Bloc de la directora | Esther Mitjans

En el món virtual tot és públic per defecte

Esther Mitjans — Thu, 29 Mar 2012 12:47:14 +0200

La noció tradicional del que és públic i del que és privat ha canviat amb la prevalença de les tecnologies i la popularitat de les xarxes socials, com també han canviat les expectatives de privacitat. Això permet als operadors justificar i proclamar que tota la informació ha de ser pública i compartida. Certament, Internet dóna uns instruments de participació sense precedents, però també dóna un poder sense precedents als proveïdors i corporacions que controlen la seva infraestructura.

No s'entén suficientment el poder de les dades personals que es comparteixen i com això configurarà el futur de la societat. Cal trobar un equilibri entre tecnologia, legislació, interessos dels consumidors i formació dels ciutadans. I hem d'actuar de manera proactiva, per preservar l'entorn d'informació que les tecnologies han creat, d'imprevistos encara poc coneguts.

El que es fa i es diu a Internet té un impacte directe sobre l'espai físic i el que passa al carrer es difon immediatament a la web, on el que es genera torna un altre cop al carrer. Certament, no hi ha separació entre el món físic i virtual: tot és realitat, només que expressada i gestionada amb mecanismes diferents.

En el món físic, tot és privat per defecte i si volem que sigui públic hem d'actuar, ja sigui publicant un text escrit o aixecant la veu. En l'entorn virtual, al contrari, tot és públic per defecte i si volem que sigui privat hem d'actuar, configurar l'opció més garantista i, en tot cas, pensar-ho bé abans de publicar informació personal.

Les innovacions tecnològiques permeten una fàcil acumulació que fa més difícil oblidar que recordar. De fet, la tendència natural de la humanitat a oblidar ha girat cap a una absoluta capacitat de recordar en l'entorn virtual. I així, qualsevol petit error oblidat pel pas del temps ara es manté i pot condicionar excessivament el present de les persones.

Els menors es preocupen de la seva privacitat, encara que no vulguin renunciar a la seva vida social a la xarxa. No són suficientment conscients que el risc per a la privacitat no és tant la informació que es comparteix, com el que es pot deduir o interpretar d'algú basant-se en les seves relacions socials i actuacions diàries. Davant d'aquestes innovacions tecnològiques, les autoritats de protecció de dades han de seguir essent vigilants de la privadesa i promoure que aquestes innovacions s'avaluïn de manera sistemàtica, per mesurar si compleixen amb el dret fonamental dels ciutadans a la protecció de les seves dades personals.

La nova proposta normativa i la infància

Esther Mitjans — Wed, 29 Feb 2012 12:22:49 +0100

S'han generat nombrosos debats i reflexions entorn als beneficis o riscos que les xarxes socials comporten i sobre com intentar trobar eines que ajudin a minimitzar aquests riscos i augmentar-ne els beneficis.

En aquest context pren especial rellevància el dret a l'oblit, que ha recollit la proposta de Reglament europeu, que fa poques setmanes va sortir publicada i que remarca que aquest dret és especialment pertinent si els interessats havien donat el seu consentiment essent nens: durant la infantesa, no s'és plenament conscient dels riscos que implica el tractament de les dades personals.

Actualment, a Europa, la vigent directiva 95/46 CE no estableix una regulació específica. En canvi als Estats Units, menys sensibles a la privacitat, la COOPA (Children's Online Privacy Protection Act) fa temps que es va imposar a tots els operadors.

La proposta de Reglament incorpora de manera directa garanties per als menors, com per exemple:

Indica que els nens mereixen una protecció específica respecte de les seves dades personals, atès que poden ser menys conscients dels riscos i les conseqüències i desconeixen les garanties i els drets en relació amb el tractament de les dades personals.
A l'hora de valorar l'interès legítim del responsable com a base per a un tractament de dades, s'indica que cal tenir especial cura si l'interessat és un menor i torna a recordar que els infants mereixen una protecció específica.
És especialment important la referència a la necessitat que la informació que es faciliti al nens respecte del tractament de les seves dades sigui en un llenguatge clar i planer, que puguin entendre amb facilitat.
Regula noves condicions de licitud per al tractament de les dades de menors, en relació amb els serveis de la societat de la informació que se'ls ofereixin directament:

consentiment autoritzat per a menors de 13 anys,
criteris i condicions per verificar el consentiment, etc.

Es prohibeix l'elaboració de perfils per mitjà d'un tractament automatitzat, en el cas dels nens.

En definitiva, no podem oblidar que, quan parlem dels menors, evitar la vulneració del dret i prevenir-la no és una mera qüestió de present.

La dignitat, la llibertat i el lliure desenvolupament dels que ara són nens poden trontollar si, en un futur, el passat que creien oblidat i esborrat retorna a les seves vides amb la força del present que poden portar les tecnologies.

Dret a l’oblit

Esther Mitjans — Wed, 01 Feb 2012 12:38:30 +0100

L'anomenat dret a l'oblit és molt suggerent i aixeca moltes expectatives, especialment després que la UE l'hagi previst en l'actual revisió de la Directiva Europea.

L'oblit el considerem com un dret nou, o simplement com una potenciació i adequació a la realitat d'Internet dels drets que es recullen en la legislació espanyola vigent de protecció de dades? Em refereixo especialment al dret de cancel·lació o esborrat de dades personals, enfront els límits imposats pel model d'Internet.

Crec que convé diferenciar entre necessitat humana i dret. Un dret implica el reconeixement jurídic d'una necessitat de les persones, que ha assolit un ampli consens i que, a més, és realista satisfer-lo. El reconeixement jurídic significa donar instruments per garantir aquest dret. Fins a quin punt tenim instruments jurídics a la xarxa davant d'un passat que pot pesar excessivament?

Actualment, a la xarxa, no hi ha suficients instruments jurídics per garantir el dret a l'oblit, perquè estem davant d'un problema d'abast mundial. Són necessaris uns estàndards de privacitat, el més globals possible, que obliguin els proveïdors d'Internet a complir amb les normes, més enllà d'un territori determinat. Tampoc estava previst que el màrqueting personalitzat o les xarxes socials consideressin les dades personals com una mina d'or per poder adaptar els seus productes als gustos dels usuaris, cosa que els permet planificar amb més precisió la publicitat i aconseguir guanys importants.

Respecte de les dades personals que pengen tercers, s'ha de tenir en compte el dret a la llibertat d'expressió i el dret a la informació. Als Estats Units i, en general, als països del Common Law, hi ha una identificació d'aquests drets l'essència de la democràcia, mentre que a Europa hi ha més flexibilitat. Crec que tenim "dret" a que la llibertat d'expressió i el dret a la informació no siguin drets absoluts. Entre altres coses, perquè cap dret no ho és.

Les empreses de tecnologia s'aprofiten de la idealització d'aquests drets per defensar els seus interessos econòmics i, així, acusen de censura a la llibertat d'expressió qualsevol obligació d'atendre els drets dels usuaris respecte de les dades.

En definitiva, si els cercadors com Google i altres converteixen el passat en un present continu, permanent, com evitar que el pes del passat sigui excessiu?
El problema és que no està clar quina legislació garantirà el dret, si aquesta és l'opció, o quina legislació imposarà l'obligació als cercadors, si és això el que sembla més eficaç. Ho aconseguirà la nova normativa europea?
Sigui com sigui, el cert és que sense memòria no es pot viure, però és també l'oblit el que fa la vida suportable.

El Facebook del Futur

Esther Mitjans — Fri, 02 Dec 2011 12:03:09 +0100

Els Estats Units d'Amèrica demanen responsabilitats a Facebook. El que ja va fer el Canadà fa un temps, exigir a la xarxa social que no es rentés les mans davant els tractaments de dades personals dels seus usuaris, ara ho fa el país on la xarxa té la seu. Les gestions de la Federal Trade Commission (la comissió federal de comerç americana) han acabat imposant a Facebook avaluacions periòdiques relatives a les seves pràctiques en matèria de privacitat durant vint anys.
Estem davant d'una nova era de les xarxes socials.

Aquesta segona etapa ja es manifesta com una fase de maduresa indiscutible de les noves eines de comunicació, les xarxes socials. Fins ara ens han sorprès amb tots els avantatges que suposen, però també han generat als usuaris i a les autoritats de protecció de dades gran desconfiança, per la prepotència i ambigüitat amb què han manegat i tractat les dades personals dels seguidors.
Això s'ha acabat.

Facebook ha respost a les acusacions d'haver estat enganyant els consumidors assegurant que deixarà que els usuaris decideixin sobre la privacitat de la seva informació personal, molt més enllà de les opcions establertes en l'actualitat.
Altres proveïdors ja ho fan: Google + ja es va presentar amb aquesta característica diferenciadora: potenciar la privacitat per defecte.
Facebook no té més remei que canviar. Si a casa seva, als Estat Units, l'hi demanen responsabilitats, la resta de països han de seguir la mateixa sort.

Facebook delata els amics que no ho són tant

Esther Mitjans — Wed, 28 Sep 2011 14:57:59 +0200

Facebook ha incorporat un petit historial de l'activitat dels usuaris a la xarxa, deixant al descobert si hem rebutjat alguna sol·licitud d'amistat o hem eliminat algú. Per tant, les persones que abans formaven part del nostre grup d'amics a la xarxa, però que per algun motiu han deixat de ser-ho, s'assabentaran d'aquest fet.

En conseqüència, amb la nova aplicació que incorpora la xarxa social amb més usuaris d'Internet, encara perdem més el control sobre les nostres dades. Tenint en compte aquestes noves aplicacions, amb els canvis que això suposa, hem de ser més conscients de quina informació nostra facilitem i a qui la facilitem.

El nou control de les dades personals

Esther Mitjans — Fri, 08 Jul 2011 14:36:47 +0200

Vivim en un entorn de canvis constants. Les anomenades noves tecnologies (que ja no són noves) ens aboquen a situacions incontrolables en referència a la nostra privacitat.
En un parell de mesos, empreses amb recursos pràcticament il·limitats han vist vulnerades les seves mesures de seguretat d'una manera estrepitosa i s'han perdut milers, milions de dades personals: em refereixo, per exemple, a Sega, Sony, Mastercard, i fins i tot la mateixa CIA.

Davant d'aquests fets i sabent que les dades es mouen a una gran velocitat per la xarxa, mitjançant aplicacions, noves formes de negociar, etc., només ens resta una opció: els mateixos usuaris s'han de convertir en experts de seguretat. No vull dir amb això que tots, de cop, hàgim de ser informàtics, però hem de ser prou experts com per poder controlar les nostres dades a la xarxa o, com a mínim, als llocs que habitualment visitem. Només nosaltres mateixos podem ser els grans gestors de la nostra informació personal.

A més, evidentment, les autoritats de protecció de dades hem de treballar conjuntament per assolir valors compartits i una missió comuna: la creació d'uns estàndards internacionals, que han de permetre que el control de la informació personal no tingui límits geogràfics. L'objectiu és que les normes, els estàndards i les metodologies tinguin una cobertura similar a tot arreu del món. D'això tractarà la propera Conferència Internacional d'Autoritats de Protecció de Dades, que tindrà lloc a Mèxic a la tardor. S'han de construir les relacions i les eines necessàries per protegir les dades de les persones, independentment de la cultura, les fronteres nacionals o els reptes derivats dels usos innovadors de la informació. Però, malgrat tot això, s'ha de tenir clar que l'èxit en aquest nou control de les dades personals depèn, en gran mesura, del que pot fer el mateix usuari.

Una web comercial pot emmagatzemar dades personals i bancàries?

Esther Mitjans — Wed, 29 Jun 2011 12:25:59 +0200

Amb el desenvolupament del comerç electrònic, els usuaris d'Internet han de facilitar informació sobre les targetes de crèdit (número de targeta, codi de seguretat, etc.) per fer compres o vendes per Internet.

Les webs comercials poden mantenir les dades personals dels usuaris sempre que n'hagin obtingut el consentiment exprés i hagin informat de l'objectiu de la recollida i emmagatzematge de les dades personals.

La recomanació del CNIL, l'autoritat francesa de privacitat, és que les dades bancàries s'han d'esborrar una vegada s'ha efectuat la transacció. D'aquesta manera es redueix l'ús fraudulent de les targetes de crèdit.

A més del número de la targeta i del codi de seguretat de tres dígits al revers de la targeta, per verificar el titular, sovint també demanen la data de naixement. Tots són mecanismes per verificar l'autenticitat del portador de la targeta però, davant d'aquesta recollida massiva de dades, el CNIL recomana utilitzar mecanismes autentificació personal que es puguin fer servir només una vegada.

Per a més informació, podeu llegir la notícia.

Facebook activa un sistema d'identificació automàtica de persones en fotos

Esther Mitjans — Fri, 10 Jun 2011 13:26:27 +0200

Facebook, la gran eina de comunicació dels nostres dies, segueix el seu camí implacable cap al control de les nostres vides.

Ara ja ho fa de manera directa i descarada.

Ara ja no s'atura davant d'un hipotètic incompliment de la llei i activa un sistema d'identificació de persones en fotos sense avisar als usuaris ni demanar permís. El servei, que funciona des del desembre als Estats Units, suggereix a qui corresponen les cares que apareixen en les fotos que publica un usuari (les persones que apareixen han de ser amics i haver estat etiquetades abans en altres fotos), i després es valida la identificació.

Això suposa que Facebook ha trencat unilateralment el seu contracte amb els usuaris, ja que ha modificat la política de privacitat. Ha trencat les condicions la qual cosa suposa una falta de lleialtat implícita en la seva relació amb els 500 milions d'usuaris que la xarxa té arreu del món.

Ara ja qualsevol et pot trobar en qualsevol fotografia encara que no hagi estat etiquetada. És una llàstima perquè si es protegís adequadament la privacitat, la xarxa seria una eina millor, plena de grans avantatges.

Cal que els usuaris siguin curosos, que segueixin i controlin la seva informació a Internet, tant la que pengin d'ells mateixos, com la que poden penjar altres persones.

S'hauria de posar en marxa un criteri de "privacitat per defecte" i els usuaris, juntament amb les Autoritats de Protecció de Dades, hem de fer força per aconseguir la seva implementació.

Una bona transparència afavoreix la protecció de dades

Esther Mitjans — Fri, 10 Jun 2011 13:20:06 +0200

Habitualment, quan es tracta el tema del dret a l'accés a la informació, a la transparència i del dret a la protecció de dades es fa per enfrontar-los o en el millor dels casos, per posar de manifest la necessitat de ponderar, d'establir un equilibri que garanteixi l'eficàcia d'ambdós drets.

Les autoritats de protecció de dades sabem que la transparència està vinculada al dret a la protecció de dades personals. Tot i que de vegades se'ns acusa d'anar en contra de la transparència, la pràctica demostra que en nombroses ocasions, quan s'han plantejat supòsits de col·lisió entre dos drets, la resolució del cas ens ha portat a donar prioritat al dret d'accés a la informació, tot i establir certs matisos per garantir, també, l'essència del dret a la protecció de dades personals. Com ja va assenyalar la Cort Suprema del Canadà el 2002, es tracta de les dues cares de la mateixa moneda.

El que pretén la protecció de dades és garantir que les persones adequades tinguin la informació adequada per a les finalitats adequades. Es tracta doncs d'analitzar sota quines condicions es dóna informació i a qui, quin tipus d'informació es proporciona i amb quina finalitat.

La gestió de la informació es legitima promovent els fluxos informatius adequats i evitant els perjudicials: què és el que ha de ser promogut i què ha mantenir-se en la confidencialitat.
Cal recordar que, en una societat democràtica, els que han de ser transparents són els poders públics. La llibertat d'expressió i de premsa no són suficients per controlar les actuacions polítiques. Cal tenir la informació necessària per conèixer el fonament de les seves decisions i per debatre de forma intel·ligent sobre les seves polítiques. Retre comptes és que els ciutadans tinguin informació sobre el funcionament del govern. I en això consisteix la veritable redistribució de poder que tenim pendent.

Per tant, la transparència o accés a la informació pública no és tant un repte a la privacitat, com un element necessari en el procés d'equilibrar els interessos públics amb les necessitats de la persona, amb la finalitat de generar una definició útil i satisfactòria del dret a la protecció de dades personals.

La protecció de les dades genètiques

Esther Mitjans — Tue, 03 May 2011 14:50:02 +0200

Les dades genètiques són úniques i s'han convertit en un factor rellevant en el sector sanitari i policial. A través de l'ADN, s'identifica el caràcter únic de cada persona, de manera que s'ha de tractar amb extremada precaució i adoptar les mesures necessàries per tutelar els drets fonamentals que s'hi poden veure afectats, com el dret a la pròpia intimitat i al de la família, el dret a la integritat física i psíquica i el dret a la protecció de dades.

A Europa, s'està plantejant la possibilitat d'incorporar aquesta informació genètica al DNI. És excessiu? Fins ara el Ministeri de l'Interior només disposa de la petjada genètica de sospitosos d'estar implicats a un delicte. Cal que tots els ciutadans estiguin registrats en una base de dades policial? Uns diuen que així es facilita la investigació criminal i d'altres, que ataca el dret a la privacitat, ja que les dades genètiques són dades especialment sensibles que es consideren relatives a la salut. Per exemple, són dades que sobrepassen el titular, ja que tenen una dimensió individual, una dimensió familiar i una dimensió universal o col·lectiva. Per les seves particularitats, les dades genètiques han d'acollir-se a un principi de finalitat i proporcionalitat i requereixen un consentiment previ, precís i informat, del titular.

En l'actualitat, la policia ja disposa de l'empremta dactilar, la targeta sanitària o el carnet de conduir. No és suficient? Països com el Regne Unit o Holanda han impulsat la implantació de fitxers i carnets d'identitat amb dades genètiques, però finalment han fracassat perquè l'emmagatzematge d'una mostra d'ADN viola els drets a la privacitat. A més, la creació d'un banc genètic d'aquestes dimensions no és proporcional a la finalitat per a la qual ha estat creat, que és la lluita contra el crim.