Que los usuarios tomen control de la información que entregan en línea y mayor transparencia por parte de las empresas están entre los puntos que una reciente investigación señala como fundamentales para la protección de la información digital en este tipo de entornos.
Hace unos años, el estudio que la cadena de almacenes Target, en Estados Unidos, hacía a sus clientes le permitió a la empresa saber que una estudiante de secundaria estaba embarazada antes que el padre de la joven. El caso fue tan insólito que fue registrado por medios como The New York Times y Forbes, y hoy sigue siendo un referente de por qué importa el manejo que las firmas que recolectan nuestros datos le dan a esa información personal.
La cosa fue así: tendencias como comprar lociones sin aroma, ciertos suplementos dietarios o productos de algodón aumentaban las probabilidades de que un bebé viniera en camino en un hogar cliente de Target. Siguiendo ese patrón, la cadena empezó a mandar publicidad y descuentos en artículos para bebé a la casa de la futura madre.
Esto enfureció al desinformado padre de la estudiante que, molesto, fue a quejarse por lo que consideraba era un estímulo para su hija respecto a la maternidad. Días después, el padre recibió una llamada de un encargado de Target que quería disculparse, pero quien terminó pidiendo perdón fue el futuro abuelo: su hija le había contado que efectivamente estaba embarazada.
El caso es mencionado por una reciente investigación de Dejusticia, titulada Rendición de cuentas de Google y otros negocios en Colombia: La protección de datos personales en la era digital.
El documento llama la atención sobre los retos que esa “era digital” supone para la protección de los datos personales y para otros derechos, como la intimidad y la no discriminación y libertades relacionadas, en Colombia.
Al respecto, las investigadoras Vivian Newman y María Paula Ángel mencionan otros casos que demuestran cómo el uso del “big data” ha generado posibles discriminaciones. Por ejemplo, en 2015, un estudio de la Universidad Carnegie Mellon encontró que el sistema de publicidad en línea de Google les mostraba anuncios de empleos de altos ingresos con mayor frecuencia a los hombres que a las mujeres.
En Colombia fueron objeto de estudio treinta empresas con modelos de negocio basados en datos (EMNBD) que recolectan datos en el país, clasificadas en “grandes empresas de internet” (como Google o Facebook), “empresas intermedias” (que están entre las aplicaciones más descargadas, sin pertenecer a los gigantes de internet, como Netflix), start-ups (como Rappi) y “empresas establecidas” (nacidas antes de la revolución digital).
El informe es enfático en que esta no es una muestra representativa, sino “meramente ilustrativa”.
“Los grandes volúmenes de datos digitales, junto con las técnicas de analítica de datos hoy existentes les han permitido a las empresas contar con nuevas fuentes de información (distintas a, por ejemplo, el formulario que el usario directa y conscientemente llena al abrir una cuenta en Facebook o Instragam)”. Para las investigadoras, sobresalen las cookies que permiten, entre otras, hacer web tracking , un tipo de rastreo que hace posible identificar las herramientas que utilizamos en internet, por ejemplo, el dispositivo, la red Wi-Fi y el tipo de navegador, entre otras.
Asimismo, las investigadoras se preguntan por las nuevas formas de tratar esos datos y la finalidad de todo ello, “siendo la comercialización de datos, la provisión de contenidos personalizados y la toma de decisiones automatizadas las finalidades más innovadoras, todas ellas con la práctica del profiling (construir perfiles de los usuarios a partir de su información y comportamiento), ya sea como herramienta o como objetivo”. Sin embargo, los límites de esa entrega de “contenidos personalizados” (como la sugerencia de una oferta de empleo) y la discriminación constituyen uno de los puntos más problemáticos de todo el asunto.
El documento recuerda el marco constitucional y legislativo (formulado “en un momento de desarrollo tecnológico distinto”) para la protección de datos en Colombia, así como la existencia de una autoridad para la materia, en la Superintendencia de Industria y Comercio, y llama la atención sobre la falta de dientes para realmente garantizar los derechos de los ciudadanos en este asunto.
Como ejemplo de que los países han reconocido la obsolescencia de sus normas están los marcos que han gestado en los últimos años el estado de California y la Unión Europea, que, por ejemplo, dan calidad de “dato personal” a una dirección IP, el número único que cada quien tiene en internet. En Colombia, dice Dejusticia, eso no existe explícitamente, pero el marco legal vigente podría dar cabida a esa interpretación.
Así las cosas, el llamado del documento es no solo a llenar los vacíos regulatorios que hoy existen, corregir lo que no está formulado de manera adecuada sino, precisamente, aprovechar el marco existente en favor de la protección de los datos personales.
Mientras que de las empresas se espera más transparencia y detalles sobre sus procesos y de los terceros a los que llegan nuestros datos, para el ciudadano el mensaje es tomar control de lo que comparte, habilitando, por ejemplo, solo las cookies que son indispensables para el funcionamiento de un servicio.
Casos como el de Cambridge Analytica y la capacidad que tienen terceros para influir en algo tan delicado como las elecciones de un país (en Estados Unidos o la votación del brexit) han sido muestra de que la protección de datos no es un asunto menor. Las investigadoras también mencionan la posibilidad de que los países de América Latina, por ejemplo en el seno de la Comunidad Andina o de la OEA, se unieran para generar un marco común con el fin de hacer frente a esta realidad, así como lo hizo la Unión Europa. Sin duda, el poder de negociación frente a los gigantes de internet es un punto indispensable para abordar la materia con el rigor que amerita.
Estas son algunas de las recomendaciones que deja el documento:
Más investigación sobre manejo de datos personales
El documento hace un llamado a ahondar en la investigación académica sobre el alcance y las posibles repercusiones que pueden tener para los derechos y libertades de los colombianos el poder y el control que los gigantes de internet tienen sobre la “mayoría de las aplicaciones y plataformas más populares en Colombia, y el intercambio interno e irrestricto de datos que se permite entre los productos del mismo grupo empresarial”.
Ponerse al día en la regulación sobre datos personales
Reformar la Ley de Protección de Datos Personales (2012) para ponerla al día de los retos
que supone la era digital; dotar a la Delegatura para la Protección de Datos Personales de
la Superintendencia de Industria y Comercio de mayores capacidades técnicas y de talento
humano especializado tanto en explotación de datos como en derechos humanos; que esa
entidad apele a la cooperación internacional cuando sea necesario para hacer rendir
cuentas a las empresas recolectoras de datos, y una mejor autorregulación de las empresas
están entre los puntos que añaden las investigadoras.
La jurisprudencia sobre datos personales
Otro de los llamados de las investigadoras es a que se promueva un mayor desarrollo de
doctrina y jurisprudencia sobre, por ejemplo, el concepto de dato personal consagrado en
la Ley 1581 de 2012, “para que quede claro si incluye otras acepciones de dato personal
como el IP y los identificadores similares o los datos asociados a ellos”.
***
La orden de la SIC a Facebook para fortalecer sus medidas de protección de datos
Este lunes, en el marco de la celebración del Día Mundial de Protección de Datos, la
Superindustria (SIC) anunció que Facebook tiene menos de cuatro meses para adoptar nuevas
medidas y mejorar las existentes para garantizar la seguridad de los datos personales de
más de 31 millones de usuarios de la red social en Colombia.
Los incidentes que la plataforma debe garantizar que no pasarán son el acceso, uso,
consulta, adulteración o pérdida no autorizados o fraudulentos.
Para que Facebook pueda demostrarle a la SIC que mejoró sus medidas de seguridad deberá
presentar una certificación emitida por una entidad independiente, imparcial, profesional
y especializada en temas de seguridad de la información.
Ante el anuncio de la SIC, Facebook manifestó: “Proteger la información de las personas
que usan nuestros servicios es nuestra mayor prioridad. En el último año hemos tomado
medidas para prevenir abusos contra la privacidad, mejorando nuestros productos,
aumentando nuestros equipos de seguridad a cerca de 30.000 personas, creando más controles
para administrar los datos personales y notificando en forma inmediata en caso de algún
incidente. Seguiremos en contacto con las autoridades para proteger la privacidad de los
usuarios colombianos”.
FUENTE: DIARIO EL ESPECTADOR (CO)