Digital footprints March 28 - SPANISH[1] 1. ¿Qué dinámicas operan en el mundo de las huellas...

Huellas digitales Un marco de referencia de la Internet Society

ENERO DE 2014

WWW.INTERNETSOCIETY.COM

2

Índice

Estructura y uso del documento ............................................................................................................... 3

Guía de temas y secciones ....................................................................................................................... 3

¿Qué es una huella digital? ...................................................................................................................... 5

¿Por qué empezamos a dejar huellas tan grandes? ................................................................................ 5

¿Es “monetizado” la nueva versión de “gratuito”? .................................................................................... 8

¿Quiénes me están siguiendo y cómo lo hacen? ..................................................................................... 10

¿Qué problemas pueden ocasionar las huellas digitales? ....................................................................... 14

Diferentes servicios, diferentes rastros... .................................................................................................. 16

¿Qué dinámicas operan en el mundo de las huellas digitales? ................................................................ 19

¿Cómo afecta la legislación a las huellas digitales? ................................................................................. 20

¿Cómo puedo gestionar mis huellas digitales? ........................................................................................ 24


3

Estructura y uso del documento

Este documento marco se estructuró de manera que sea fácil para el lector comprender y gestionar sus huellas digitales. Cada sección se ocupa de un tema particular: cómo se crean las huellas digitales; por qué hay terceros a quienes le interesan nuestras huellas digitales; cómo interactúan la privacidad, la economía y la legislación; y así sucesivamente.

Cada sección se ha escrito de modo que sea autocontenida, es decir que cada sección ofrece una descripción del tema o problema, explica por qué es de interés para el usuario, e indica qué podemos hacer al respecto.

Hemos agrupado las secciones en tres temas generales (aspectos económicos, riesgos y contexto), de modo que se puede tratar a todo el material como un único documento, se puede escoger una sola sección que sea de mayor interés, o se pueden leer las secciones que se relacionan con un tema común.

Al final incluimos una guía en la cual se ofrecen ejemplos de cuatro tipos de acciones que el lector puede tomar para desarrollar su comprensión y controlar su huella digital. Si esa es su principal preocupación, diríjase directamente a “¿Cómo puedo gestionar mis huellas digitales?” Sin embargo, la primera recomendación que encontrará allí será “Mejore su comprensión de los problemas básicos”... que es exactamente lo que esperamos que logre a partir del resto del documento.

Guía de temas y secciones

Introducción: ¿Qué es una huella digital?

Tema 1 – Aspectos económicos

1. ¿Por qué empezamos a dejar huellas tan grandes? (La función de las cookies y los efectos de la enlazabilidad)

2. ¿Es “monetizado” la nueva versión de “gratuito”? (La publicidad y el intercambio económico implícito en los servicios “gratuitos”)

3. ¿Quiénes me están siguiendo y cómo lo hacen? (El ecosistema comercial del rastreo en línea)

Tema 2 – Riesgos

1. ¿Qué problemas pueden ocasionar las huellas digitales? (Equilibrio de los beneficios sociales y económicos; enlazabilidad e integridad contextual)

2. Diferentes servicios, diferentes rastros... (Aplicaciones, teléfonos inteligentes, y hacia dónde vamos)


4

Tema 3 – Contexto

1. ¿Qué dinámicas operan en el mundo de las huellas digitales? (Comodidad, mercados y la falta de opciones para el usuario)

2. ¿Cómo afecta la legislación a las huellas digitales? (El tema del consentimiento y las transferencias de datos transfronterizas)

Guía: ¿Qué puedo hacer para gestionar mis huellas digitales?


5

¿Qué es una huella digital?

Las huellas digitales son los registros y rastros que dejamos al utilizar Internet. Las huellas digitales pueden representar un riesgo o un beneficio para cada usuario... pero nunca son irrelevantes. Se trata de información que otras personas utilizan para ganar dinero, para averiguar cuáles son nuestras preferencias y con quién almorzaremos el próximo martes.

Nuestra huella digital puede afectar nuestra reputación en línea e incluso nuestra calificación crediticia. Gracias a nuestra huella digital, puede que no sea necesario iniciar una sesión o ingresar repetidamente nuestros datos personales en un sitio web. Pero las huellas digitales son visibles incluso para organizaciones con las que no tenemos ninguna relación, cuyos intereses están en conflicto con los nuestros, y sobre las cuales muchas veces no tenemos ningún control.

La mayoría de las personas sabe que al compartir información personal a través de Internet (como por ejemplo a través de las redes sociales) y al utilizar servicios en línea (como por ejemplo servicios de correo electrónico, mensajería instantánea o llamadas de voz) está renunciando a un cierto grado de control sobre su privacidad. Como dejaron en claro recientes controversias en Estados Unidos y otros países, la información que confiamos a otros –incluso cuando pensamos que es privada– está fuera de nuestro control.

Muchas veces esta pérdida de control se da como resultado de acciones explícitas: realizar una llamada a través de Skype, compartir algo en Facebook, subir fotos a Tumblr, enviar un correo electrónico a un usuario de Hotmail. En estos casos, aunque podamos esperar algo de privacidad, sabemos que cada vez que usamos estos servicios estamos dejando un rastro.

Pero, ¿qué pasa con el rastro que dejamos implícitamente, mientras recorremos Internet? ¿Es posible que alguien siga nuestros pasos por el mundo virtual de Internet, que siga nuestras huellas digitales, que rastree las impresiones que vamos dejando a nuestro paso? La respuesta es “sí”. Nuestras huellas digitales son quizás más grandes de lo que pensamos, y están siendo utilizadas –generalmente con fines comerciales, aunque a veces por otros motivos– para rastrearnos, personalizar productos o servicios a nuestra medida o vendernos algún producto o servicio. En resumen, nuestra huella digital es un activo que se puede monetizar... pero rara vez las ganancias serán para nosotros.

Tema 1 – Aspectos económicos

1. ¿Por qué empezamos a dejar huellas tan grandes?

“Seños Holmes, ¡eran las huellas de un mastín gigantesco!”

~ A. C. Doyle, El Mastín de los Baskerville


6

Los usuarios de Internet deberían estar preocupados por los problemas de privacidad relacionados con sus huellas digitales: estas huellas se pueden usar para rastrear sus acciones y sirven de base para que proveedores de servicios en línea y otros interesados puedan crear “perfiles” de usuarios. Con el tiempo, la tecnología para crear perfiles de los usuarios de Internet se ha vuelto cada vez más sofisticada. Pocos usuarios se dan cuenta de la verdadera magnitud de sus huellas digitales y de la frecuencia con la cual los datos resultantes son compartidos por terceros.1

Si prestamos atención, las huellas explícitas que dejamos cada vez que participamos en una conversación en Internet saltan a la vista. Por ejemplo, si tuiteamos que acabamos de llegar a Sídney y que la puesta de sol es espectacular, ambas afirmaciones revelan de forma bastante explícita dónde estamos y qué hora es (suponiendo que los tuits digan la verdad). Pero, ¿qué pasa con las huellas implícitas? Cada vez que visitamos un sitio web, revelamos información personal al dueño del sitio: nuestra dirección IP, que puede incluir nuestra información geográfica; el tipo de navegador y el sistema operativo que utilizamos; y, muchas veces, el último sitio que hemos visitado. Estos datos parecen relativamente inocuos, incluso bastante anónimos. Cada una por separado, estas huellas son bastante superficiales.

De hecho, estas huellas pueden representar un problema para algunas personas por ser demasiado superficiales. Muchos servicios en línea como los sitios de comercio electrónico, las redes sociales y el webmail necesitan que un sitio web pueda vincular múltiples interacciones, como por ejemplo colocar un libro en un carrito de compras y luego hacer clic en “Pagar”. Necesitan saber si la persona que está haciendo algo en este momento es la misma persona que hizo algo anteriormente –muchas veces, esto también beneficia directamente al cliente. Las direcciones IP no resuelven el problema, ya que muchas personas podrían estar utilizando simultáneamente la misma dirección IP. Se necesita algo más. Una solución consiste en utilizar cookies. Una cookie es una forma de conectar múltiples acciones realizadas por un mismo usuario para formar un hilo conectado. Cuantas más acciones se puedan vincular, mayor será el potencial impacto sobre la privacidad de la persona, incluso si cada uno de los puntos de datos individuales no es particularmente revelador.

Las huellas digitales en forma de cookie se utilizan para aumentar la usabilidad de Internet. También pueden ayudar a que las transacciones individuales sean más seguras. Una gran cantidad de servicios actualmente disponibles en Internet están diseñados de modo que dependen de la disponibilidad de las cookies, y pueden no funcionar –o no funcionar de la manera que se pretende– si las cookies están bloqueadas. En otros casos, las cookies se utilizan exclusivamente para comodidad del sitio web y no aportan ningún beneficio real a los usuarios.

El lado positivo de las huellas digitales es un factor importante en nuestra consideración de la privacidad. Sin embargo, las cookies no son el único mecanismo que ofrece seguridad y persistencia. Las decisiones de seguridad de una transacción dependen de una combinación de factores, entre ellos las cookies, pero también de otros mecanismos como por ejemplo las “URL decoradas”, cadenas que identifican al navegador (conocidas como la cadena “agente de usuario”) y la dirección IP, entre otros. Los desarrolladores web

1 El Wall Street Journal publicó una serie de documentos titulada “What They Know” que exploran este tema en mayor profundidad. Los

lectores interesados pueden comenzar a partir de http://online.wsj.com/public/page/what-‐they-‐know-‐2010.html para aprender más de esta serie.


7

utilizan cookies como una de las formas más convenientes de agregar persistencia y seguridad a la experiencia web del usuario. Este es el motivo por el cual hay cookies por todas partes. Ahora analicemos las cookies un poco más detalladamente.

Una cookie es una cadena arbitraria de letras y números, sin ningún significado intrínseco, que un sitio web envía a su navegador web. Este es un ejemplo de una cookie:

JSESSIONID=0000e7B1glDiG4yqQy4Rivr5rCf:17q9uijvp

Nuestro navegador web guarda la cookie cuando se le pide que lo haga y, cada vez que volvemos a visitar el sitio, el navegador envía la cookie al servidor web nuevamente. Aunque por lo general una cookie no tiene ningún significado especial para el usuario, el sitio web puede almacenar en ella información de perfil y preferencias, usar la cookie para enviar la información de perfil y las preferencias almacenadas a otro sitio, o usarla para registrar cosas como la última vez que se autenticó.

Las cookies trabajan tras bastidores para proveer continuidad y persistencia. Por ejemplo, en ausencia de cookies, quizás tendríamos que ingresar nuestro usuario y contraseña una y otra vez para leer nuestro correo, navegar por un sitio de comercio electrónico o participar en una red social. No solo una vez en cada sitio, sino una y otra vez para cada una de las páginas.

En general, los sitios web colocan una cookie en su navegador apenas visitamos el sitio por primera vez. El navegador guarda la cookie internamente y luego la envía otra vez al servidor cada vez que hacemos clic. Una consecuencia es que el sitio web puede relacionar todas nuestras acciones para mejorar nuestra experiencia de usuario –sin importar si estas acciones ocurren con una diferencia de días, semanas o meses. La mayoría de los usuarios no piensan en ello, pero por defecto los navegadores web contienen miles de cookies que han sido colocadas allí por cada sitio web visitado. Sin embargo, esto también significa que las huellas que dejamos son cada vez más grandes. Las cookies no solo vinculan transacciones, sino que también permiten que los sitios web lleven un registro de cada una de nuestras visitas.

La mayoría de los proveedores de servicios de colocación de cookies explican esto en términos de 'optimizar su relación con el cliente'. Pero si el proveedor tiene todos los datos –a menudo sin que el usuario sepa ni pueda ver de qué datos se trata– la relación resultante es más bien como observar a alguien a través de un espejo de dos caras. Y esto puede ser desconcertante.

“Every step you take, Every click you make, I’ll be watching you... Oh, can't you see? You belong to me...”

~ Con nuestras disculpas para Sting y The Police

A medida que utilizamos Internet, nuestro deambular por diferentes sitios web, buscadores, redes sociales y servicios de correo electrónico va dejando información acerca de nuestras tareas profesionales y personales, de nuestras actividades comerciales, y de lo mucho que nos gustan los gatos y los videos de Justin Bieber. Si un proveedor de servicio guarda información de nuestra cuenta, como por ejemplo nuestra


8

dirección de correo electrónico, nuestros detalles de pago, nuestro historial de compras u otros datos personales, la cookie relaciona cualquier otra cosa que hagamos con esta información. El concepto de enlazabilidad –lo que en inglés se llama linkability–es fundamental para cualquier análisis de la privacidad en Internet, ya que contribuye más que casi cualquier otra cosa a erosionar la capacidad de los usuarios de mantener sus datos personales dentro de un único contexto y, por consiguiente, de gestionar su propia privacidad.

Individualmente, cada huella es pequeña, pero juntas pueden formar un perfil sorprendentemente completo. Cuando varios sitios web deciden compartir entre sí esta información, surge la posibilidad de crear el perfil del usuario, utilizando datos como los sitios que ha visitado, los productos que ha comprado o buscado, su dirección y cualquier otro dato que haya proporcionado a cualquiera de los sitios: su edad, sexo, salud, estado civil, empleo, información financiera… la lista incluye todo lo que alguna vez se haya compartido en Internet. De hecho, es más larga todavía, ya que, a partir de los datos sin procesar, las empresas de profiling hacen inferencias sobre sus hábitos, preferencias, valores, aspiraciones e incluso sus intenciones y comportamiento futuro.

Más adelante discutimos cómo minimizar las huellas digitales en este documento marco para aquellos usuarios de Internet que deseen tener mayor control.

2. ¿Es “monetizado” la nueva versión de “gratuito”?

“There is one thing I mean everything has a price I really hate to repeat myself But nothing’s free”

~ Alice Cooper, “Gimme”

El uso intensivo de las huellas que dejan los usuarios en Internet para rastrearlos y personalizar el contenido es el resultado del intercambio económico básico detrás de Internet. Dado que, de una forma u otra, es el mercado quien financia la mayor parte de la infraestructura de Internet, los editores y comerciantes utilizan las huellas digitales para dirigirse al público más adecuado.

Las huellas digitales existirían incluso si no sirvieran ningún propósito comercial, pero el lado comercial de Internet está aprovechando la oportunidad que estas huellas representan. Los anunciantes y comerciantes ahora dependen del poder que las huellas digitales les han otorgado para observar, vincular y minar datos sobre los usuarios de Internet.

Los servicios en línea no son realmente gratuitos y nunca lo han sido. Una gran parte del contenido y los servicios disponibles parecen ser gratuitos, en el sentido de que no pagamos por ellos en forma directa. Aunque hay algunas excepciones –ciertos periódicos y revistas, distribuciones de video en modalidad pay-per-view, y servicios de información pagos como informes de analistas de la industria–ver información en un


9

sitio web, leer un blog, mirar un video, subir una fotografía o unirse a una red social son acciones que generalmente no tienen ningún costo aparente.

Aquí la palabra “aparente” es significativa: incluso si no pagamos directamente. Alguien tiene que financiar los servidores, los datacenters y las redes necesarias para proveer los servicios en línea. Inicialmente financiada mediante becas de investigación del gobierno, hoy en día Internet se financia gracias a una poderosa fuerza económica: el marketing. De los 100 sitios web más populares (en cuanto a su tráfico), solo uno de ellos –wikipedia.org– está totalmente libre de publicidad.

La frase que se utiliza para describir esta situación es la siguiente: “Si usted no está pagando por el producto, usted ES el producto.” No es una idea nueva, tampoco es una distinción en blanco y negro, pero resume a la mayoría de los recursos en línea "gratuitos" de manera muy sucinta. Si usted no paga una cuota de suscripción por un servicio o aplicación, dicho servicio se financia monetizando la información que obtiene sobre usted, sobre su círculo social y sobre sus intereses y preferencias colectivas. Lamentablemente, no ocurre lo contrario: el hecho de pagar una suscripción por un servicio o un plus para acceder a una versión "sin publicidad" de un servicio no garantiza que nuestros datos personales no serán recogidos y monetizados.

En casi todos los casos, cada vez que miramos una página en Internet, a alguien le interesa mostrarnos un anuncio.2 El costo de entregar un anuncio en Internet es muy bajo en comparación con otros mecanismos como los carteles publicitarios, los diarios y las revistas. Esto significa que los consumidores y los anunciantes que desean llegar a los mismos pagan por la mayor parte del contenido “gratuito” disponible en Internet –y dejan un buen margen de ganancia... para alguien. Por ejemplo, en 2012 Google tuvo ganancias de casi USD $11,000 millones, la enorme mayoría en concepto de colocación de anuncios.

Este trueque de ojos a cambio de servidores, redes y contenido es el intercambio económico sobre el cual se sustenta la mayor parte de Internet. Esto no es ningún secreto; sin embargo, pocos usuarios de Internet se concentran en el intercambio, antes que en la comodidad de los servicios que desean. Menos todavía modifican su conducta en línea debido a las preocupaciones que le genera el intercambio.

Pero desde el punto de visa de los comerciantes, Internet ofrece tanto oportunidades como desafíos. La oportunidad es que Internet permite acceder de forma directa y barata a consumidores receptivos. El desafío es que hay tanta información en Internet que puede ser difícil separar a los consumidores receptivos del resto. Antes, los anunciantes tenían una buena idea de quiénes leían la revista “Novia Moderna” y de lo que iban a comprar durante los meses siguientes. Pero para maximizar el retorno de Internet se requiere una visión más holística del consumidor, que ahora se encuentra en un mercado global mucho más diverso. Cuando Facebook vende a un anunciante un lugar en una de sus páginas, el valor de ese lugar puede ser tremendamente alto o prácticamente inexistente –todo según quiénes estén mirando la página, sus intereses y si están predispuestos o no a comprar lo que se ofrece. Para los anunciantes y los editores que colocan sus anuncios, esto representa un fuerte incentivo para averiguar tanto como sea posible sobre su público. Esto les ayuda a identificar las características demográficas, el idioma, el producto y el momento

2 Si en este momento no le están mostrando un anuncio, puede que estén recogiendo información sobre usted y sus intereses para alguien

más... que desea mostrarle un anuncio o venderle un producto o servicio.


10

apropiados, además de todos los demás factores que determinan si un presupuesto de marketing se gastó con éxito o si simplemente se desperdició.

Como ya mencionamos, incluso si un usuario paga por un servicio, esto no significa que no lo rastrearán. Algunos servicios web lo hacen para todos los usuarios, simplemente por costumbre o porque resulta más barato rastrear a todos antes que buscar la forma de hacerlo selectivamente. Otros están intentando ganar incluso más dinero, igual que una revista o un canal de televisión por los cuales pagamos pero de todos modos incluyen publicidad. Puede que un sitio no nos esté mostrando ningún anuncio, pero aun así puede que esté vendiendo información sobre lo que estamos haciendo a otra persona –y ese tercero podría querer mostrarnos un anuncio.

Se trata de fuerzas poderosas: el deseo de los anunciantes de personalizar los anuncios según el público, el deseo de los editores de cobrar el monto más alto posible por mostrar a alguien un anuncio, y el incentivo de rastrear al comprador y maximizar la rentabilidad. Estas fuerzas crean un enorme incentivo para recoger, minar, revender y monetizar los datos sobre los consumidores, y alimentan un motor comercial sobre el cual el consumidor individual tiene poca o ninguna influencia.

3. ¿Quiénes me están siguiendo y cómo lo hacen?

“Hay datos por todas partes. Los datos existen. Simplemente estamos colocándolos a todos en un mismo lugar…”

~ Fahad Hassan de “Always Prepped”, noviembre de 2012

Para comprender mejor el tema de las huellas digitales, es útil conocer quiénes son los principales actores que están recogiendo datos de nuestras huellas y siguiéndonos por Internet. En este trabajo nos limitaremos al caso de uso comercial.

En el mundo de la publicidad y el rastreo en línea hay tres actores principales que trabajan juntos para rastrear a los usuarios y crear perfiles compuestos: los anunciantes, los agregadores3 y los editores.

Aquí, “editores” se refiere a las empresas que publican anuncios en línea, para lo cual combinan anuncios con el contenido de diferentes páginas web, juegos, etc. Todas las revistas en línea están comprendidas en esta categoría, al igual que todos los buscadores, las plataformas para la publicación de blogs y millones de otros sitios que ofrecen un vehículo para la publicación de anuncios junto a su contenido.

“Anunciantes” se refiere a las empresas que comercializan productos y servicios. Son quienes tienen algo que nos quieren vender.

3 A los agregadores algunas veces también se les llama brokers de datos.


11

En muchos casos, los anunciantes trabajan directamente con los editores. Por ejemplo, sabiendo que este es un fuerte mercado objetivo para su producto, un fabricante de automóviles podría pedir a un periódico en línea que publique anuncios de su último modelo en el sitio de noticias para usuarios que se encuentran en Italia. También está la parte del ecosistema que quizás nunca haya visto.

Cuando los anunciantes quieren ser incluso más específicos aparecen los agregadores y brokers de datos, empresas con nombres que seguramente nunca haya escuchado, como BlueKai, Gravity, Rio, OutBrain y Dataium. Los agregadores de datos (supuestamente) recopilan información anónima de sus socios y la utilizan para dirigir los anuncios al público más apropiado.

Veamos dos ejemplos de cómo se utilizan las cookies para rastrear a los usuarios. Google News (news.google.com) es un agregador de noticias que proporciona enlaces a las principales noticias tomadas de miles de fuentes. Si un usuario que no tiene ninguna relación con Google abre la página, verá las principales noticias personalizadas de acuerdo con su ubicación actual (por ejemplo, “Santiago, Chile”) determinada sobre la base de su dirección IP. En ese momento, Google News también colocará una cookie de seguimiento en su navegador, y el navegador guardará esa cookie en su dispositivo. El trabajo del navegador consiste en enviar la cookie nuevamente al sitio web cada vez que el usuario regresa al sitio o que solicita otra página de ese sitio.

Si un usuario hace clic en una noticia que se encuentra en la página de Google News pero esa noticia está alojada en otro sitio web, su el navegador abre otra ventana para mostrarla. Luego el navegador se conecta nuevamente a Google News y envía la cookie de seguimiento junto con la URL de la noticia solicitada. De este modo, Google News tiene información de cada una de las noticias en las cuales hacemos clic, todas relacionadas mediante la cookie de seguimiento original de Google News.

Las cookies están asociadas a los nombres de dominio. Cuando Google News envía una cookie a nuestro navegador, utiliza el nombre de dominio comodín “*.google.com” y no el nombre más específico “news.google.com”. Esto significa que la cookie de seguimiento se devuelve a cualquier sitio web que termine en “google.com”, no solo a Google News, sino a todos los servicios de Google.

Al abrir la noticia solicitada, el sitio web del servicio de noticias sabe que la solicitud se originó en Google News (porque su navegador también envía esta información, el origen o “Referer”). Aunque el sitio web del servicio de noticias no recibe la cookie de seguimiento de Google News, generalmente envía sus propias cookies de seguimiento al navegador del usuario. Y si alguna de esas páginas web tiene anuncios de uno o más terceros, estos terceros también enviarán sus propias cookies de seguimiento.

Por ejemplo, (en el momento en de realizar la investigación para este trabajo) si un usuario hacía clic en una noticia del sitio BBC News, su navegador recogía una docena de cookies o más de la BBC, un par de atdmt.com y varias de doubleclick.net, mediaplex.com y revsci.net.

En teoría, cada sitio web funciona de manera independiente y el navegador solo debería devolver las cookies al sitio web que las colocó. Esto significa que las cookies de Google News no deberían estar disponibles para la BBC, ni las de la BBC para doubleclick.net. No obstante, los diferentes sitios web se pueden comunicar de otras formas, tanto a través del navegador del usuario dejando pistas para otros sitios


12

(como por ejemplo en la URL o cookies colocadas para otros dominios) o simplemente a través de un proceso de intercambio de información independiente.

Hasta aquí, los sitios web que utilizamos tienen mucha información sobre nuestros intereses, o al menos sobre las noticias que leemos, pero en realidad no tienen ninguna información sobre quiénes somos ni sobre cuál es nuestro perfil. Pero incluso una cantidad limitada de información puede permitir que alguien adivine nuestra edad, sexo, ingresos y otros detalles.

Hasta el momento solo hemos analizado un ejemplo en el cual un usuario lee una noticia sin autenticarse ante ninguno de los sitios web involucrados. Ahora agreguemos un poco más de profundidad. Esta vez, supongamos que lo primero que el usuario hizo fue iniciar una sesión en una cuenta que creó en uno de sus sitios favoritos.

Por ejemplo, supongamos que creó una cuenta en un sitio para fanáticos de los deportes de motor, y que allí se identificó como una mujer de 32 años de edad que vive en Colorado, Estados Unidos. El sitio de deportes coloca una cookie en su


13

navegador web –igual que en el caso anterior–, pero esta vez también deja una cookie de un tercero con datos para el agregador. Se trata de una cookie que deja un sitio web, pero que contiene la URL (“dirección de remitente”) de un tercero –en este caso, el agregador. En este caso, el sitio de deportes contribuye la información que conoce a partir de su perfil: “la cookie #117555 identifica a una persona de sexo femenino, de 32 años de edad, de Colorado, Estados Unidos, a quien le interesan los deportes de motor”. Como en el ejemplo anterior, las cookies son apenas una de las formas en que las dos partes podrían intercambiar esta información.

Cualquier otro sitio que inserta contenido del mismo agregador podría utilizar el mismo mecanismo: una posterior visita a un sitio de servicios financieros podría generar información adicional, permitiendo que el agregador ahora sepa que la cookie #117555 buscó información sobre tasas de interés, y un tercer sitio web podría agregar que la cookie #117555 buscó el mejor precio para la comida de bebé.

El agregador reúne todos estos datos, los filtra, y asigna a los usuarios a diferentes perfiles en base a decenas de criterios diferentes: su edad, ingresos, hábitos de compra, sexo, ubicación, intereses o cualquier otro que desee. Los agregadores trabajan junto con los editores para clasificar a los visitantes en diferentes categorías, y luego ofrecen a los anunciantes la posibilidad de acceder a esos “ojos”. Luego, cuando el fabricante de un nuevo asiento infantil para automóviles deportivos desee llegar a potenciales clientes, la próxima vez que vaya a un sitio web afiliado con el agregador, la cookie #117555 verá el anuncio correspondiente.

Para algunos grandes editores, los trabajos de agregación y publicación son manejados por la misma empresa. Los agregadores tienen muchos datos de muchas personas: a principios de 2013, BlueKai tenía información sobre 85 millones de usuarios únicos, mientras que OutBrain ofrecía hasta 364 millones y Rio decía tener casi 500 millones.

La hipótesis de que las cookies de seguimiento de terceros son anónimas es muy discutida. Aunque la mayoría de los agregadores se esfuerza para no almacenar información que identifique directamente a una persona, las investigaciones realizadas han demostrado que esto no ofrece demasiada protección. Para rastrear un conjunto de eventos en Internet hasta una persona real solo se necesitan unos pocos puntos de datos, especialmente si se incluye la ubicación –y esto permite seguir a esa persona real tanto hacia el pasado como hacia el futuro.

Mayormente, las huellas digitales son utilizadas en un contexto comercial por empresas que desean ofrecernos sus productos y servicios. En este contexto, el resultado visible es en general inocuo pero levemente inquietante –la impresión de que alguien nos está siguiendo e intentando vendernos cosas que se adaptan perfectamente a nuestros intereses. Pero las huellas digitales también pueden resultar en una pérdida del anonimato, a través del intercambio de información entre terceros que tienen poco respeto por la privacidad del consumidor.


14

Tema 1 – Riesgos

1. ¿Qué problemas pueden ocasionar las huellas digitales?

“En Internet, nadie sabe que eres un perro.”4

Uno de los principios fundamentales de la Internet Society consiste en maximizar el valor económico y social de Internet. Quizás haya notado en secciones anteriores de este documento marco es un enfoque en las huellas digitales como parte del ecosistema comercial de Internet. Uno de los efectos secundarios de las huellas digitales es la pérdida de la privacidad y el anonimato en línea: desde la perspectiva más amplia de la Internet Society, esto socava el valor social de Internet.

Al participar en diferentes actividades en Internet, como por ejemplo al compartir en las redes sociales, al leer y enviar correos electrónicos y mensajes instantáneos y al hacer llamadas telefónicas a través Internet, vamos dejando pruebas de lo que hemos hecho, de los lugares donde hemos estado, de lo que hemos estado pensando, de quiénes son nuestros amigos y familiares, y muchas cosas más. Con el tiempo, estas huellas crecen y pueden llegar a ser enormes.

Las huellas implícitas que vamos dejando también se pueden utilizar para rastrearnos. Además, la información que compartimos explícitamente en un determinado contexto se puede combinar para crear un perfil más detallado y completo que atraviese los límites contextuales de lo que hacemos en línea. La enlazabilidad –lo que en inglés se denomina linkability– tiene implicancias profundas sobre la privacidad. Una cosa es discutir los detalles de una enfermedad con nuestro médico (con todas las reglas contextuales que se aplican al caso) y otra muy diferente es ver la misma información publicada en un blog de “dolencias cómicas del mes”. La capacidad de mantener separados los diferentes contextos cuando así lo deseamos es una parte fundamental de la privacidad personal, tanto en línea como en la vida real.

En una era de análisis de “big data”, las organizaciones –no solo los gobiernos– pueden analizar enormes cantidades de datos obtenidos de nuestras huellas y vincularlos a través de múltiples contextos.

Cuando en una página web aparece un anuncio promocionando algo que buscamos dos días atrás en un sitio diferente, esto indica que alguien ha compartido nuestras actividades con el anunciante. Si nuestra expectativa era que estos dos contextos se mantuvieran independientes el uno del otro, es probable que sintamos que nuestra privacidad ha sido violada. Estos ejemplos específicos sobre integridad contextual son ilustrativos de un problema más amplio.

La Declaración Universal de los Derechos Humanos ofrece a todos el “derecho a la privacidad”, aunque no existe un acuerdo universal sobre cómo funciona la privacidad en Internet.5 La privacidad y otros derechos humanos son convenciones sociales –de hecho, son convenciones sociales sutiles y complejas– y la

4 La historieta de donde se tomó esta cita se publicó hace 20 años: el 30 de julio de 1993. 5 Ni siquiera se ha podido acordar una definición de lo que significa “privacidad”.


15

tecnología que se utiliza para entregar servicios en línea es todavía una manera inmadura y rígida de expresar estas convenciones en nuestras vidas digitales.

Aunque Internet y los servicios comerciales asociados se han desarrollado de una manera determinada, no debemos asumir que esta es la única manera posible, ni que representa el equilibrio más saludable entre los beneficios comerciales y sociales. Hay lugar para mejoras –y algunos podrían decir que existe una necesidad imperiosa de introducirlas.

Por ejemplo, además de la privacidad, las huellas digitales también pueden potencialmente poner en riesgo los intereses de las personas en otras áreas. Unas de estas áreas es el anonimato. Hay ciertas circunstancias bajo las cuales las personas se sienten libres de expresarse abiertamente, pero solo en tanto y en cuanto puedan hacerlo en forma anónima o seudoanónima. Esto se puede ser debido a que lo que desean decir es demasiado peligroso o sensible para expresarlo en forma identificable. Tal como están las cosas, no tenemos más remedio que confiar en que los terceros respetarán nuestras preferencias en cuanto a nuestra privacidad (incluso cuando la mayoría de las veces no tenemos herramientas que nos permitan expresar tales preferencias).

Es muy poca la información necesaria para rasgar el velo del anonimato. Los vínculos entre las huellas digitales, las direcciones IP, los números telefónicos, el comercio electrónico y las actividades en línea permiten atribuir acciones “anónimas” a una identidad real. Muchas veces esta vinculación puede ser realizada por personas cuyos intereses van en contra de los de la persona que desea permanece anónima.

Cuando los comerciantes comparten entre sí las huellas de sus usuarios con fines publicitarios, la violación de la privacidad y la reducción del anonimato son, en general, poco más que una molestia. Sin embargo, si alguien con intenciones oficiales o maliciosas relaciona estas huellas entre sí y las vincula con una determinada identidad, entonces existe el riesgo real de que las actividades en línea puedan tener graves consecuencias para la persona en cuestión.

La penetración del anonimato en línea puede ocurrir en ambos sentidos. Por ejemplo, en febrero de 2011, Aaron Barr, CEO de HBGary Federal, dijo al periódico Financial Times que había utilizado las huellas dejadas en las redes sociales para identificar a los miembros del grupo de hackers “Anonymous” y que publicaría sus verdaderos nombres. Antes de que pudiera hacerlo, alguien que dijo ser un representante de Anonymous vulneró los servidores de su empleador y publicó miles de mensajes de correo electrónico y otros documentos, lo que provocó importantes pérdidas económicas y de reputación para la empresa matriz HBGary.

La pérdida de la privacidad y el anonimato reduce la confianza del público en Internet y daña a la comunidad de Internet en su conjunto.


16

2. Diferentes servicios, diferentes rastros...

“Se está subestimando la revolución de los teléfonos inteligentes. Más personas tienen acceso a teléfonos inteligentes que al agua corriente. Nunca se ha visto nada como esto en la historia del planeta.”

~ Marc Andreessen, 1 de mayo de 2012, entrevista en Wired Business (http://en.wikipedia.org/wiki/Marc_Andreessen)

Los rastros que dejan las computadoras portátiles o de escritorio son muy diferentes a los que dejan los teléfonos inteligentes y las tablets. Los teléfonos modernos (y las tablets, dispositivos estrechamente relacionados con los mismos) han evolucionado como criaturas del ecosistema de la Internet moderna y, por lo tanto, su funcionamiento suele crear huellas más indiscretas.

Un navegador web estándar es muy diferente de las aplicaciones (“apps”) que utilizan los smartphones y lasa tablets. Las aplicaciones se conectan directamente a los servicios en Internet (de hecho, también a otras aplicaciones o dispositivos) usando interfaces específicas (en contraste con las interfaces mucho más genéricas que utilizan los navegadores). El desarrollador de la aplicación controla qué información se envía a otros servicios o dispositivos, y el usuario final solo puede acceder a este control en la medida que el desarrollador lo permita. En particular, los dispositivos móviles reducen la capacidad de los usuarios de conectarse en forma anónima.

Dado que generalmente los teléfonos inteligentes pueden detectar la ubicación, es fácil para los servicios etiquetar las actividades del usuario con su ubicación; muchas veces los servicios de localización están habilitados por defecto, o bien las aplicaciones solicitan autorización para utilizarlos en el momento de su instalación. Luego los datos de localización se pueden compartir de forma explícita, si la aplicación obtiene sus datos y los envía al servicio de Internet, o implícitamente, por ejemplo, si las imágenes y videos que sube fueron etiquetados con la ubicación y la fecha en que fueron tomados.

Además, los teléfonos inteligentes fueron diseñados para ser dispositivos muy personales, no para ser compartidos entre amigos y familiares. Con un número de serie único dentro de cada teléfono (como por ejemplo el IMEI6), los smartphones pueden vincular la identidad real que el usuario proporcionó al operador de telefonía móvil con todas 6 Identidad Internacional de Equipo Móvil (IMEI) -‐ Definido como una norma internacional, el IMEI es un número único que el fabricante

programa en cada teléfono. Se supone que el IMEI es permanente y no puede ser modificado por el usuario final. (3rd Generation Partnership Project TS 22.016, http://www.3gpp.org/


17

sus actividades en Internet, acercando así el mundo físico al virtual. Dado que ahora muchos países requieren algún tipo de identificación para registrar a los abonados a la telefonía móvil, es muy fácil que un tercero, como por ejemplo la policía, pueda vincular la actividad en Internet a un teléfono inteligente determinado y por lo tanto a un usuario determinado.

Obviamente, los dispositivos móviles no son los únicos que identifican a sus abonados. El mismo principio de autenticación y registro se aplica a los pagos, a los servicios bancarios y a los servicios de Internet, por lo que es fácil que alguien con acceso a los datos de registro pueda vincular las actividades en línea con las actividades en el mundo real. Lo que puede diferenciar a ambas es la medida en que las leyes de cada país controlan la conducta de los proveedores de servicios. Esto se puede hacer mediante normativa sobre privacidad que se aplique a una industria específica (por ejemplo, a los servicios financieros), o bien al uso de datos identificables sin importar cuál sea la industria involucrada. También se pueden aplicar ambos tipos de normativas; por ejemplo, en el Reino Unido hay leyes generales sobre el procesamiento de los datos personales y, además, reglamentaciones específicas para los servicios financieros.

Conscientes del potencial abuso de estas características, los proveedores de teléfonos inteligentes generalmente implementan al menos controles para determinar si los datos de localización se comparten o no, y para bloquear el uso de identificadores específicos del dispositivo por parte de las aplicaciones. Sin embargo, algunos controles sobre la información sensible se basan en la configuración a nivel de dispositivo, mientras que otros lo hacen a nivel de aplicación. Estas capacidades varían considerablemente dependiendo de la plataforma que utiliza cada teléfono; lo mismo ocurre con la facilidad con la cual un usuario promedio puede descubrir y gestionar estos controles.

Pero una vez que un usuario empieza a tomar fotografías con etiquetas, o que durante la instalación autoriza a una aplicación para que acceda a la información de localización, rara vez vuelve a revisar el permiso otorgado. Puede que una aplicación, por única vez, pregunte “puedo usar su ubicación”, pero no nos recuerda periódicamente que le hemos dado ese permiso. Y no todas las aplicaciones se portan bien, ni todos los sistemas operativos están libres de defectos. Incluso un cliente diligente que periódicamente revisa sus preferencias de privacidad está compartiendo más información de la que autorizó. Por ejemplo, el solo hecho de encender un teléfono móvil permite que el operador localice el teléfono con un cierto grado de precisión. Además, si otra persona nos “etiqueta” en una fotografía que luego publica en una red social, nuestro amigo acaba de compartir la ubicación donde nos encontrábamos en una determinada fecha y hora –incluso si nuestro propio teléfono está apagado.

En algunos casos, es el proveedor del dispositivo quien puede tener acceso a información privada y sensible que se encuentra en el teléfono. Por ejemplo, en junio de 2013 un investigador descubrió que la plataforma de servicios “Blur” de Motorola almacenó información de perfil, credenciales, tráfico y estado de los teléfonos Motorola que utilizaban el sistema operativo Android –con actualizaciones automáticas del teléfono cada vez que el usuario modificaba una configuración.7

7 Lincoln, Ben, “Motorola is Listening”, recuperado el 4 de julio de 2013,

http://www.beneaththewaves.net/Projects/Motorola_Is_Listening.html


18

En la práctica, las acciones de muchas otras entidades pueden afectar la privacidad de una persona. La lista a continuación es solo para el caso de utilizar un dispositivo móvil:

§ El proveedor del dispositivo o teléfono

§ El desarrollador de la aplicación

§ El operador de red

§ El desarrollador del sistema operativo

§ El proveedor del servicio de Internet (ISP)

§ Un proveedor de servicios en línea (por ejemplo, un minorista, una red social)

§ Un amigo/conocido... o sus aplicaciones

§ Otro dispositivo

Los usuarios de computadoras portátiles y de escritorio dejan huellas fundamentalmente a través de sus navegadores. Los controles comparativamente maduros que ofrecen los propios navegadores o el uso de plug-ins complementarios hacen que sea más fácil para el usuario final controlar lo que comparte y eliminar la información que permite identificarlo, como por ejemplo las cookies, que de otra forma podrían reducir su privacidad. Las computadoras de escritorio también dejan huellas más “sucias”, ya que a menudo los usuarios emplean múltiples navegadores y hay una mayor tendencia a compartir los propios dispositivos.

Si bien las computadoras de escritorio tienen una ventaja sobre los teléfonos inteligentes en términos de la privacidad, puede que esta ventaja no se mantenga por mucho tiempo. Por ejemplo, a medida que la experiencia que ofrecen los teléfonos y las tablets va generando expectativas entre los usuarios, hay demanda por sistemas operativos como Windows 8 que funcionan más como un teléfono inteligente que como una computadora 'tradicional' –con el mismo potencial de pérdida de control y privacidad por parte del usuario.

Preocupados por los rastros digitales que dejan sus teléfonos inteligentes, los usuarios de Internet deben asumir un papel activo en la gestión de la configuración de su privacidad. La tarea de monitorear y controlar cuidadosamente la privacidad implica un costo significativo y puede ser más compleja de lo que muchos usuarios de teléfonos inteligentes suponen. Como consumidores y usuarios, nuestro desafío consiste en reconocer el valor de la información personal y la privacidad: solo podremos tomar decisiones apropiadas y sustentables si ajustamos nuestros valores y, como resultado de ello, nuestra conducta.


19

Tema 1 – Contexto

1. ¿Qué dinámicas operan en el mundo de las huellas digitales?

“Espero que usemos la red para atravesar barreras y conectar culturas”

~ Tim Berners-‐Lee, (http://en.wikipedia.org/wiki/Tim_Berners-‐Lee)

El mundo virtual ha penetrado tanto nuestras vidas que muchas veces es difícil desenmarañar las dinámicas que determinan su comportamiento. No obstante, hay tres temas que se destacan del resto: la dinámica cultural, la dinámica económica y la dinámica de la comodidad.

Aunque se pueda acceder a los mismos desde cualquier lugar del mundo, todos los servicios en línea deben originarse en algún sitio, y esto muchas veces les infunde una perspectiva cultural particular. Cada país trae a Internet sus propias normas culturales, sus propios modelos jurídicos y regulatorios, y sus propios marcos económicos. Como recurso global, Internet se ha convertido en un fascinante estudio de contrastes.

Las huellas digitales, que tocan los temas de la privacidad personal, el intercambio de datos, el control por parte del usuario final y el anonimato, produce diferentes reacciones en los diferentes grupos que forman parte de Internet. Lo que es aceptable y habitual para un grupo, muchas veces es inaceptable e inusual para otro. Esto forma parte de la naturaleza de Internet.

Para algunos, la respuesta parece sencilla: si no le gusta el modelo de un determinado servicio en Internet, escoja un servicio alternativo. Los usuarios finales pueden votar con sus clics, evitando los servicios que no satisfacen sus expectativas.

Sin embargo, este consejo solo funciona si se cumplen dos condiciones:

§ primero, los usuarios de Internet deben ser conscientes de las implicancias de la privacidad y de la protección de los datos en todos los servicios que utilizan; y

§ segundo, realmente se debe poder escoger entre una variedad de servicios.

Nuestra experiencia colectiva indica que estas dos condiciones no siempre se cumplen. No todos los usuarios de Internet saben cómo cada servicio comparte su información, no todos los servicios se pueden reemplazar por otro, y algunas veces las alternativas presentan los mismos inconvenientes.

Incluso los usuarios de Internet que controlan activamente sus huellas digitales no tienen más opción que confiar en un conocimiento imperfecto. Algunas veces es un resultado directo de las opciones del proveedor del servicio. Por ejemplo, a una red social le conviene alentar a sus usuarios para que ignoren el hecho de que todo lo que hacen dentro de su círculo social es inspeccionado y monetizado por un tercero. La


20

dinámica económica incentiva fuertemente a los proveedores de servicios para que recopilen datos y no les proporcionen a los usuarios toda la información sobre este aspecto de los mismos.

Y aunque Internet es increíblemente diversa, no siempre hay una variedad de servicios disponibles. En algunas áreas como las redes sociales, incluso si hay otros servicios alternativos disponibles, puede que estos otros servicios no sean atractivos. Por ejemplo, una red social no tendrá ningún atractivo si ninguno de nuestros amigos la utiliza.

Por último, está la dinámica de la comodidad. La mayoría de las personas preferimos usar algo que sea cómodo aunque erosione un poco la privacidad, antes que un producto que nos haga la vida más difícil. Nuestra preferencia por la opción más “cómoda” se refuerza si no vemos ninguna prueba de que nuestra privacidad está siendo socavada. Al igual que muchas otras conductas humanas (fumar, comer comidas excesivamente grasas, una mala postura), si nuestras acciones no producen un daño visible de inmediato, tendemos a pensar que estas acciones son inofensivas. La combinación de la comodidad y la falta de daño aparente nos atrae hacia hábitos que socavan la privacidad. Al igual que lo que ocurre con cualquier otro hábito, las posibilidades de modificar nuestra conducta dependen del valor que le asignemos a nuestra privacidad con relación a las alternativas más “cómodas”.

No existe ninguna respuesta sencilla. El primer paso consiste en reconocer los diferentes modelos culturales involucrados, y comprender que los usuarios de Internet llegan a la mesa con diferentes antecedentes, expectativas y valores. Una discusión abierta entre todos los actores relevantes puede ayudar a educar sobre estos temas tanto a los usuarios finales como a los proveedores de servicios. No obstante, en última instancia, depende de nosotros como individuos el ser claros sobre nuestras elecciones, sobre los valores que estas elecciones representan, y sobre los resultados a los cuales nos enfrentaremos como resultado de las mismas.

2. ¿Cómo afecta la legislación a las huellas digitales?

“La gente buena no necesita leyes que les digan cómo actuar responsablemente, mientras que la gente mala encontrará la manera de esquivar las leyes.”

~ Platón

Aunque Internet es global, las leyes sobre privacidad no lo son.

La mayoría de las leyes y normas sobre privacidad se enfocan en “los datos personales” o “la información personal”, que muchas veces se definen como “información relacionada con una persona identificada o identificable”. No obstante, las definiciones varían y continúan evolucionando. Por ejemplo, existe una creciente conciencia del potencial impacto sobre la privacidad de cualquier información que se pueda utilizar para individualizar o tratar a una persona de una manera diferente, incluso si no es posible identificarla.


21

Es por ello que existen propuestas para explicitarlo, ya sea a través de la legislación sobre privacidad o mediante materiales explicativos8. En combinación con los avances en la vinculación, el almacenamiento, la recuperación, la correlación y el análisis de la información, probablemente una cantidad cada vez mayor de datos y categorías quedarán comprendidos dentro del alcance de las leyes de protección de datos.

En términos generales, las leyes de privacidad y protección de datos solo se aplican a la información sobre personas vivas, aunque algunos países extienden el alcance de la ley a la información sobre personas fallecidas9. Cuanto más “digitales” y en línea sean nuestras vidas, más relevante será el tema de la gestión del “legado digital” de una persona después de su muerte.

Algunos países tienen leyes diseñadas para proteger ciertas clases de datos predefinidas que tradicionalmente se consideran más sensibles, entre ellas los registros médicos, los datos financieros y los identificadores emitidos por el gobierno. Sin embargo, estas leyes fueron desarrolladas en un tiempo en que los límites entre las clases de datos parecían ser más claros. Por ejemplo, ¿los resultados de una búsqueda sobre “gripe” deberían ser considerados como datos médicos? ¿Y qué pasa si buscamos “¿tengo VIH?” o “¿estoy embarazada?”

El Artículo 12 de la Declaración Universal de los Derechos Humanos, el Artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, y los Artículos 11 y 14 de la Convención Americana sobre Derechos Humanos se refieren al derecho a que la privacidad o la vida privada de las personas sean respetadas, pero no hay ninguna ley de privacidad o de protección de datos que se aplique universalmente alrededor del mundo: no existe ningún conjunto de reglas de procesamiento de los datos que abarque a todos los servicios y usuarios de Internet.

Existe un consenso internacional bastante extendido sobre un conjunto de principios básicos10 (limitación de lo recogido, especificación del propósito, limitación del uso, etc.), pero los aspectos prácticos de la ley de privacidad y su aplicación varían ampliamente según cada país. Algunos países y regiones como Europa y el Mercosur adoptan un enfoque hacia la protección de los datos y la privacidad que se basa en los derechos. Otros, aunque no adoptan un enfoque basado en los derechos, han adoptado un enfoque “integral” hacia la privacidad. Todavía otros países, como por ejemplo Estados Unidos, confían más en leyes específicas del sector, mejores prácticas autorreguladas y códigos de conducta. Por último, hay países que no tienen ninguna ley de protección de la privacidad o, si las tienen, estas leyes son apenas rudimentarias.

Todas estas diferencias aumentan el desafío que implica cerrar la brecha entre las leyes específicas de cada país y la naturaleza sin fronteras de Internet.

8 Por ejemplo, el Artículo 29 de la Opinión WP 8/2012 propone la siguiente definición para el nuevo marco de protección de datos de la UE:

“cualquier información relativa a ‘…una persona física o jurídica que pueda ser identificada, directa o indirectamente, o señalada y tratada de manera diferente, por medios razonablemente susceptibles de ser utilizados por el controlador o por cualquier otra persona física o jurídica, en particular por referencia a un número de identificación, datos de localización, un identificador en línea o uno o más elementos específicos característicos de su identidad física, psicológica, genética, psíquica, económica, cultural o social’…”

9 Por ejemplo, algunas partes de la Ley de Protección de los Datos Personales de Singapur de 2012 se aplican a las personas que han estado muertas por menos de diez años (ver http://statutes.agc.gov.sg/aol/search/display/view.w3p;page=0;query=CompId%3A32762ba6-‐f438-‐412e-‐b86d-‐5c12bd1d4f8a;rec=0;whole=yes)

10 http://oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm


22

Para habilitar los flujos transfronterizos y al mismo tiempo proteger la privacidad, algunos grupos de países han suscrito acuerdos vinculantes o no vinculantes, entre ellos los siguientes:

§ Directrices de la OCDE que regulan la protección de la privacidad y el flujo transfronterizo de datos personales11, específicamente la Parte 3

§ Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal12, específicamente el Capítulo 3

§ Marco de privacidad13 y sistema de reglas de privacidad transfronteriza de APEC14 (un sistema voluntario basado en la responsabilidad)

§ Marcos safe harbor EE.UU-UE y EE.UU.-Suiza15

§ Normas corporativas vinculantes de la UE16 (para empresas multinacionales).

Algunas leyes de protección de la privacidad y los datos personales, como la Directiva 2002/58 de la UE sobre Privacidad y Comunicaciones Electrónicas, se ocupan específicamente de los datos asociados con el uso de Internet. Algunos de los datos cubiertos por estas leyes pueden no estar comprendidos dentro de la definición legal de “datos personales”, no obstante lo cual afectan la privacidad, como por ejemplo si se monitorean nuestros hábitos de navegación.

Sin embargo, si las leyes se refieren a tecnologías muy específicas, una consecuencia involuntaria es que podrían trasladar la actividad no deseada fuera de su alcance. Por ejemplo, el Artículo 5(3) de la Directiva de la UE antes mencionada trató de regular las cookies HTTP y otros mecanismos similares (por ejemplo, cookies flash, almacenamiento DOM) que habían sido identificados como amenazas a la privacidad en el momento en que se adoptó la Directiva. Contra toda lógica, este tipo de enfoque puede ofrecer a los proveedores de servicio un incentivo para buscar otros medios –medios no regulados– para controlar o crear perfiles de sus usuarios, como por ejemplo la recolección de las huellas digitales de los navegadores y el almacenamiento basado en servidores. Estos medios pueden resultar difíciles (o imposibles) de detectar para los usuarios. La adopción de las medidas de regulación de las cookies por parte de la Unión Europea sigue siendo escasa y, posiblemente, ineficaz. Apenas unos pocos países, entre ellos Gran Bretaña, Francia, Bélgica, Polonia, Italia, España, Suecia y los Países Bajos, están requiriendo activamente que los sitios web obtengan el consentimiento del usuario para utilizar cookies de seguimiento, pero, incluso en estos países, son pocos los sitios que han implementado la regulación de una manera que realmente les otorgue a los usuarios el nivel de control esperado. 11 http://oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm

12 http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm 13 http://www.apec.org/Groups/Committee-‐on-‐Trade-‐and-‐Investment/~/media/Files/Groups/ECSG/05_ecsg_privacyframewk.ashx 14 http://www.cbprs.org 15 http://export.gov/safeharbor/ 16 http://ec.europa.eu/justice/data-‐protection/document/international-‐transfers/binding-‐corporate-‐rules/index_en.htm


23

Además, hay argumentos a favor de los usos que realmente mejoran la experiencia y/o la seguridad de los usuarios al navegar (por ejemplo, si se utilizan cookies como parte de un protocolo de autenticación de dos factores).

Un aspecto crítico de la regulación es el tema del consentimiento. El consentimiento del usuario desempeña un importante papel en la ampliación de la recolección, el uso y la divulgación de “datos personales” más allá de lo estrictamente necesario para ofrecer un producto o servicio. Un enfoque consiste en insistir que las decisiones sean tomadas por el individuo con mayor probabilidad de ser afectado, pero en la práctica esto puede ser bastante problemático. Los usuarios de Internet:

§ rara vez tienen la información o el nivel de comprensión necesarios para tomar una decisión informada;

§ muchas veces deben enfrentar opciones que son binarias (es decir, diga “sí” o no obtendrá el servicio);

§ pueden tener un conocimiento incierto e información incompleta sobre las potenciales consecuencias de su consentimiento; y

§ cada vez más, se les pide que divulguen datos personales de otras personas, como por ejemplo cuando un servicio solicita nuestra lista de contactos.

La mayoría de los navegadores de Internet ofrecen a los usuarios la opción de enviar un mensaje a los sitios web que visitan indicando que no desean ser rastreados. Sin embargo, hasta el momento son relativamente pocos los sitios que han dicho que honrarán las solicitudes de los usuarios.

En síntesis, el ecosistema de Internet es complejo, por lo que regularlo representa un desafío. No existe un conjunto único de reglas, ni hay una única definición que especifique cuáles datos se deben proteger. Regular a nivel de las tecnologías generalmente resulta infructuoso, pero regular las conductas hace que la legislación tenga una fuerte dependencia cultural y que sea difícil de conciliar con otras jurisdicciones. Además, el tema del consentimiento del usuario parece sencillo, pero en realidad oculta profundas complejidades desde el punto de vista técnico y conductual.

Desde una perspectiva realista, no podemos esperar que una única ley resuelva el problema de la privacidad: seguramente deberemos participar en un proceso de evaluación y ajuste continuo.


24

¿Cómo puedo gestionar mis huellas digitales?

“De todos modos tienes cero privacidad. Supéralo.”

~ Scott McNealy, 1999 17

Gestionar nuestras huellas digitales en línea requiere pensamiento, tiempo y esfuerzo. Implica luchar contra nuestra propia inercia ante las configuraciones por defecto –que son cómodas pero socavan nuestra privacidad–, y contra los esfuerzos organizados y persistentes de quienes tienen un interés económico e intentan persuadirnos de sacrificar nuestra privacidad en su propio beneficio. Probablemente la mayoría de los usuarios tiene poco tiempo y energía para dedicarle a lo que parece ser una tarea secundaria, mientras que los anunciantes y editores... bueno, es lo único que hacen todo el día, y son bastante buenos en su trabajo.

En lugar de incluir una guía práctica detallada como parte de este documento marco, primero describimos cuatro niveles en los que se pueden tomar medidas adicionales y, a continuación, presentamos cuatro ejemplos más específicos. También incluimos varios enlaces a otras fuentes de consejos más detallados.

1. Mejorar nuestra comprensión de los problemas básicos

La lectura de este documento marco es un buen primer paso. Piense en las implicancias que tiene el hecho de que todo lo que compartimos en Internet, en mayor o menor grado, pone en riesgo la privacidad. Mire los tutoriales de ISOC sobre identidad digital y privacidad18 y consulte otras fuentes de material informativo.19

2. Desarrollar hábitos de “higiene básica”

La privacidad es contextual. Utilizar diferentes “personas” para diferentes aspectos de nuestra vida en línea –ya sea utilizar una dirección de correo para el trabajo y otra para los asuntos personales, o utilizar una tarjeta de crédito para realizar compras en línea y otra para todo lo demás– ayuda a mantener separadas las diferentes partes de nuestra huella digital. Tenga cuidado con lo que

17 Los ejecutivos de Silicon Valley tienen un maravilloso historial de citas escandalosas, por lo que resulta difícil detenerse en los pensamientos

de Scott McNealy, cofundador de Microsystems, siendo que también deberíamos incluir los de Eric Schmidt de Google (“Si hay algo que no quieres que se sepa, tal vez no deberías estar haciéndolo”) y Mark Zuckerberg de Facebook (“La gente realmente se siente cómoda no solo compartiendo más información e información de diferentes tipos, sino también haciéndolo más abiertamente y con un número mayor de personas. Esta norma social […] ha evolucionado con el tiempo [...] nosotros decidimos que estas serían las normas sociales de hoy y simplemente fuimos a por ellas”).

18 “Gestione su identidad”, una serie de tutoriales de tres a cinco minutos sobre identidad en línea, protección de la identidad y protección de la privacidad. http://www.internetsociety.org/es/gestione-‐su-‐identidad

19 El Foro de Jericó preparó una serie de videos de cuatro minutos titulados Identity (http://www.youtube.com/watch?v=6FHGe8yHeQE), Operating with Personas (http://www.youtube.com/watch?v=eK4-‐dh8I_Dk), Trust and Privacy (http://www.youtube.com/watch?v=1FFxCkWh9Ho), The Bigger Picture of Identity (http://www.youtube.com/watch?v=Cl_9mlZSshg), y Building a Global Identity Eco-‐System (http://www.youtube.com/watch?v=3aDlAAPd4v0) que proporciona una buena base sobre el tema. También hay varios documentos disponibles a través de la Red Iberoamericana de Protección de Datos: http://www.redipd.org/documentacion/areastematicas/index-‐ides-‐idphp.php


25

comparte a través de las redes sociales y en otros sitios –es probable que esos datos sean más públicos y persistentes de lo que piensa.

3. Convertirnos en usuarios sofisticados de las herramientas y servicios en línea

Muchas veces, las configuraciones por defecto de los navegadores, dispositivos y aplicaciones favorecen la divulgación de la información personal antes que su resguardo. Vale la pena tomarnos el tiempo de investigar estas configuraciones para estar seguros de que nos sentimos cómodos con las mismas, del mismo modo que vale la pena revisar si hemos trabado las ventanas antes de salir de casa. Cuando una aplicación solicita permiso para enviarle notificaciones automáticas –es decir, notificaciones push– y utilizar sus datos de ubicación, tómese un momento para pensar si esto es realmente lo que desea. Las cámaras y teléfonos inteligentes generalmente registran la fecha, la hora y la ubicación en cada fotografía. Al compartir estas fotos, a menos que específicamente lo bloqueemos, puede que estemos publicando toda esta información.

4. Encontrar y utilizar herramientas específicas para mejorar la privacidad

Existen muchas herramientas para mejorar la privacidad, especialmente para los navegadores. Estas herramientas se pueden usar no solo para proteger áreas específicas de nuestra huella digital, sino también para mantenernos al tanto y comprender qué es lo que están buscando los proveedores de servicios.20

Sobre la base de este enfoque de diferentes niveles, a continuación presentamos algunos consejos que podrá poner en práctica de inmediato.

Gestionar las cookies: Busque qué configuraciones para cookies tiene su navegador; encuentre y observe la “tienda de cookies”. Piense cuántas de las cookies que contiene fueron colocadas por sitios que ni siquiera sabía que había visitado... y luego fíjese si su navegador permite bloquear cookies de terceros. Aunque algunos navegadores permiten hacerlo, muchos usuarios instalan plug-ins complementarios para ayudarles a controlar las cookies de seguimiento.

Revise su configuración de privacidad: Borrar las cookies no es suficiente. Como usuarios de Internet, también debemos tomar el control de la información que deseamos compartir en cualquier servicio público, especialmente en los servicios explícitamente abiertos como las redes sociales, los blogs y los sitios para fotografías. Al igual que lo que ocurre con cualquier información privada, evitar la exposición es más fácil que la tarea casi imposible de borrarla una vez que se hace pública. Verifique qué permisos se aplican a las fotografías que sube, y considere expresar sus preferencias a través de mecanismos como las licencias de Creative Commons.

20 Abine (www.abine.com) ofrece herramientas para añadir privacidad a la navegación web, entre ellas DoNotTrackMe, DeleteMe y MaskMe.

TrackMeNot (http://cs.nyu.edu/trackmenot/) es una extensión para navegadores que introduce ruido y ofuscación para ayudar a proteger a los servidores web contra la vigilancia y el profiling de datos. Ghostery (www.ghostery.com) informa a los usuarios qué información de seguimiento hay en su navegador y en las páginas web, y bloquea ciertos tipos de seguimiento. Collusion (https://www.mozilla.org/en-‐US/collusion/) es un complemento experimental de Firefox que permite que los usuarios vean quién los está siguiendo a través de Internet. Esta lista es apenas un punto de partida para los lectores; hay muchas otras herramientas disponibles.


26

Comprender lo que realmente ocurre cuando compartimos datos: Una vez que compartimos algo, prácticamente en cualquier contexto, ya no podemos “des-compartirlo”. Y una vez que visitamos un sitio o creamos una cuenta, puede que ya no podamos borrar nuestras huellas. Incluso si un servicio promete privacidad, siempre existe la posibilidad de que se produzca una violación involuntaria.

Los usuarios de Internet también debemos comprender que nuestro deseo de privacidad crea un conflicto con muchos proveedores de servicios, como por ejemplo las redes sociales. Una red social solo es útil cuando sus participantes comparten información ampliamente. Las redes sociales hacen que sea fácil compartir y difícil mantener la privacidad. El tejido que forman las redes sociales, los sitios para compartir fotografías, los blogs y microblogs, las herramientas para acortar URL, y los servicios de republicación crean una gran barrera que impide que el usuario pueda controlar su propia información.

Aquí no existe ninguna solución mágica... pero pensar seriamente en lo que ocurre cuando compartimos nuestros datos es un buen primer paso para reevaluar el valor que tiene para nosotros la privacidad.

Busque las herramientas y la motivación necesarias para tomar mejores decisiones: Tener en cuenta el contexto de las diferentes actividades en Internet, tales como “trabajo”, “personal”, “social”, “familia” y así sucesivamente, permite a los usuarios de Internet aumentar su control utilizando diferentes herramientas de software y diferentes objetos del mundo real (como por ejemplo diferentes tarjetas de pago y diferentes teléfonos) para crear fronteras y limitar la información que se puede vincular. Aunque estas técnicas pueden ser eficaces, también suelen ser difíciles de cumplir.

En definitiva, una buena privacidad es como una buena alimentación o una buena postura. Los mejores resultados se obtienen cuando estamos motivados para abandonar los comportamientos que no favorecen la privacidad y adoptar conductas que sí lo hacen como algo natural y habitual. Esto significa asignar a nuestra privacidad y a nuestros datos personales un valor que algunas veces será mayor que nuestro deseo de comodidad o de utilizar una aplicación tentadora pero que podría comprometer nuestra privacidad... igual que nuestra preferencia por una alimentación sana a veces debe sobreponerse a nuestro deseo de comer tocino frito.

Reflexionar sobre estas palabras de un ex subdirector del FBI puede ofrecer una buena lección:

“Buena suerte al tratar de comunicarse en este mundo sin dejar el rastro de un escape digital; eso nunca ocurrirá.”

~ Philip Mudd, junio de 2013

Observemos que la primera metáfora que le vino a la mente en forma espontánea fue la del escape... el subproducto tóxico de nuestra preferencia por la comodidad que ofrece el motor de combustión interna.


27

Internet Society Galerie Jean-Malbuisson, 15 CH-1204 Geneva Switzerland Tel: +41 22 807 1444 Fax: +41 22 807 1445 www.internetsociety.org 1775 Wiehle Ave. Suite 201 Reston, VA 20190 USA Tel: +1 703 439 2120 Fax: +1 703 326 9881 Email: [email protected] bp-digital footprints-0114-en

Digital footprints March 28 - SPANISH[1] 1. ¿Qué dinámicas operan en el mundo de las huellas...

Documents

Transcript of Digital footprints March 28 - SPANISH[1] 1. ¿Qué dinámicas operan en el mundo de las huellas...