La palabra privacidad se ha introducido en nuestro vocabulario y en nuestras vidas. Está de moda: leyes que tratan de privacidad, medios que no dejan de mencionarla, nos lo recuerda Google, es algo configurable en las redes sociales y los navegadores, nos mandamos «privados», las páginas web tienen una «política de privacidad», etc.
El término privacidad según la RAE significa: «ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión». La privacidad es todo lo que concierne a nuestra esfera personal frente a nuestra dimensión pública o profesional. Y además, tenemos derecho a protegerla.
Pero en internet los datos de nuestra esfera personal: dónde vivimos, qué nos gusta, si tenemos pareja, por dónde nos movemos, qué compramos, nuestra ideología, enfermedades, etc. no son tan privados. Está claro que nuestra actividad en internet deja una huella que algunos utilizan para personalizar la publicidad que nos ofrecen y otros, con mala intención, para enviarnos mensajes de phishing personalizados.
Además con las posibilidades tecnológicas que permiten el tratamiento de los Big Data o el internet de las cosas (IoT), el riesgo de que lo privado sea público se acrecienta. La información es poder y … la información personal, la de nuestra esfera privada, también. Prueba de ello son la mercantilización de nuestros datos y nuestra actividad en internet o la recogida masiva de datos de uso, ubicación, estado de ánimo, etc. de todos los servicios online.
Para proteger esta esfera privada podemos hacer algo que está en nuestra mano: ser precavidos para no divulgar nosotros mismos aquello que no debe ser divulgado, es decir, como dirían nuestros padres: ser discretos y reservados. Podemos aplicar esta discreción en nuestro uso y configuración de los servicios ya sea en cloud, en apps de los dispositivos móviles, en navegadores, en redes sociales, quitando los metadatos de los documentos, etc. Pero esto no es suficiente.
Por otra parte también esperamos discreción de los demás cuando no tenemos más remedio que dar nuestros datos a otros, por ejemplo al médico para que nos trate o a la policía si nos pasamos de velocidad. Análogamente, en internet esperamos este trato, y que las leyes nos protejan, cuando compramos, contratamos servicios a terceros o nos relacionamos con la Administración. Pero esto no siempre es así y no podemos impedirlo.
¿Cómo confiar en que los demás hagan un correcto uso de nuestros datos, los destruyan cuando ya no sean necesarios o cuiden de no divulgarlos?, ¿desvelaremos datos sin querer al usar las aplicaciones y servicios en internet?, ¿son confiables las comunicaciones que deberían ser privadas?, ¿y si estamos siendo clasificados y clusterizados según nuestra actividad, lo que publicamos, y en definitiva, lo que somos?
Se plantean además otras cuestiones sociales y contrapuestas: ¿acarrea alguna ventaja a nuestra sociedad (smartcities, ciberdefensa, sanidad, etc.) que nuestros datos sean tratados masivamente? ¿Y se utiliza el tratamiento masivo de datos personales que permite la tecnología para discriminar colectivos (selección de personal, oferta selectiva de productos,…)?
La tecnología nos permite cifrar las comunicaciones, ocultar las direcciones IP, evitar el rastreo cuando navegamos, no mostrar nuestra ubicación al usar dispositivos móviles, utilizar credenciales anónimas, etc. Todo ello en realidad está enfocado más a preservar la confidencialidad de los datos que nuestra privacidad. Para dar un paso más hacia una mayor privacidad desde hace unos años se habla de implantar y hacer obligatorias la privacidad desde el diseño y la privacidad por defecto.
El recientemente aprobado Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos UE-2016/679, en su artículo 25 trata la protección de datos desde el diseño y por defecto.
- La privacidad por diseño, aquella en la que desde que se concibe un servicio hasta en su despliegue y operación se han de tener en cuenta e implementar medidas tecnológicas para preservar la privacidad de los usuarios.
- La privacidad por defecto es aquella que protege los datos del usuario en los ajustes por defecto. Es decir, el diseñador de los servicios bien por su construcción o en los parámetros configurables por el usuario, elegirá los más respetuosos con la privacidad, no permitiendo por defecto funcionalidades extendidas que afecten a los datos de los usuarios a no ser que este las elija explícitamente.
No obstante como concluye el documento de ENISA «Privacy and Data Protection by Design – from policy to engineering» la privacidad desde el diseño o por defecto no son más que un enfoque técnico para abordar un problema social. La tecnología no puede ayudar por ejemplo con temas como la libertad de expresión o la protección ante la discriminación que se plantean con el tratamiento masivo de datos personales. Si bien como gran parte de la invasión de la privacidad es culpa del funcionamiento interno de los sistemas, sí es necesario un enfoque tecnológico, además de esfuerzos para sensibilizar y leyes acordes.
Las tecnologías de protección de la privacidad preventivas están fundamentalmente orientadas a la confidencialidad C-PET (Confidentiallity-oriented Privacy Enhanced Technologies) y son necesarias pero no suficientes. Así lo defienden Jean-Pierre Hubaux y Ari Juels en Privacy is Dead, Long Life Privacy: Protecting social norms as confidentiality wanes. Además son imprescindibles medidas, tecnológicas también, para enfrentarnos a los posibles efectos adversos de las pérdidas de privacidad, en un mundo en el que parece inevitable que las haya.
Son necesarios desarrollos tecnológicos que sirvan para cuantificar la privacidad perdida, controlar el flujo de los datos, vigilar que no se hace un uso discriminatorio, etc. es decir, para defender una sociedad equitativa. En definitiva y paradójicamente la tecnología debe ofrecernos medios para protegernos de ella misma cuando nuestros datos digitales dejan de estar bajo nuestro control.