Abonauta

Parece una pregunta baladí pero nos hemos acostumbrado tanto al llamado “todo gratis” de Internet que no nos paramos a pensarlo: ¿Por qué son gratis las redes sociales? ¿Por qué son gratis las búsquedas? ¿Son acaso ONGs quienes ofrecen estos servicios? Por supuesto que no, son empresas que, como Facebook o Google, se valoran en miles de millones precisamente por el ofrecimiento de este tipo de servicios.

Entonces, ¿dónde está el truco? Porque, ya lo decía mi abuela:  ”Nadie da duros a cuatro pesetas”.

Autor: Ruth Suehle para opensource.com bajo licencia CC

Pues bien, el truco está en que en realidad no son gratis en absoluto sino que pagamos con otra moneda distinta y que nos afecta directamente: nuestra privacidad.

De hecho, gracias a la más permisiva legislación de Estados Unidos y a la mayor mentira de Internet: “He leído atentamente y acepto las condiciones de uso”, todos los datos personales así como todos los contenidos que publicamos o introducimos en estos servicios, pertenecen legalmente a los proveedores. De ello hemos hablado ampliamente en otros artículos del blog: aquí y aquí. Ello hace, por ejemplo, que Facebook haya sido valorada en unos 80.000 millones de dólares. ¿Qué vale esta exorbitada cantidad en Facebook? ¿Su tecnología? ¿Sus instalaciones? No. Lo valen los datos y contenidos de más de mil millones de seres humanos que en este momento son usuarios de su red social.

Lo mismo cabe decir de Google: cada vez que hacemos una búsqueda, ésta se indexa y se vincula a nuestro perfil, al igual que todo lo que publicamos o enviamos a través de sus múltiples y variados servicios (Sí, también Gmail).

Y ello ¿para qué? Pues la finalidad principal, según informan los proveedores con este modelo de negocio, es la construcción de perfiles avanzados para su explotación publicitaria. Es decir, saber nuestros intereses, gustos y aficiones a fin de mostrarnos información comercial optimizada que, esta vez sí, venden económicamente  a sus verdaderos clientes: los anunciantes.

Es posible que nos pueda parecer un intercambio justo, especialmente en un contexto actual de crisis económica en la que cada euro debe ser medido “al gramo” (y, si no, que se lo cuenten a WhatsApp), pero lo cierto es que este modelo de negocio supone un riesgo enorme para nuestra privacidad e intimidad del cual, al menos, debemos de ser conscientes:

Esta semana el diario El Mundo ha publicado una noticia muy reveladora al respecto: “Los riesgos para la intimidad de los ‘Me gusta’ de Facebook” donde se hace eco de un informe publicado en Estados Unidos por investigadores de la Universidad de Cambridge sobre una base de 58.000 usuarios. Este estudio advierte de que, simplemente por el mero hecho de marcar el botón “me gusta” de Facebook, se puede deducir un completo perfil de personalidad del individuo y revelar información muy sensible de su intimidad: “Preferencias políticas, gustos personales, orientación sexual, creencias religiosas, rasgos de la personalidad, estabilidad emocional, etnia, edad, sexo o cociente intelectual” son algunos de los datos que, según los investigadores, pueden ser inferidos fácilmente de nuestro comportamiento en la red social.

Este “data mining” choca directamente con la legislación europea, mucho más protectora de la privacidad de los ciudadanos que la americana y en actual proceso de revisión para, entre otras cosas, poder aplicarse más claramente a los prestadores de servicios extranjeros que traten datos de europeos. No nos deben sorprender medidas como la adoptada por un estado de Alemania que en 2011 declaró ilegal la integración del botón “me gusta” de Facebook por parte de los administradores web de su región.

En España, dicha información es catalogada como datos sensibles por la Ley Orgánica 15/1999, de Protección de Datos de Carácter personal (LOPD) y requiere un consentimiento expreso y/o por escrito para su recogida y tratamiento, siempre que el mismo fuera “adecuado, pertinente y no excesivo” para la finalidad declarada, lo cual muy difícil por no decir imposible para uso publicitario.

En definitiva, debemos de hacernos la siguiente pregunta: ¿Por cuánto venderíamos nuestra intimidad?

Muchos ríos de tinta (y de bits) se han vertido sobre la privacidad en Internet. Ayer mismo se publicaba que Facebook ha acordado con las autoridades de Estados Unidos cambios en sus prácticas de privacidad, así como el sometimiento a un control más estricto de la misma. Pero, ¿cómo se entienden este tipo de noticias? ¿Cuál es el verdadero régimen de la privacidad en Internet? ¿Qué diferencias hay entre los EE.UU. y la Unión Europea en materia de protección de datos?

Éstas y otras cuestiones son las que intentaré abordar en el videoblog de hoy:

Gracias por la excelente acogida, ánimos y comentarios sobre este “videoblog-experimento” que inauguramos ya la semana pasada. Sin vosotros, nada de esto tendría sentido.

El pasado 29 de agosto, se publicó en el dominical de La Voz de Galicia un interesante reportaje de Irene Tomé con relación al caso Wikileaks (lamentablemente sólo disponible en papel), donde tuve el placer de ser entrevistado sobre la aplicación o no de la libertad de prensa en Internet así como de sus límites a nivel nacional e internacional.

Siendo un tema que ha suscitado bastante polémica en verano y por su evidente vinculación a este blog, reproduzco a continuación el núcleo de la misma con alguna referencia y un pequeño añadido final:

Respecto al caso en sí…

Realmente, lo más apasionante de la actual problemática planteada con Wikileaks no es sólo la plasmación, una vez más, de que Internet rompe totalmente las costuras de la legislación nacional, sino de si las protecciones de la misma son realmente aplicables a la Red.

En el presente caso, vemos la implicación de varios países, todos ellos con legislación muy diversa en materia de libertad de prensa y confidencialidad de las fuentes. Sin duda, Suecia es uno de los países con una legislación más protectora en este sentido. Su Ley de Libertad de Prensa garantiza el total anonimato de las fuentes de los periodistas y persigue su vulneración. Lo mismo cabe decir de la ley Belga que desde el 2005 protege explícitamente todas las comunicaciones producidas entre los periodistas y sus fuentes.

Respecto a si la libertad de prensa es aplicable a Internet…

Una cosa es la libertad de expresión, que nos protege a todos los ciudadanos en cuanto al derecho de emitir libremente ideas u opiniones y otra muy distinta es la libertad de prensa que protege a los medios de comunicación en su derecho a emitir libremente información veraz. Éste último, aplicable a los periodistas, es el que se beneficia en muchos países de este derecho a la confidencialidad de las fuentes de dicha información. En otras palabras: su derecho y deber de secreto profesional.

Respecto a Estados Unidos…

Estados Unidos ha sido bastante errático en la aplicación de estas libertades. Por un lado, su famosa primera enmienda de la Constitución Federal garantiza tanto la libertad de expresión como la libertad de prensa, pero no reconoce especialmente el derecho a la confidencialidad de las fuentes, según se recoge en una conocida Sentencia del Tribunal Supremo de 1972.

Esto motivó que dicho derecho fuera reconocido a nivel de legislación estatal y, hoy en día, las diferencias este los Estados en esta materia es muy sustancial: así, por ejemplo, California, Nueva York o Washington D.C. han adoptado sus llamadas “Leyes escudo” de la prensa, que están a un nivel muy similar al Sueco mientras que otros estados como Texas lo protegen en parte y otros como Virginia o Massachusetts no lo reconocen en su legislación. En cualquier caso, no hay una legislación adoptada a nivel federal.

Respecto al posible delito de robo de secretos militares…

La eventual sustracción o robo de material militar clasificado para su ulterior acceso por personas no autorizadas para ello puede estar tipificada como delito de revelación de secretos, intrusión en sistemas protegidos, espionaje y, en el caso de que fuera realizado por alguien del gobierno o de los estamentos militares, como violación de la seguridad nacional o, incluso, alta traición. Para su instrucción y enjuiciamiento se aplicarían las normas penales y procesales civiles o militares según el caso.

Respecto a la reciente iniciativa de Islandia: Icelanding Modern Media Initiative (IMMI) y su posible extensión a Europa…

En realidad, la IMMI no es una ley en si misma sino que se trata de un paquete de medidas de futuras revisiones legislativas (que ya están en marcha) y que se estima puedan estar terminadas en el plazo de un año.

Sin duda, se trata de una reforma ambiciosa que pretende convertir a Islandia como un eventual “paraíso” de la libertad de prensa y de la protección del secreto profesional de los periodistas. El hecho de que se esté enfocando específicamente al ámbito del periodismo en la Red hace de ella una iniciativa a observar de cerca por sus posibles implicaciones internacionales en los próximos años.

En cualquier caso, no podemos olvidar que el derecho de libertad de prensa (como casi todos los derechos fundamentales) no es absoluto y puede ceder ante otros derechos de igual o superior importancia, como son la intimidad, el honor, la propia imagen o, incluso, el derecho a la vida.

En este sentido, es amplia la Jurisprudencia del Tribunal Europeo de Derechos Humanos que ha sido recogida por la Recomendación nº R (2000) 7 del Consejo de Europa, la cual admite posibles injerencias en dicho derecho en aras de la seguridad nacional, la integridad territorial o la seguridad pública, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, la protección de la reputación o de los derechos ajenos, para impedir la divulgación de informaciones confidenciales o para garantizar la autoridad y la imparcialidad del poder judicial.

Una eventual legislación Europea podría ir más en este sentido que en el del modelo islandés.

Respecto a la revelación de nombres de personas en reportajes de prensa…

Toda revelación de nombres o datos identificativos concretos de personas en artículos o publicaciones de cualquier tipo debe de ir precedida de un detenido análisis previo en cuanto a su pertinencia o no para la noticia principal y, en todo caso, en cuanto a la necesidad de protección de los derechos de intimidad, honor, propia imagen y privacidad de los ciudadanos afectados. En este último punto, resulta aplicable la normativa nacional e internacional en materia de protección de datos de carácter personal. En el presente caso es especialmente grave la posible afección de otros derechos más relevantes como los referidos a la integridad física y a la propia vida de las personas publicadas.

En el presente caso, Wikileaks debería evitar identificar directa o indirectamente a las personas que no sean, en si mismas, objeto noticiable y podría ser responsable en caso contrario de vulnerar la legislación relativa.

Finalmente, como referencia especial a España (ausente explícitamente en la entrevista), sólo mencionar que la libertad de prensa se regula en nuestro país como derecho fundamental en el artículo 20.1.d) de nuestra Constitución, el cual reza lo siguiente:

“(Se reconoce y protege el derecho) A comunicar o recibir libremente información veraz por cualquier medio de difusión. La ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de estas libertades.”

A pesar de este mandato constitucional, lo cierto es que el secreto profesional del periodista no se ha regulado aún por ley en nuestro país, lo que ha llevado a no pocas dudas sobre su alcance y límites reales.

La revolución de las Redes Sociales en Internet es algo que, a estas alturas, no pasa desapercibido a nadie.

En pasados artículos, tuvimos ocasión de comentar este fenómeno así como de sus implicaciones para nuestra privacidad, con atención especial a nuestros menores y a las obligaciones que asumimos en función de nuestro número de amigos en dichas redes.

Este pasado domingo, se emitió un interesante programa sobre este fenómeno en la Televisión de Galicia (TVG). Se trata del número cuatro ya de la magnífica serie de Conexións, producida por Adivina Producciones. En el mismo, tuve el honor de ser entrevistado en el reportaje referente a la seguridad y privacidad en la Red.

Éste es el adelanto del mismo:

El programa completo se puede visionar pulsando sobre este enlace de la TVG. (El reportaje con la entrevista se sitúa hacia el minuto 10′ del vídeo).

Espero que os resulte interesante.

Definitivamente, algo está cambiando. Hace apenas dos semanas comentábamos la gran diferencia entre la normativa europea y la norteamericana a la hora de proteger (y definir) la privacidad de los ciudadanos. Básicamente, en Europa hay una fuerte tradición al respecto, con protección constitucional y legislativa de por medio en materia de protección de datos personales, y en Estados Unidos ha sido clamorosa la ausencia de una protección mínimamente equiparable… ¡Hasta hoy!

Acaba de publicarse un Proyecto de Ley Federal en Estados Unidos que bien podría tratarse del primer paso real hacia una LOPD norteamericana: se trata del “Staff Discussion Draft for a Bill to require notice to and consent of an individual prior to the Collection and disclosure of certain personal information relating to that individual” (Borrador de Proyecto de Ley Federal para requerir la notificación y consentimiento de una persona antes de la recolección y divulgación de cierta información personal sobre la misma).

Esta importante iniciativa legislativa, coincide en el tiempo con la aprobación final en México de la esperada Ley Federal de Protección de Datos Personales en posesión de los particulares.

Sin duda, estos son los últimos frutos del camino iniciado el pasado noviembre durante la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada en Madrid y auspiciada por la AEPD, donde se adoptó un texto común de Estándares Internacionales sobre Protección de Datos y Privacidad (También denominado “la Resolución de Madrid”). Dicho documento pretendía servir de base para futuras normativas en la materia adoptadas por países sin tradición al respecto y, sin duda, está consiguiendo dicho objetivo.

Y es que el pasado 20 de abril, ni más ni menos que 10 Autoridades nacionales de protección de datos lanzaron un comunicado conjunto para exigir a Google y otras multinacionales de Internet el respeto por las normas de privacidad en el lanzamiento de nuevos servicios. Dicho comunicado, que se materializó en una carta abierta, fue presentado por Canadá, España, Israel, Francia y Holanda mediante rueda de prensa en Washington DC. Es decir, en la capital de un país que no cuenta con dichas normas en su legislación federal… Hasta ahora, como hemos visto.

Pero ¿Cuál es el contenido de este Proyecto de Ley Federal norteamericana? ¿Es una verdadera LOPD?

Pues no exactamente, pero vamos a hablar brevemente del contenido de este borrador en comparación con nuestra Ley Orgánica de Protección de Datos (salvando las distancias, claro). Lo resumimos en los siguientes puntos destacados:

1. Su ámbito es más limitado que el de la LOPD: se aplica sólo sobre entidades que no sean gubernamentales y que recaben datos de más de 5.000 personas al año.

2. A diferencia de la LOPD que protege cualquier información personal, el Proyecto de Ley Federal especifica los datos protegidos (“covered information”) que son: nombre, dirección, teléfono, email, identificación biométrica (huellas, retina…), números de identificación documental, datos financieros, nick o número IP en Internet, perfil de preferencias o cualquier otra información recabada en conexión con estos datos.

3. El Proyecto de Ley Federal comparte la definición esencial de “datos sensibles” de la LOPD (datos de salud, raza, religión, orientación sexual) pero añade dos nuevos tipos de datos aquí: datos financieros (saldos y movimientos de cuentas) y, como nota curiosa, datos de “geolocalización” exacta de personas.

4. En cuanto a la información obligatoria a facilitar al ciudadano a la hora de recabar sus datos, en el Proyecto de Ley Federal es sustancialmente más amplia que la exigida en la LOPD. En concreto, el Proyecto incluye: la identidad de la entidad destinataria, la descripción de la información recabada, cómo se recaba la misma, su finalidad, cómo se almacena, cómo se combina o enlaza con otra información recabada de terceros, cuanto tiempo la conserva de modo identificable, cómo se hace anónima, la finalidad para la que se puede ceder a terceros, los medios para que los interesados accedan, pregunten, limiten o prohíban su tratamiento; medio de notificación de cambios en la política de privacidad; la fecha de dicha política y un enlace a la web de la Autoridad Federal competente (la FTC). Esta información, sin embargo, sólo será exigible para los datos recabados por Internet, no si se obtienen por otros medios.

5. En cuanto al consentimiento, el Proyecto de Ley Federal obliga a obtenerlo de forma expresa o tácita, pero siempre previa notificación de la información descrita (o de sus modificaciones ulteriores) al interesado, con el procedimiento para manifestar su autorización u oposición, actual o posterior. Dicho consentimiento se exigirá siempre en el caso de finalidad de marketing, publicidad, venta o cesión de datos a otras entidades distintas. Asimismo, en el caso de datos sensibles será siempre expreso.

6. La Autoridad Federal competente para controlar su cumplimiento y sancionar, en su caso, (es decir el equivalente a nuestra AEPD) será la Federal Trade Commission (FTC) o Comisión Federal de Comercio.

7. Finalmente, destacamos que se excluye el ejercicio de Acciones Civiles directas de los particulares contra las entidades incumplidoras. Un punto polémico pero hasta cierto punto comprensible habida cuenta de las cuantiosas indemnizaciones que obtienen los particulares en acciones civiles en Estados Unidos (nada que ver con las nuestras) uniendo su condición “punitiva” y no sólo reparadora del daño.

¿Nos encontramos pues ante el germen de una futura LOPD para Estados Unidos? El tiempo lo dirá pero sin duda supondrá un importante precedente si se aprueba finalmente este Proyecto de Ley Federal, aunque sea en un ámbito tan restringido, ubicado dentro de la normativa de protección de consumidores y usuarios norteamericana.

Desde la última vez que comentamos el fenómeno de la nube (o cloud computing), como nueva revolución en el ámbito tecnológico, y sus implicaciones para la normativa de protección de datos, he estado barajando la posibilidad de volver a hablar del tema. Lo tenía pendiente tras asistir a las jornadas SecureCloud 2010 organizadas por la Cloud Security Alliance en Barcelona del 16 al 17 de marzo pasado.

Lo acontecido estos días con la nube de ceniza que tan negativamente está afectando a la economía de toda Europa con el cierre casi completo de su espacio aéreo, se ha convertido en la metáfora perfecta de lo que está sucediendo con su homóloga, la nube de datos, en nuestro viejo continente.

Y el caso es que es una buena metáfora no sólo por compartir la denominación de “nube” (cloud) sino también por otros dos motivos:

1. Ambas nubes tienen implicaciones a nivel global, sin que puedan delimitarse claramente los países o regiones implicados en su expansión (de hecho, no sólo Europa sino también Estados Unidos y otros estados se ven afectados indirectamente por las limitaciones Europeas) y, más importante aún,
2. Ambos fenómenos están causando que Europa se quede al margen de una revolución tecnológica de primera magnitud.

Me explicaré en cuanto a este último punto:

En las sesiones a las que tuve ocasión de asistir en Barcelona, además de las excelencias y también problemas de seguridad de la computación en nube, quedó patente una fuerte colisión entre dos modelos normativos contrapuestos: el modelo europeo y el modelo americano. Dicho choque se concreta en la concepción tan distinta que europeos y americanos tenemos sobre la “privacidad”.

Para un estadounidense, el derecho a la privacidad es, literalmente, “the right to be let alone”, es decir, “el derecho a estar solo” o, más libremente, “el derecho a que me dejen en paz”. ¿Quién? Pues todo el mundo, pero sobre todo el gobierno. Cabe decir también que no es un derecho fundamental reconocido por su Constitución, a diferencia de, por ejemplo, la libertad de expresión recogida en su famosa “Primera Enmienda”. Dicho derecho, por tanto, fue creado y perfilado por la propia jurisprudencia americana suponiendo, en la práctica, una protección muy parecida a nuestro derecho a la intimidad (es decir, inviolabilidad del domicilio, secreto de las comunicaciones y protección de la vida privada).

Mapa de privacidad (c) Gianluca D'Antonio SecureCloud 2010

Por el contrario, para un europeo la privacidad es algo muy distinto. Dado que nuestra legislación reconoce y protege ya todos estos aspectos mediante el derecho a la intimidad, la privacidad ha surgido como una esfera de protección más amplia. Dicha esfera abarca todos los datos que cualquier entidad tenga sobre un ciudadano, y no solamente los estrictamente privados. En Europa, por tanto, el derecho a la privacidad no es otra cosa que el derecho que protege a las personas físicas en relación al tratamiento de sus datos por parte de terceros o, dicho de otro modo, el derecho a la protección de datos de carácter personal.

También a diferencia de Estados Unidos, en Europa el derecho a la privacidad se protege como un derecho fundamental, recogido tanto en el artículo 18.4 de nuestra Constitución como en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea, además de desarrollado tanto por la LOPD como por la Directiva Europea 95/46/CE.

Esta diferencia conceptual y legal ha causado, en parte por lo comentado en nuestro artículo anterior y tal y como se expuso por el ponente Gianluca D’Antonio en las jornadas SecureCloud 2010, que en Estados Unidos el 80% de las empresas y administraciones ya estén en “la nube” mientras que solamente el 5% en Europa. Varios ponentes llegaron incluso a augurar que Europa se puede quedar al margen de esta revolución tecnológica y, en consecuencia, nuestras empresas sufrirán una desventaja competitiva en relación a las del resto del mundo con legislación menos restrictiva.

La cuestión es: ¿Debemos los europeos renunciar a parte de nuestra Carta de Derechos para ser más competitivos? Y, si es así, ¿qué vendrá después? ¿Desmantelar parte de nuestros derechos sociales y laborales para volver a jornadas de 12 o 14 horas diarias ó reducción de salarios para competir con los países emergentes? (Un buen amigo vaticinaba esto último hace unos días).

Sin duda, no sólo una nube de ceniza amenaza la economía europea, sino que la nube tecnológica se cierne tanto sobre ésta como sobre nuestro propio sistema legal de protección y nuestra concepción de los derechos del individuo que tantos siglos nos ha costado conseguir. La diferencia está en que la primera se disipará, esperemos, en poco tiempo pero los principales efectos de la segunda están aún por llegar.

Como decía la canción de Roberto Carlos: “Yo quiero tener un millón de amigos”. Éste es el sueño dorado de muchos usuarios de Redes Sociales. De hecho, el número de amigos en Facebook o Tuenti o de seguidores en Twitter se ha convertido en un símbolo de prestigio social en la Red (y fuera de ella).

Si eres uno de estos usuarios “coleccionistas de amigos” debes de ser especialmente cauteloso con lo que compartes en la Red. Y no sólo por los motivos obvios de mantener protegida tu privacidad sino también porque, como bien apuntó Samuel Parra, “podrías tener un problema legal” dado que se te podrían aplicar las obligaciones de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Según el reciente Informe Jurídico 0615-2008 de la Agencia Española de Protección de Datos (AEPD), tener un número demasiado alto de amigos podría exceder el ámbito de nuestras “relaciones privadas” y, por tanto, entenderse como una posible comunicación pública ilícita.

En efecto, el artículo 2.2.a) de la LOPD excluye de la aplicación de la Ley a aquellos ficheros que se usen “exclusivamente” en el ámbito privado. Dicho artículo dispone lo siguiente:

“ El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.”

Pero, ¿Qué se entiende por “actividad personal o doméstica”?

Como bien refiere el citado Informe de la AEPD, este concepto fue aclarado por la Sentencia de 15 de junio de 2006 de la Audiencia Nacional del siguiente modo:

“Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos.”

¿Y cómo se traduce esto en el ámbito de las Redes Sociales?

Se remite aquí el Informe al Dictamen 5/2009 relativo a las redes sociales en línea, adoptado el 12 de junio de 2009 por el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, órgano consultivo independiente de la UE sobre protección de los datos y la vida privada. Dicho Dictamen señala que:

“Generalmente, el acceso a los datos de un usuario (datos del perfil, mensajes, historias…) se limita a los contactos elegidos. Sin embargo, en algunos casos, los usuarios pueden adquirir un gran número de contactos terceros y no conocer a algunos de ellos. Un gran número de contactos puede indicar que no se aplica la excepción doméstica y el usuario podría entonces ser considerado como un responsable del tratamiento de datos.”

Por tanto, argumenta la AEPD que no se beneficiarán de este concepto privilegiado de “ámbito personal” aquellos casos en que “la publicación se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito.”

¿Y en qué se traduce que se pueda aplicar la LOPD a los usuarios con “muchos amigos”?

Pues, por ejemplo, a la hora de publicar datos o imágenes de otras personas (fotos de cenas, amigos, hijos, hijos de amigos, etc.) se deberá obtener el consentimiento previo e inequívoco de dichas personas o de sus representantes legales, según concluye la AEPD, “tanto para la obtención de la imagen como para su publicación en la página web, en tanto que ésta última constituye una cesión o comunicación de datos de carácter personal tal y como viene definida por el artículo 3 j) de la LOPD, esto es, como «Toda revelación de datos realizada a una persona distinta del interesado».”

Como abogado, debo recomendaros obtener dicho consentimiento siempre por un medio que deje constancia (idealmente por escrito) ya que, como responsables del fichero, deberéis probarlo en su caso, so pena de ser sancionados con multas que oscilarán entre los 600 a 600.000 euros (no, no se me han escapado ceros de más), según los datos compartidos sean más o menos sensibles.

Y es que, también en la Redes Sociales, la popularidad tiene un precio (a veces, demasiado alto).

Y es que ya lo decía mi abuela: “Nadie da duros a cuatro pesetas”. Esto es rigurosamente cierto también en Internet. En contra de lo que pudiéramos pensar, lo cierto es que no hay nada gratis en la Red: en realidad pagamos con nuestros datos.

Nos estamos habituando peligrosamente a no pagar nada por los servicios que disfrutamos en Internet: el correo electrónico, nuestro perfil en Redes Sociales, nuestra agenda, nuestras fotos y vídeos, etc. Todo lo podemos disfrutar sin pagar un solo euro. ¡Y lo vemos como la cosa más normal del mundo!

Las empresas nos ofrecen sin coste estos servicios pero ¿Por qué?

Hay quien diría que realmente se están financiando con la publicidad genérica. Esto, sin duda, es cierto en parte: Si doy algo gratis, tengo más visitas. Si tengo más visitas, ingreso más por publicidad visionada. Pero ¿ese ingreso es suficiente?

A la luz de los precios que se manejan por publicidad mostrada en la Red, muy inferiores a los de la publicidad impresa en medios tradicionales, resulta difícil imaginarlo. De hecho, tendría que tener una enorme cantidad de visitas para cubrir simplemente los costes de una empresa de tamaño medio (cuanto más los de una gran empresa).

Entonces, ¿Dónde está el truco? Porque lo cierto es que cada vez más y más empresas se lanzan a competir ofreciendo servicios más y más sofisticados por cero euros/dólares/libras/yenes…

Pues bien, el truco está en que realmente no son servicios gratis. Es cierto que no pagamos con dinero pero, en cambio, sí pagamos con otro bien tanto o incluso más preciado: nuestros datos.

Nuestro perfil, nuestros gustos, nuestros hábitos de consumo, etc. Todo ello es información que, consciente o inconscientemente, estamos volcando y/o está siendo recabada sobre nosotros en Internet. Ya sea con fines comerciales (publicidad selectiva), económicos, políticos o de seguridad.

En la Sociedad 2.0, la información es poder y el que posee más datos es también el más poderoso (y rico) en la Red.

Este modelo de negocio deriva principalmente del sistema imperante de los Estados Unidos. En este país, debido a que no tiene legislación de protección de datos, la información de los ciudadanos pertenece a los que los poseen y tratan. Por tanto, las corporaciones pueden comerciar libremente con ellos (he dicho bien, comerciar) como un activo o producto empresarial más.

Por ejemplo, en el caso de Facebook, que se estima alcanzará los 1000 millones de ingresos en 2010, podemos encontrar el siguiente texto en sus condiciones generales y su política de privacidad (eso que nadie suele leer y se acepta sin más para crear una nueva cuenta):

“nos concedes una licencia no exclusiva, transferible, con posibilidad de ser sub-otorgada, sin royalties, aplicable mundialmente, para utilizar cualquier contenido de PI (incluyendo fotografías y vídeos) que publiques en Facebook o en conexión con Facebook (en adelante, “licencia de PI”)”

“Algunas categorías de información como tu nombre, la foto de tu perfil, tu lista de amigos y de páginas de las que eres fan, tu sexo, región geográfica, y redes a las que perteneces, se consideran totalmente públicas y disponibles para todos, incluyendo las aplicaciones avanzadas de Facebook, por lo que no puedes configurar su privacidad.” (Traducción libre del texto original en inglés)

Por su parte, Google incorpora el siguiente texto en su Política de Privacidad:

“Información que usted nos proporciona: al solicitar una cuenta de Google u otros servicios o promociones de Google que requieren un proceso de registro, el solicitante deberá facilitarnos datos personales (nombre, dirección de correo electrónico y contraseña de la cuenta, por ejemplo). Para determinados servicios, como nuestros programas publicitarios, solicitamos también información sobre la tarjeta de crédito u otra información bancaria, que guardamos en formato encriptado en nuestros servidores seguros. Es posible que combinemos los datos que nos proporciona el solicitante a través de su cuenta con la información procedente de otros servicios de Google o de terceros a fin de proporcionarle una experiencia óptima y de mejorar la calidad de nuestros servicios. Para determinados servicios, le ofreceremos la oportunidad de decidir si desea o no que realicemos dicha combinación de datos.

Cookies: cuando usted visita Google, enviamos una o varias cookies (un pequeño archivo que contiene una cadena de caracteres) a su equipo mediante las que se identificará de manera exclusiva su navegador. Utilizamos cookies para mejorar la calidad de nuestro servicio gracias a que almacenamos las preferencias del usuario y a que supervisamos las tendencias de comportamiento, por ejemplo, el tipo de búsquedas que realiza.”

En Europa, por el contrario y gracias a la Directiva 95/46/CE y legislación de desarrollo (LOPD en España), los datos personales siguen siendo propiedad de los ciudadanos y, salvo muy contadas excepciones, no se podrán ceder o tratar sin la autorización de los mismos.

¿Es por ello que el modelo americano de negocios en la Red no termina de cuajar en el viejo continente? Pues, en parte, es posible que sí.

Ahora, como ciudadanos, debemos de preguntarnos en cuánto valoramos nuestra privacidad y si su valor es superior o inferior a los servicios que estamos recibiendo en la Red.

Por lo menos seremos conscientes de lo que estamos pagando realmente por Internet.

Hay que ser justos. La tecnología no es ni buena ni mala, todo depende del uso que hacemos de ella. Las redes sociales están siendo el objeto de todas las críticas, empezando por las del que escribe este blog, a raíz de sus importantes carencias en la debida protección de los datos de las personas que las utilizan. Sin embargo, gran parte del riesgo derivado de las redes sociales está originado por sus propios usuarios.

Para muestra, un botón (o dos en este caso):

Con motivo de la celebración del Día Europeo de Protección de Datos, el 28 de enero, la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) difundió dos vídeos relativos a la importancia de proteger nuestra privacidad al utilizar redes sociales. Estos vídeos son bastante ilustrativos y los referimos a continuación:

1- “Tienda de Fotografía”:

2- “Cafetería”

Sobran las palabras.

Otro ejemplo que me han comentado recientemente, es el de la página web “Please Rob Me” (http://pleaserobme.com/) que utiliza los datos que los propios usuarios introducen en la red social Twitter respecto a su localización exacta para informar de si están o no en casa, lo que podría alertar a presuntos “amigos de lo ajeno” (su nombre es muy descriptivo).

Como vemos, en todos estos casos, son los propios usuarios los que introducen consciente (aunque no consecuentemente) sus datos en la Red.

El problema es que, aunque la legislación europea es muy restrictiva, se basa en el principio general del consentimiento. Es decir: se combate especialmente el tratamiento y comunicación de datos personales sin la autorización del interesado.

Pero ¿qué ocurre cuando son los propios interesados los que consciente y voluntariamente comunican sus datos en la Red? Pues muy sencillo: la protección que la ley nos dispensa disminuye sustancialmente.

¿Por qué digo “sustancialmente” y no “totalmente”? Pues porque todavía subsiste la obligación de informarnos adecuadamente y de proteger nuestros datos por parte de los responsables de dichos servicios o de cualquier otra entidad que decida aprovecharse de nuestros datos para sus propios fines. Pero ello no es, desde luego, suficiente.

Debido a esta problemática, Viviane Reding, actual Vicepresidenta de la Comisión Europea, en un reciente discurso ante el Parlamento Europeo, anunció una próxima modificación de la Directiva 95/46/CE general de Protección de Datos para reforzar precisamente nuestra privacidad en las Redes Sociales.

Sin perjuicio de estar atentos a esta u otras medidas legales, lo cierto es que el mejor defensor de nuestros datos personales somos nosotros mismos.

Hace unos cuantos años, cuando comencé a utilizar el correo electrónico, un gran experto (y mejor amigo) me hizo una sabia recomendación: “nunca pongas nada en un email que no escribirías en una postal de correos”.

Es una excelente recomendación que sigo especialmente ahora que utilizo Twitter o Linkedin. Siguiendo la reciente campaña de la APDCM: nunca cuentes nada en una red social que no le contarías a un desconocido.

¡Hay demasiadas orejas escuchando!

¿Quién no ha recibido alguna reprimenda en su infancia por estar “en las nubes”? ¡Quién nos iba a decir que años después estaría bien visto e, incluso, estaría de moda estar “en la nube”!

De hecho, sobre esto último se están vertiendo verdaderos ríos de tinta (perdón, de bits) en Internet: estamos hablando del famoso “cloud computing” o “computación en la nube”.

Esta tecnología parece haberse convertido en la panacea para todo tipo de empresas y organizaciones que buscan tratar grandes cantidades de información con una máxima eficiencia y un mínimo coste ( y esto es especialmente goloso en época de crisis).

Pero, ¿qué es la nube?

La nube no es otra cosa que la propia Internet. De hecho, el símbolo de la “nubecita” siempre ha representado a la Red en cualquier dibujo o diagrama de los sistemas informáticos.

Pero, ¿dónde está entonces la novedad?

Pues bien, lo novedoso estriba en que se han juntado una serie de tecnologías nuevas (como la computación GRID, la virtualización de software y hardware, la arquitectura SOA y otras de palabrejas similares) para hacer posible que todo un sistema informático deje de estar en un lugar concreto para “evaporarse” y mezclarse en la “nube” de Internet (inmensas “granjas de servidores” de empresas proveedoras repartidas por todo el mundo).

Así, la nube se ha convertido ya en un gran negocio emergente. Muchas empresas se han subido al carro del mismo y ya lo ofertan, entre otras, IBM, Google, Oracle, Microsoft o Apple.

Entre sus ventajas, está la disponibilidad de la información “en cualquier lugar”, el ahorro de costes de equipos informáticos físicos, menos quebraderos de cabeza por su administración y mejor conservación técnica de los datos.

Entre sus riesgos, como no podía ser de otro modo al ubicarse nuestros datos en sistemas informáticos ajenos, están los derivados de la seguridad de la información y del propio cumplimiento legal.

Desde nuestro punto de vista, el principal problema deriva de que, por el propio funcionamiento de la nube, no sabemos dónde están nuestros datos en concreto. Según las empresas proveedoras (las cuáles, a su vez, subcontratan a otras), dichos datos pueden estar en cualquier parte del mundo. De hecho, nos lo venden como una ventaja porque si pasase alguna catástrofe como el 11-S en un país concreto, nuestros datos estarán a salvo al repartirse duplicados por otros países y continentes.

Esto, sin embargo, conlleva importantes problemas legales como el referido al artículo 33.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) que regula el movimiento internacional de datos. Dicho artículo dice lo siguiente:

“1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley (…)”

Por tanto, en base a lo dispuesto, no se podrán “subir” datos a la nube sin verificar previamente lo siguiente:

1- En qué país o países concretos estarán alojados dichos datos y

2- Que dicho país o países tengan una legislación de protección de datos equiparable a la nuestra.

Tal y como hemos visto por el propio funcionamiento de la nube, el primer punto será el más complicado de determinar (por no decir imposible). En cuanto al segundo punto, son muy pocos los países que lo cumplen. De hecho, un país tan importante para la nube como es Estados Unidos no está incluido, a excepción del acuerdo especial firmado con la Unión Europea denominado “Safe Harbor” o “Puerto Seguro” que sólo cubre a las empresas norteamericanas que lo suscriban voluntariamente.

En cualquier caso, nuestros datos pueden ir a parar a países que no tengan un nivel de protección jurídica equiparable al nuestro. Lo cual, no sólo será una amenaza para su seguridad, sino que supondrá incluso un incumplimiento de la Ley por nuestra parte, como hemos visto.

Parece que la nube viene bastante borrascosa. ¿Un chubasquero?