Llevamos ya unos meses oyendo, a raíz del escándalo de Cambridge Analytics y las declaraciones de Mark Zuckemberg ante el Senado estadounidense, que Facebook (y ha empezado a extenderse la sombra de la duda sobre Google) hace lo que quiere con nuestros datos, saben más de nosotros de lo que nosotros mismos pensamos, comercializa con nuestros datos y los utiliza para influir en la forma que tenemos de pensar… Esto ha llevado a que haya un movimiento en EE.UU., que se ha extendido a otros países, que a través del hashtag (curioso, se anuncia en una red social lo que vas a hacer en otra red social) #DeleteFacebook pretende que los usuarios borren sus perfiles en Facebook… Y más aún, que Facebook deje de tener datos de los usuarios que pidan borrar sus datos en la plataforma, ahí es nada.
Muchos medios de comunicación, creo que por desconocimiento y en algunos casos por revanchismo (Facebook y Google han cambiado tantas veces su algoritmo y los objetivos de sus campañas publicitarias, que han sembrado el campo de enemigos digitales), han entrado a generar un sentimiento de desconfianza absoluta. Desde elasterisco vamos a entrar a detallar qué es lo que ha pasado en realidad, determinar las responsabilidades de unos y de otras… y así que como usuarios de internet podamos todos sacar nuestras propias conclusiones.
¿Qué es el escándalo Cambridge Analytics y en qué puede haberme afectado como usuario?
En el disclaimer/aviso que mostraba la aplicación a la hora de ser utilizada/instalada en Facebook se explicaba que Cambridge Analytics tendría acceso a una serie de datos X (mostraba a qué datos iba a tener acceso) y que iba a utilizarlos de una manera concreta
Cambridge Analytics es una empresa, un desarrollador, que desarrolló una aplicación (que en el ámbito de Facebook son llamadas aplicaciones de terceros, es decir, que no son de Facebook pero se usan en Facebook) que los usuarios de Facebook se instalaban. En el disclaimer/aviso que mostraba la aplicación a la hora de ser utilizada/instalada en Facebook se explicaba que Cambridge Analytics tendría acceso a una serie de datos X (mostraba a qué datos iba a tener acceso) y que iba a utilizarlos de una manera concreta. Todo esto se anunciaba antes de que los usuarios dieran su consentimiento a la utilización/instalación de la aplicación, bien es cierto que los usos y los alcances que las aplicaciones de terceros anuncian vienen predeterminados, con casilla premarcada (y que el usuario, si no está de acuerdo, puede modificar punto por punto, invirtiendo tiempo y esfuerzo para saber qué y cómo modificarlo). El problema con Cambridge Analytics es que un tercero se aprovechó de una vulnerabilidad en el código de esta aplicación de terceros y accedió no sólo a los datos que anunciaba la aplicación, sino a datos de terceros relacionados con el usuario que había instalado/utilizado la aplicación. Y, además, se utilizaron estos datos para generar perfiles ideológicos de usuarios, mostrando anuncios tipo, destinados a influir positivamente en la percepción que de Trump tenían los posibles votantes estadounidenses.
¿Por qué todo medio de comunicación o Tuitero Gurú de pro establece que Facebook está utilizando los datos de forma fraudulenta?
Explicado de esta manera, ¿por qué todo medio de comunicación o Tuitero Gurú de pro establece que Facebook está utilizando los datos de forma fraudulenta? Porque en realidad Facebook, como depositante de nuestros datos, tiene la obligación legal de guardia y custodia de nuestros datos, si bien hay que matizar que son datos que hemos cedido de forma voluntaria, y hemos aceptado qué finalidad se le dará a esos datos al aceptar completamente todo el conjunto de Términos y Condiciones. Pero al tener una vulnerabilidad por un lado, y permitir que una aplicación recopile datos para los que no ha obtenido un permiso expreso (por falta de revisión al detalle de las aplicaciones de tercero que autoriza), está incurriendo no sólo en una falta hacia nosotros, sino en una vulneración legal (en diversos países) por la que tiene que responder.
¿Hay más responsabilidad aparte de ésta? En realidad no. Es cierto que la AEPD (Agencia Española de Protección de Datos) ha concluido que teniendo en cuenta la LOPD (Ley Orgánica de Protección de Datos) y el Privacy Shield (una ley marco que establece la protección de los datos de usuarios de la UE que viajan encriptados a servidores de EEUU), Facebook, Whatsapp, otras redes sociales y Google, incumplen la legislación y la utilización de los datos. Pero ojo, no significa que estén actuando de forma fraudulenta, porque a los usuarios de dichas plataformas se les ha informado de a qué datos accederán y qué uso se le va a dar a esos datos. De hecho también se les ha informado a los usuarios sobre la propiedad intelectual de los datos y el derecho de uso de los mismos. Y para finalizar, Facebook, Google y todas las redes sociales, obvian el concepto jurídico del “derecho al olvido” (el derecho a desaparecer sin dejar rastro de cualquier plataforma online, sin uso posible o tenencia de datos una vez rescindida nuestra presencia en ellas)…, aunque se están dando pasos para materializarlo poco a poco en el caso de defunción del usuario. Simplemente se está considerando que no cumplen con los requisitos de la LOPD.
Aquí hay que hacer un matiz, el 25 de mayo de 2018 entra en vigor el GDPR (General Data Protection Regulation) o Nuevo Reglamento Europeo de Protección de Datos. Este Reglamento deroga gran parte de lo que la actual LOPD propugna… Aunque el Congreso de los Diputados lleva desde 2017 intentando trasponer lo que marca dicho Reglamento en una nueva LOPD parece que no va a ser aprobada antes de la entrada en vigor del GDPR, generando una especie de vacío legal. ¿En qué afecta a los usuarios, y sobre todo a Facebook, el nuevo GDPR? Se acaba con la aceptación total de los “Terminos y Condiciones”, los usuarios tienen que aceptar con qué están de acuerdo y con qué no, de forma proactiva, no reactiva. Se acabaron las casillas premarcadas en los usos y permisos, el usuario tiene que indicar de forma explícita en qué está de acuerdo y en qué no. Cuando se produzca una violación de seguridad, Facebook (o cualquier plataforma a la que hayamos cedido datos) no sólo tiene que notificarlo a la autoridad competente, también a los usuarios. Y como novedad introduce el derecho al olvido, total.
Habiendo matizado todos los posibles puntos legales y posibles infracciones que puedan haber cometido no sólo Facebook, sino cualquier Red Social o el propio Google, ¿está accediendo cualquiera de estas plataformas a datos a los que no deberían estar accediendo? NO, rotundamente no, exceptuando en puntuales hackeos, NO. ¡Sorpresa! Es posible que esto no te lo esperases.
Todo dato que Facebook tiene, que Whatsapp tiene, que Google tiene… Es un dato que TÚ voluntariamente le has cedido
Todo dato que Facebook tiene, que Whatsapp tiene, que Google tiene… Es un dato que TÚ voluntariamente le has cedido. Igual no eres consciente, pero tú has cedido todos esos datos. Tú has cedido datos como email, como teléfono, las conversaciones a través de Messenger, Whatsapp, Privados, Hangouts. Has dado acceso a los emails. Has cedido tus fotos. Has mostrado intereses en cosas, en actos, eventos, gustos… Y a las aplicaciones de terceros (que nunca has leído ni modificado a qué tienen acceso) también les has cedido datos para ser utilizados. Y cuidado, acceder a una página web fuera de Facebook, o a una Wifi gratuita gracias a tu cuenta de Facebook supone dar acceso a tus datos a esos terceros.
Por norma general los usuarios de internet son muy laxos respecto al uso de sus datos, a la cesión de los mismos, a la responsabilidad, guarda y protección de sus datos personales. Y luego vienen los sustos y las suspicacias.
Si te llega publicidad sobre una marca que has buscado o que te interesa en Google, en Facebook o en cualquier red social, es porque has hecho una búsqueda, y has aceptado que haya cookies instaladas en tu ordenador o tu móvil, de sesión, de privacidad, etc.
Entonces, ¿si yo, sin saberlo, le he dado todos estos permisos y datos a todas estas plataformas qué hago o cómo lo soluciono? Lo primero que hay que hacer es ser consciente de ello. De cada información que se comparte, cómo se comparte y para qué se comparte. El dato que no se quiera ceder es mejor no introducirlo. Lo segundo es leer todo intento de acceso a nuestros datos, plantearse para qué, cómo, y en caso de que no se esté de acuerdo, no instalar la aplicación. Lo tercero es acceder (investigando) a los repositorios de aplicaciones de terceros (en Facebook, en Google, en Whatsapp, en Twitter) y comprobar qué aplicaciones tienen acceso, cómo, para qué, rescindir acceso a datos, o eliminar dichas aplicaciones. También (en Google y Facebook sobre todo), hay que revisar a qué tienen acceso y configurar la privacidad de la forma más restrictiva posible.
Nuestros datos valen dinero. Nosotros somos los principales responsables de su guarda y custodia. No podemos exigir a terceros un compromiso que nosotros no hemos cumplido con nosotros mismos
Pero lo más importante, tenemos que ser conscientes de que Facebook, Google, Whatsapp, Instagram, Twitter… son aplicaciones “gratuitas”. Pero son empresas, con miles de trabajadores, nóminas, gastos… Sus sistemas de publicidad, tráfico, etc… funcionan porque tratan con datos de personas, porque generan perfiles perfectos, porque se puede compartimentalizar una campaña llegando a niveles de granularización y cualificación de usuarios impensables en el marketing de hace 20 años. En castellano se diría “nadie da duros a cuatro pesetas”. No se trata de desconfiar, se trata de ser conscientes. En internet, las empresas punteras funcionan con la máxima “tanto sabes, tanto vales”. Empecemos a ser conscientes de ello, antes de lanzarnos a llorar o arrancarnos las vestiduras cual fariseos. Nuestros datos valen dinero. Nosotros somos los principales responsables de su guarda y custodia. No podemos exigir a terceros un compromiso que nosotros no hemos cumplido con nosotros mismos.
Hace falta que tomemos conciencia de ellos. Que nuestros políticos tomen conciencia de ello y que se eduque en la importancia de la protección digital y la ciberseguridad desde etapas tempranas de la educación obligatoria. Nos estamos jugando nuestro futuro.
