda su información, por lo que no queda mucho por cuidar.

De acuerdo con Páez, profesor de Filosofía con especial interés de investigación en la interacción entre humanos y sistemas artificiales autónomos e integrante del Centro de Investigación y Formación en Inteligencia Artificial (CinfonIA) de la Universidad de los Andes, esa disyuntiva ética se plantea de diferentes maneras dependiendo de las edades: “En las generaciones mayores se ha incrementado la preocupación por la privacidad, ya que entienden que existe un conflicto entre privacidad y seguridad, pero las más jóvenes no encuentran un conflicto porque nacieron en medio del mundo digital y sin valorar la privacidad”.

Para él, la diferencia es el factor de riesgo percibido. Cuando la gente regala su información, no está esperando que los algoritmos hagan algo con ella, sino que otras personas la vean e interactúen con ella: “Si Spotify decide qué canción sigue; Netflix, qué película ver o Amazon, qué libro comprar, la gente se arriesga porque no le cuesta mucho”.

Sin embargo, esta posición es problemática para María Lorena Flórez y Sandra Rueda.

“A mí sí me parece que es importante, sobre todo en un país como Colombia en donde conocer dónde estás, dónde vives y tus gustos, me da un perfil para saber cuándo ir a tu residencia cuando esté sola, por ejemplo. ¿Es necesario publicar en tiempo real todo lo que se hace?”, reflexiona Flórez.

Además, para Rueda, es necesario ser conscientes de que ahora todo es susceptible de quedar registrado en la web, lo que puede hacer que los jóvenes tengan que enfrentarse a responder por sus equivocaciones en un futuro: “Esto puede afectar la búsqueda de trabajo, por ejemplo, a pesar de que los jóvenes deberían tener derecho a equivocarse”.

A esto se suman los riesgos en seguridad en internet, por lo cual Juan Diego Jiménez coordinador del laboratorio de Informática Forense de Los Andes, recomienda pensar dos veces y tomar decisiones más prudentes a la hora de descargar una aplicación o publicar algo, informarse sobre lo que ofrecen realmente las herramientas para no suponer sus alcances, usar configuraciones de privacidad y herramientas tecnológicas que los dejen borrar su huella digital y cambiar las claves con frecuencia. Además, Flórez agrega lo siguiente: hacer una limpieza anual de fotos, videos y publicaciones, y ser conscientes de que, una vez algo es publicado, puede convertirse en público así no se desee.

“Si al conocer cómo nos tienen perfilados, seguimos sintiéndonos cómodos con que tengan tanta información, está bien. De lo contrario, se debería tener toda la posibilidad de decir: No. Basta. Paremos”, concluye Pilar Sáenz.