La privacidad vista desde el otro lado

9 Dic

Hace unas semanas, dentro de las actividades del máster, tuvimos ocasión de escuchar a José López Calvo, subdirector de Inspección de la Agencia Española de Protección de Datos (AEPD), hablar sobre la protección de datos personales en Internet.

López Calvo expuso una visión convencional del asunto desde el punto de vista de una autoridad de control, como es la AEPD, recordando cuáles son los principios en los que se basa la legislación vigente al respecto (información, consentimiento, calidad de los datos, seguridad…) y alertando sobre los riesgos que nuestra cada más frecuente y continua presencia en la Red, en particular en las distintas redes sociales, supone para nuestra privacidad.

Es decir, hasta cierto punto, y salvando las distancias, lo mismo que cuento yo cuando me toca salir de sarao por la región de cuyo nombre no quiero acordarme… :)

Creo que este es uno de los asuntos centrales del momento que estamos viviendo en la evolución de la Red. Sin ir más lejos, porque es en cierta medida el campo de batalla de la lucha entre dos gigantes como Facebook y Google por ver quién controla nuestra identidad online y, sobre todo, quién extrae de ella los dólares que los anunciantes están dispuestos a pagar por mensajes publicitarios cada vez más específicos para cada uno de nosotros, que tienen en cuenta no sólo qué hemos introducido en el campo de texto del buscador, sino cuáles son nuestros intereses, aficiones, dónde vivimos, con quién nos relacionamos. En definitiva, quiénes somos.

Aún estamos asumiendo el cambio que ha supuesto la irrupción en los últimos años de fenómenos masivos como MySpace, Facebook, Foursquare o Twitter. A mí me llama la atención cómo estos servicios han conectado con una necesidad generalizada de compartir detalles de nuestra vida, cosas que antes sólo conocían unos pocos familiares o amigos cercanos, pero en muchos casos más por dificultades materiales, de logística, que por voluntad de restringir el acceso a esa información a unos pocos elegidos (¿Quién no recuerda esas interminables sesiones de fotos a la vuelta de un viaje? Y lo que hemos ganado ahora que podemos fingir que las hemos visto todas, y sin tener que poner cara de asombro o envidia, en Flickr, en Picasa, o en el propio Facebook…)

Pienso que estamos todavía creando normas sociales que regulen cómo nos manejamos en este nuevo espacio. Por ejemplo, hay quien afirma que los jóvenes no valoran la privacidad, que están encantados de exponerse continuamente ante sus “amigos” (ni siquiera sé si tenemos claro qué significa realmente esta palabra ahora), de aparecer en las cientos de fotos que hacen, ellos o sus amigos, con sus smartphones. No he estudiado los datos que existen al respecto, pero dudo que la cosa sea tan así: estoy seguro de que en esta nueva forma de interacción social, como en todas las que vinieron antes o conviven con ella, hay mucho de relación de poder, de necesidad de aceptación, de pertenencia al grupo… No dudo que las reglas hayan cambiado, lo que no me creo es que no existan reglas. (Para entender mejor los matices de estos asuntos, en particular en relación con los jóvenes, es muy recomendable leer a danah boyd, investigadora sobre redes sociales en Microsoft. Por ejemplo, esta charla que dio hace unos meses: “Making Sense of Privacy and Publicity“.)

Otra opinión muy extendida es la de que es inevitable que cedamos parte de nuestra privacidad a las empresas que gestionan los espacios en los que nos comunicamos.

A este supuesto es al que se enfrenta Doc Searls, a quien ya he mencionado aquí más de una vez, en un post titulado Do we have to trade-off privacy? que me parece revelador de la situación de nuestra privacidad online. Searls nos recuerda que nosotros, nuestros datos, somos el producto que las redes sociales ofrecen a sus clientes, los anunciantes. Y sigue:

The issue here isn’t how much our privacy is worth to the advertising mills of the world, or to intermediaries like FourSquare. It’s how we maintain and control our privacy, which is essentially priceless—even if millions of us give it away for trinkets or less. Privacy is deeply tied with who we are as human beings in the world. To be fully human is to be in control of one’s self, including the spaces we occupy.

[Lo importante aquí no es cuánto vale nuestra privacidad para los anunciantes, o para intermediarios como Foursquare. Es cómo preservamos y controlamos nuestra privacidad, que básicamente no tiene precio aunque millones de nosotros la regale a cambio de minucias. La privacidad guarda una estrecha relación con quiénes somos como seres humanos en el mundo. Ser completamente humano es tener control sobre uno mismo, incluyendo los espacios que ocupamos.]

Searls da por supuesto algo que una interesantísima serie de publicaciones del Wall Street Journal sobre privacidad online titulada “What They Know” ha puesto claramente de manifiesto en los últimos meses: en la práctica, muchos de quienes intervienen en el negocio de la publicidad online ignoran o violan sistemáticamente la privacidad de los usuarios. Y explica el motivo estructural:

Individuals have no independent status on the Web. Instead we have dependent status. Our relationships (and we have many) are all defined by the entities with which we choose to relate via the Web. All those dependencies are silo’d in the systems of sellers, schools, churches, government agencies, social media, associations, whatever. […] You have to deal with all of them separately, on their terms, and in their spaces. Those spaces are not your spaces. […]

What I’m saying here is that, on the Web, we do all our privacy-trading in contexts that are not out in the open marketplace, much less in our own private spaces […]. They’re all in closed private spaces owned by the other party—where none of the rules, none of the terms of engagement, are yours. In other words, these places can’t be private, in the sense that you control them. You don’t. And in nearly all cases (at least here in the U.S.), your “agreements” with these silos are contracts of adhesion that you can’t break or change, but the other party can—and often does.

These contexts have been so normative, for so long, that we can hardly imagine anything else, even though we have that “else” out here in the physical world. We live and sleep and travel and get along in the physical world with a well-developed understanding of what’s mine, what’s yours, what’s ours, and what’s none of those. That’s because we have an equally well-developed understanding of bounded spaces. These differ by culture. In her wonderful book French or Foe, Polly Platt writes about how French proxemics—comfortable distances from others—are smaller than those of Americans. The French feel more comfortable getting close, and bump into each other more in streets, while Americans tend to want more personal space, and spread out far more when they sit. Whether she’s right about that or not, we actually have personal spaces on Earth. We don’t on the Web, and in Web’d spaces provided by others. […]

So one reason that privacy trading is so normative is that dependency requires it. We have to trade it, if that’s what the sites we use want, regardless of how they use whatever we trade away.

The only way we can get past this problem (and it is a very real one) is to create personal spaces on the Web. Ones that we own and control. Ones where we set the terms of engagement. Ones where we decide what’s private and what’s not.

[Los individuos no tenemos un estado independiente en la Web. En su lugar, tenemos un estado dependiente. Todas nuestras relaciones (y tenemos muchas) vienen definidas por las entidades con las que escogemos relacionarnos a través de la Web. Todas estas dependencias se guardan en los silos de los vendedores, escuelas, iglesias, agencias gubernamentales, redes sociales, asociaciones, etcétera. […] Tienes que tratar con ellos por separado, según sus condiciones y en sus espacios. Esos espacios no son los tuyos. […]

Lo que quiero decir es que, en la Web, cedemos nuestra privacidad en contextos que no están en un mercado abierto, menos aún en nuestros propios espacios […]. Están todos en espacios privados cerrados propiedad de la otra parte —donde ninguna de las reglas, ninguno de los compromisos, son tuyos. Dicho de otro modo, esos lugares no pueden ser privados, en el sentido de que tú los controlas. No es así. Y en casi todos los casos (al menos aquí en EEUU), tus “acuerdos” con esos silos son contratos de adhesión que tú no puedes romper o cambiar, pero la otra parte sí —y con frecuencia lo hace.

Estos contextos han sido tan habituales, durante tanto tiempo, que nos cuesta imaginarnos otra cosa, aunque esa “otra cosa” la tenemos en el mundo físico. Vivimos y dormimos y viajamos y nos tratamos en el mundo físico con un acuerdo bien asentado de lo que es mío, lo que es tuyo, lo que es nuestro y lo que no es nada de eso. Es así porque tenemos un acuerdo igualmente bien fundado de qué se entiende por espacios acotados. Hay diferencias culturales. En su maravilloso libro French or Foe, Polly Platt escribe sobre cómo la proxémica de los franceses—la distancia entre unos y otros a la que están cómodos— es menor que para los estadounidenses. Los franceses están más cómodos acercándose, y se chocan más unos con otros en la calle, mientras que los estadounidenses tienden a querer más espacio personal, y se separan más entre sí cuando se sientan. Tenga razón o no, lo cierto es que tenemos espacios personales en la Tierra. No así en la Web, ni en los espacios Web que otros nos proporcionan. […]

Así pues, una de las razones por las que esta concesión es tan habitual es que la dependencia lo hace necesario. Tenemos que comerciar (con nuestra privacidad), si eso es lo que los sitios web quieren, independientemente de cómo utilicen lo que les demos.

La única forma de superar este problema (que es muy real) es crear espacios personales en la Web. Espacios que nosotros poseamos y controlemos. Espacios donde nosotros dictemos las condiciones. Espacios donde nosotros decidamos qué es privado y qué no.]

Al pensar en privacidad en general, tendemos (al menos, yo tiendo, supongo que por deformación profesional) a situarnos en el lugar de las organizaciones que por el hecho de tratar datos personales tienen, de acuerdo con la legislación europea, una serie de obligaciones relacionadas con el manejo de los datos, y dedicamos el tiempo a buscar maneras para que dichas organizaciones mejoren su grado de respeto de este derecho fundamental de los individuos (Privacy by design, Privacy Enhancing Technologies…).

Lo que me sorprendió y me pareció tan interesante es que Searls parte desde el otro lado, desde el individuo. Él proviene del mundo de la publicidad (de hecho, es coautor del Cluetrain Manifesto, clásico de la publicidad online), y el trabajo que lidera, el Proyecto VRM (Vendor Relationship Management), del Berkman Center de la Universidad de Harvard, está orientado a la relación entre empresas y consumidores, aunque yo entiendo que se podría generalizar a otro tipo de organizaciones. De hecho, su nombre, VRM, juega con el de los actuales CRMs (Customer Relationship Management) de las empresas, es decir, de la oferta, que los VRMs vendrían a complementar desde el lado de los clientes, de la demanda.

El proyecto parte del convencimiento de que “los clientes libres son más valiosos que los cautivos —para ellos mismos,  para los vendedores y para el conjunto de la economía” y, para que sean libres:

1. Las relaciones han de ser voluntarias.
2. Los clientes deben establecer relaciones con los vendedores como actores independientes.
3. Los clientes deben ser los puntos de integración de sus propios datos.
4. Los clientes deben controlar los datos que generan y acumulan. Deben poder compartir los datos de forma selectiva y voluntaria, y controlar las condiciones de su uso.
5. Los clientes han de poder imponer sus propias condiciones de relación y de servicio.
6. Los clientes han de poder expresar sus exigencias e intenciones fuera del control de cualquier compañía.

Estos principios se traducen en los siguientes objetivos:

1. Proporcionar a los individuos herramientas para gestionar sus relaciones con las organizaciones. Estas herramientas son personales, esto es, pertenecen al individuo en el sentido de que están bajo su control. También pueden ser sociales, en el sentido de que pueden conectar con otros y permitir la creación y la acción de grupos. Pero deben ser personales antes.
2. Hacer que los individuos sean el centro de recopilación de sus propios datos, de manera que los historiales de transacciones, las historias clínicas, la información de los detalles de afiliación, los contratos de servicios y otras formas de datos personales no estén dispersos en multitud de silos separados.
3. Proporcionar a los individuos la capacidad para compartir datos de forma selectiva, sin revelar más información personal de la que el individuo permita.
4. Proporcionar a los individuos la capacidad de controlar cómo otros utilizan sus datos, y durante cuánto tiempo. A discreción del individuo, esto puede incluir acuerdo que exijan a terceros que borren los datos del individuo cuando la relación acaba.
5. Proporcionar a los individuos la capacidad de imponer sus propias condiciones de servicio, reduciendo o eliminando la necesidad de condiciones de servicio escritas por la organización que nadie lee pero todos tienen que “aceptar” de todos modos.
6. Proporcionar a los individuos los medios para expresar su demanda en el mercado abierto, fuera de cualquier silo de una organización, sin revelar ninguna información personal innecesaria.
7. Convertir a los individuos en plataformas para los negocios abriendo el mercado a muchos tipos de servicios de terceros que sirvan tanto a compradores como a vendedores.
8. Basar las herramientas de gestión de relaciones en estándares abiertos, APIs abiertas y código abierto. […]

Finaliza Searls su post diciendo:

“Once we have those, the need for privacy trade-offs won’t end. But they will begin to make the same kind of down-to-Earth sense they do in the physical world. And that will be a huge leap forward.”

[Una vez que tengamos (estas herramientas), no cesará la necesidad de hacer concesiones con la privacidad. Pero empezará a tener el mismo sentido práctico que en el mundo físico. Y eso será un gran salto adelante.]

Ojalá tenga razón. Desde luego, creo que es un camino que merece la pena explorar.

4 comentarios to “La privacidad vista desde el otro lado”

  1. rafael herranz diciembre 12, 2010 a 1:49 pm #

    Magnífico, Marcos.
    Como es habitual, profundo y estimulante a la vez. No sólo nos llevas a materiales de interés, sino que trazas por ellos una hoja de ruta razonada.
    Una cuestión que apenas tratas, y que a mí me parece importante. Un factor central al hablar de intimidad (privacy) es el consentimiento. ¿No ha cambiado radicalmente nuestra idea de “consentimiento” en la red? ¿Hasta qué punto es cierto que consentimos o aceptamos intromisiones en nuestra intimidad sólo por acceder a ciertos entornos o aplicaciones?
    A mí me parece sobresaliente.
    Nos vemos
    Rafael.

  2. grankabeza diciembre 12, 2010 a 7:16 pm #

    Muchas gracias, Rafael :)

    Tienes razón, el consentimiento es algo fundamental. Para mí, la característica más importante es que, según la ley, ha de ser “informado”. Y no está nada claro que las cláusulas interminables y redactadas en lenguaje (¿deliberadamente?) poco comprensible informen realmente a los usuarios que utilizan los diferentes servicios web. Eso, claro, en el caso de que alguien las leyese, cosa bastante improbable.

    Sé que hay iniciativas para buscar una forma de simplificar y estandarizar estas cláusulas, de forma que sea mucho más fácil comprender quién va a tratar los datos y qué se va a hacer con ellos: no hay más que ver el ecosistema de datos personales que publicó hace unos días la FTC estadounidense dentro de su informe sobre privacidad (pdf) para ver la poquita idea que tenemos de adónde van nuestros datos.

    La normalización también permitiría a los usuarios comparar las políticas de privacidad de las distintas compañías, de forma que la privacidad pasase a ser uno de los criterios a tener en cuenta a la hora de inscribirse en uno u otro servicio.

    Un saludo.

  3. David diciembre 16, 2010 a 5:45 pm #

    ¡Pasada de entrada!

Trackbacks/Pingbacks

  1. Privacidad en la red? « Blog de Luis Morán - diciembre 14, 2010

    […] artículo sobre privacidad en la red.. Dejar un comentario LikeBe the first to like this […]

Los comentarios están cerrados.

A %d blogueros les gusta esto: