Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 1
Seguridad en Internet
Cuaderno Red de Cátedras Telefónica
Los crecientes riesgos de la privacidad en Internet Cátedra Telefónica de la Universidad Politécnica de Madrid Discusión sobre los crecientes riesgos que para la privacidad supone el panorama actual de Internet y su posible evolución
Pedro Luis Chas Alonso, Juan Quemada Vives Mayo 2010
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 2
Biografía
Pedro Luis Chas Alonso Pedro Chas se graduó en 1978 como Ingeniero de Telecomunicación por la Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Madrid (ETSIT/UPM). Su carrera profesional ha transcurrido en el Grupo Telefónica desde 1978 hasta 2007, fundamentalmente en las áreas de Investigación y Desarrollo, habiendo ocupando diversos puestos de responsabilidad sucesivamente en el Centro de Investigación y Estudios, Telefónica I+D, Telefónica Corporación, Telefónica de España, Telefónica Móviles y Telefónica Soluciones. Desde 2008 trabaja como investigador contratado en el Grupo para la Internet de Nueva Generación del Departamento de Ingeniería Telemática de la ETSIT /UPM.
Juan Quemada Vives Catedrático del Departamento de Ingeniería de Sistemas Telemáticos (DIT) en la ETSI Telecomunicación de la Universidad Politécnica de Madrid (UPM), Investigador Principal del Grupo Internet NG (donde se han desarrollado la aplicación Isabel y el Global Plaza), Director de la Cátedra Telefónica para Internet NG, emprendedor y promotor de Agora Systems SA, representante de UPM en el World Wide Web Consortium, realizó la primera conexión en España a un servicio de Internet (email/EUNET) en 1985 junto con otros compañeros. Su investigación se centra en el diseño de aplicaciones de colaboración, redes sociales y en TIC en educación. Tiene una alta participación en proyectos de investigación europeos y nacionales (GLOBAL, ITECBAN, CEPOS, Ecospace, Collaboration@Rural, iCamp, Euro6IX, ….). Posee múltiples publicaciones en estas áreas
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 3
Índice 1. Una taxonomía de la privacidad
2. La privacidad sigue siendo algo importante … y resulta cada vez mas difícil de
preservar
3. La privacidad en las redes sociales de Internet
4. El futuro de la privacidad en Internet
5. Referencias
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 4
1. Una taxonomía de la privacidad A pesar de lo mucho que se habla de privacidad, éste resulta un concepto difícil de definir. El término privacidad resulta, según D. Solove 1, una especie de "paraguas" que cubre un cierto número de elementos diferentes entre si pero a la vez estrechamente relacionados. La taxonomía que ha definido a este respecto el referido autor, identifica cuatro grupo de actividades que forman parte del concepto general de privacidad y que constituyen potencialmente riesgos para los ciudadanos. Estos grupos se subdividen a su vez en un total de 16 subactividades, tal y como puede verse en la siguiente figura.
Grupo de actividades de Recogida de Información:
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 5
• Vigilancia: El hecho de que una persona se de cuenta de que la están vigilando puede alterar su comportamiento y desembocar en inhibición y autocensura.
• Interrogación: Puede provocar daños a las personas, derivados del grado de coacción que se haya ejercido o de que la persona que interroga distorsione la información conseguida.
Grupo de actividades de Procesado de Información:
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 6
• Agregación: El todo es mayor que la suma de las partes. El proceso de agregación se ha vuelto mucho mas dañino (potencialmente) debido al progreso de las tecnologías TIC.
• Identificación: Puede utilizarse para incrementar de forma excesiva el grado de control social. Conviene no olvidar que es el anonimato lo que protege muchas veces a las personas del riesgo de ser juzgadas de forma sesgada debido a su identidad y les permite actuar con mayor libertad y sin temor a represalias.
• Inseguridad: Inseguridad se refiere a aquellos problemas causados por la forma (no siempre correcta) en que nuestra información es gestionada y protegida por gobiernos y compañías comerciales.
• Uso secundario: Uso secundario se refiere a cuando los datos recogidos se utilizan para propósitos diferentes del inicialmente previsto sin haber obtenido el consentimiento explícito previo de los usuarios. Puede crear en las personas sensación de inseguridad.
• Exclusión: Las normativas sobre privacidad se suelen basar en: 1) la existencia de bases de datos que acumulan información sobre personas no debe mantenerse en secreto; 2) las personas deben tener la capacidad de conocer que información está almacenada sobre ellas así como para que propósitos está siendo usada; 3) las personas deben tener la capacidad de corregir cualquier dato erróneo. Exclusión se produce cuando estos principios no se respetan.
Grupo de actividades de Diseminación de Información:
• Ruptura de confidencialidad: El daño sobre la persona no es solo que se haya revelado un secreto sino que la víctima ha sido traicionada en su confianza.
• Revelación: Ocurre cuando se revela (sin autorización) a terceras partes una información cierta sobre una persona. El riesgo de revelación puede hacer que las personas se autocensuren a la hora de emprender nuevas actividades así como llegar a constituir una amenaza para la seguridad física de las mismas.
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 7
• Desenmascaramiento: Consiste en divulgar aspectos físicos o emocionales muy privados de las personas. Su difusión puede producir sentimientos de verguenza y humillación.
• Incremento de la accesibilidad: Las tecnologías de la información han incrementado este tipo de problemas, toda vez que no es lo mismo tener que acudir físicamente a una oficina para consultar un documento, que poder acceder al mismo a través de Internet . Puede ocasionar problemas derivados de la explotación de la información para objetivos distintos de los inicialmente previstos.
• Chantaje: El chantaje supone control de una persona sobre otra y causa daño no a través de la divulgación de información sino mediante la simple amenaza de hacerlo.
• Apropiación: Se produce cuando alguien se aprovecha para beneficio propio (para anunciar un producto por ejemplo), y sin permiso, del nombre o reputación de una persona
• Distorsión: Se refiere a la manipulación y distorsión de como una persona es percibida por otras.
Grupo de actividades de Invasión:
• Intrusión: Se refiere a las invasiones o intrusiones en la vida diaria de una persona. Proteger a las personas frente a este problema implica proteger el derecho de cada ciudadano a "ser dejado solo" siempre que así lo desee. La intrusión también puede tener carácter virtual.
• Interferencia decisional: Se refiere a la interferencia de los gobiernos en decisiones de las personas. Tiene que ver con el derecho a la privacidad en el consumo de información.
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 8
2. La privacidad sigue siendo algo importante … y resulta cada vez mas difícil de preservar El 10 de diciembre de 1948, la Asamblea General de las Naciones Unidas aprobó y proclamó la Declaración Universal de Derechos Humanos 2, formando el derecho a la privacidad parte integrante de la misma. Este derecho esta también recogido y protegido en las legislaciones de la mayoría de los países 3.
La privacidad siempre ha sido algo muy importante para las personas y constituye además una de las bases de la democracia. El derecho a estar solos" nos ayuda a aprender y crecer como personas. ¿Quien sería capaz de hacerlo si todos y cada uno de nuestros pasos fueran registrados y difundidos?.
Sin embargo, parecería que en estos tiempos de acelerado desarrollo tecnológico cada vez es mas difícil ejercer nuestro derecho a la privacidad, que para conseguir un nivel de privacidad adecuado la única solución sería no utilizar algunos de los servicios que Internet pone a nuestra disposición (las redes sociales, por ejemplo), una abstención cada vez mas inviable dada la evolución a una sociedad en las que mas y mas procesos están intermediados por Internet.
Así por ejemplo, las tecnologías TIC hacen hoy posible que quede un rastro prácticamente permanente de la mayoría de las actividades que las personas realizamos, lo que constituye algo nuevo, algo que no somos todavía capaces de valorar en cuanto al impacto social que puede tener.
Internet, por una parte, nos permite un grado de privacidad sin precedentes. ("En Internet nadie sabe que eres un perro") pero junto con esa oportunidad, Internet permite un grado de perdida de privacidad también sin precedentes, y parece que en los últimos años es esa perdida progresiva de privacidad la tendencia mas dominante. Personas como Scott McNealy (fundador de Sun Microsystems) o Mark Zuckerberg (fundador de Facebook) han afirmado 4 5 que "la edad de la privacidad
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 9
ha terminado" o que "la privacidad se ha perdido ya sin remedio y lo que debemos hacer es superarlo y no mirar hacia atrás".
Sin embargo, no parece que las personas hayan dejado de apreciar los valores y las ventajas que la privacidad les ofrece. En diversos estudios y encuestas 6, los usuarios han expresado de forma consistente su preocupación por la pérdida de privacidad en Internet y por sus consecuencias (¿seguirá siendo así para las generaciones mas jóvenes?).
En contraste con lo anterior, no parece que los usuarios estén haciendo hasta el momento nada realmente eficaz para protegerse. Tampoco parece que las tecnologías de protección de la privacidad hayan avanzado gran cosa hasta ahora, o que hayan surgido empresas dedicadas a proporcionar servicios de protección de la privacidad a los ciudadanos. Las que si han progresado de forma muy significativa son las tecnologías que permiten obtener y agregar mas y mas datos sobre los usuarios, en función del interés comercial de las empresas y los gobiernos.
Para algunos la solución debe pasar por la implantación de un sistema robusto de identidad electrónica, una especie de pasaporte para Internet, algo que en cualquier caso debería hacerse compatible con el mantenimiento de esquemas que permitan el acceso anónimo a Internet (son las personas las que deben elegir caso a caso entre un acceso plenamente identificado o un acceso anónimo).
3. La privacidad en las redes sociales de Internet Si hablamos de privacidad, tiene sentido poner un foco especial en las redes sociales, dado que constituyen cada vez mas el lugar donde los usuarios de Internet se relacionan entre si y comparten todo tipo de datos.
Así por ejemplo, hace unos pocos meses Facebook cambió su política de privacidad en el sentido de "obligar" a los usuarios a compartir mas información y con menores grados de control que antes, lo que provocó la puesta en foco de la privacidad como uno de los aspectos críticos en las redes sociales.
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 10
Por supuesto los usuarios tienen a su alcance mecanismos de control para minimizar los problemas que se derivan de una compartición poco cuidadosa de sus datos. El problema es que solo una minoría de usuarios los emplean de forma adecuada, en parte por una usabilidad aun muy mejorable.
Otro de los problemas de privacidad asociados a las redes sociales es la cada vez mas demostrada posibilidad técnica 7 de eliminar el anonimato en las mismas de forma automática mediante el recurso a algoritmos que trabajan sobre el grafo social (unas pocas decenas de usuarios "identificados" pueden actuar como "semilla" para acabar identificando a decenas de miles de usuarios).
¿Por que los usuarios tienen tantos problemas para visualizar con anticipación el grado de compartición que van a tener sus contenidos en las redes sociales?. ¿Por qué aparecen con tanta frecuencia personas que comparten nuestros datos pero con las que nunca habíamos contado inicialmente para ello?.
Menú principal de configuración de la privacidad en Facebook
La explicación probablemente mas correcta 8 es que las redes sociales no facilitan (debido a como están diseñadas) de forma suficiente que las interacciones de sus usuarios se realicen respetando el contexto natural de las mismas, esto es: de un modo similar a como éstas se realizan en la vida "real". Al fin y al cabo , por ejemplo, las personas interaccionan y comparten de modos muy distintos con su grupo mas cercano de amigos, con sus padres y/o con sus profesores. Si las interacciones y las
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 11
comparticiones son demasiado planas (todos con todos) no es de extrañar que se produzcan todo tipo de problemas de privacidad en las redes sociales de Internet.
Las redes sociales, como Facebook, pueden hacer mucho por si mismas para solucionar los problemas de privacidad que ahora mismo padecen sus usuarios. El que lo puedan hacer por si mismas (autorregulación) o que necesiten la "ayuda" de las autoridades regulatorias es algo que el tiempo dirá. Lo que si parece cierto es que el tratamiento de la privacidad en las redes sociales debe mejorar de forma sustancial.
4. El futuro de la privacidad en Internet La privacidad es un tema cada vez de mas actualidad tal y como nos podemos dar cuenta a partir de solo algunos de los últimos casos que, a este respecto, han sido objeto de la atención publica en los últimos meses:
• El desarrollo de KDDI de un teléfono móvil que es capaz de registrar los movimientos físicos y la posición de los empleados que los llevan, transmitiendo la misma a servidores situados en la Red (el espionaje de las empresas a sus empleados llevado a uno de sus extremos) 9.
• Los empleados de la empresa Dixon's del Reino Unido, que llamaron estúpidos a sus clientes en una pagina de Facebook asociada a su empresa (con el desastre de relaciones públicas consiguiente) 10.
• El espionaje a alumnos de una escuela de secundaria de Estados Unidos, por medio de las webcam de los ordenadores portátiles que habían proporcionado a los mismos 11.
Cabe resaltar que el progreso de la tecnología está abriendo la puerta a niveles de interferencia con la privacidad impensables hasta ahora. Esto ha llevado a algunos expertos a argumentar que estamos en un momento decisivo y que es ("ahora o nunca") el momento de que los usuarios defiendan su derecho a la privacidad y
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 12
exijan a las compañías y a los gobiernos la puesta en marcha de las medidas necesarias, incluyendo el recurso a medidas de carácter regulatorio.
Algunas opiniones son claramente pesimistas a este respecto por ejemplo la de Nicholas Carr 12 (autor del blog "Rough Type" y del libro "The Big Switch”) que dijo recientemente: "Para 2020, Internet habrá permitido la monitorización y manipulación de las personas por parte de las compañías comerciales y los gobiernos a una escala antes inimaginable. La mayoría de las personas habrán aceptado esta situación de falta de privacidad -‐ de forma consciente o inconsciente -‐ debido a ciertas ventajas asociadas con el consumo de bienes, como por ejemplo un proceso de compra mas sencillo o unos precios mas reducidos. El resultado será que la línea entre el marketing y la manipulación se habrá difuminado en gran medida".
La preservación de niveles adecuados de privacidad en el acceso a Internet y a sus servicios no solo no tiene por que ir en contra del desarrollo de Internet sino que con toda probabilidad constituye uno de los factores clave para que éste pueda continuar con un equilibrio razonable. Las experiencias recientes a este respecto de empresas como Google en relación con su lanzamiento de Buzz han dejado claro que, al menos en cierto ámbito, el no darle suficiente prioridad a los aspectos ligados a la privacidad a la hora de diseñar un servicio puede ser una táctica cercana a suicida.
A este respecto es importante destacar La Declaración de la Sociedad Civil 13 que a este respecto se firmó en noviembre del 2009 con ocasión de la celebración en Madrid de la 31a reunión anual de la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad. La lectura de dicho documento es mas que recomendable como resumen de las aspiraciones que la comunidad de usuarios de Internet (y la Sociedad Civil en su conjunto) tienen actualmente en lo relativo al derecho efectivo a la privacidad en Internet y la Sociedad de la Información. 14 15 16 17 18 19 20 21
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 13
5. Referencias 1 A taxonomy of privacy; D. Solove; University of Pennsylvania Law Review; January 2006
2 http://www.un.org/es/documents/udhr/
3 Agencia Española de Proteccion de Datos; Memoria 2008
4 http://www.readwriteweb.com/archives/ facebooks_zuckerberg_says_the_age_of_privacy_is_ov.php
5 http://www.wired.com/politics/law/news/1999/01/17538
6 http://www.nokiasiemensnetworks.com/press/press-‐releases/survey-‐shows-‐us-‐and-‐ canadian-‐consumers-‐feel-‐they-‐lack-‐control-‐over-‐personal-‐dat
7 http://www.schneier.com/blog/archives/2009/05/on_the_anonymit.html
8 Losing face: An environmental analysys of privacy on Facebook; C. Peterson; Draft for comment; January 2010; http://www.cpeterson.org/2010/01/06/losing-‐face-‐an-‐ environmental-‐analysis-‐of-‐privacy-‐on-‐facebook/
9 http://news.bbc.co.uk/2/hi/8559683.stm
10 http://news.bbc.co.uk/2/hi/8241509.stm
11 http://www.infoworld.com/d/adventures-‐in-‐it/when-‐schools-‐spy-‐their-‐students-‐ bad-‐things-‐happen-‐474
12 http://www.roughtype.com/archives/2010/01/other_peoples_p.php
13 http://thepublicvoice.org/madrid-‐declaration/es/
14 http://dataprivacyday2010.org/
15 http://epic.org/
16 http://www.w3.org/P3P/
Cuaderno Red de Cátedras Telefónica Los crecientes riesgos de la privacidad en Internet 14
17 http://www.privacyrights.org
18 http://www.eff.org/issues/privacy
19 http://privacy.org/
20 http://www.inteco.es/
21 http://www.pogowasright.org