Uno de los principales problemas a la hora de explicar a la ciudadanía la necesidad de que Paraguay cuente con una ley de protección de datos personales es justamente ese, que vean como un problema que sus datos estén expuestos, repartidos, comercializados y constantemente trazados por “alguien más”, “con otros fines” y “lucrando” por esto, sí, leyeron bien, “alguien” gana mucho dinero con “nuestros” datos.
Esta falta de concientización viene acompañada de algunos mitos urbanos, dentro de los cuales los más arraigados son:
1) A mí no me va a pasar.
2) Yo no tengo nada en mi celular como para que se interesen en mí.
3) Yo no comparto nada que me comprometa.
4) Apenas uso Internet en el celular.
5) Nada tengo que esconder.
6) Nuestros datos personales ya están en todas partes.
7) Las empresas hacen lo que quieren con nuestros datos personales.
Estos mitos urbanos caen por su propio peso a medida la tecnología avanza y empieza a relacionar la privacidad personal con la vida pública de la gente, presentando actores de amenazas con ataques como la “Suplantación de Identidad” donde, gracias a un poco de Ingeniería Social y a muchos datos innecesariamente compartidos, las identidades suplantadas adquieren bienes o créditos, y quien tiene que pagarlos después es el dueño legítimo de la identidad.
La recolección de datos personales no es algo nuevo. Prácticamente y, desde los inicios de la Cibernética con Norbert Wiener (1948), se habló del “feedback”, la retroalimentación, como un proceso de análisis en base a datos recolectados, interacción, comunicación y canales. Si bien el objetivo de Wiener era construir máquinas al servicio de la humanidad (de hecho, se adelantó 20 años a la primera PC), el concepto del “control mediante mensajes” siempre estuvo bajo la sombra de la manipulación en manos equivocadas y, con la suficiente dosis de “feedback” basado en recolección de datos, documentación de reacciones, patrones y conductas, esto no era descabellado.
Internet marca un punto de inflexión en todo esto, la puerta a la interconectividad, a la inmediatez, a las nuevas bases de la automatización de la información y ahora con herramientas de Inteligencia Artificial, literalmente, en la palma de la mano.
Primero definamos qué es un “dato personal”.
La Comisión Europea tiene la siguiente definición: Los datos personales son cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal.
Particularmente, la definición que más me gusta, es: llamamos dato personal a cualquier información o conjunto de datos que, de forma directa o indirecta, pueden ser alineados como propiedad de una persona física y, de esta forma, identificarla inequívocamente. Se da también el concepto del “Data Owner” o Propietario de Datos, que tiene que ver con aquella persona física (o jurídica) que ejerce la acción de propiedad o dominio del dato. Es decir, ejerce posesión y control sobre el dato mediante la facultad de poder interactuar o modificar a voluntad las tres propiedades de los mismos: integridad, confidencialidad y disponibilidad.
Segundo, la historia.
Algunos recordarán a Netscape, líder entre los navegadores allá por 1994, bueno, fue desde allí que surge la primera “automatización masiva” en recolección de datos con algo que usamos hasta hoy, las famosas “cookies”. Una “cookie” es un archivo que contiene información de intercambio entre el usuario y el proveedor de servicios. Hoy día este concepto ha tenido una importante evolución y muchas empresas hacen de las “cookies” un verdadero repositorio de información personal. Se desarrollaron como una herramienta que recolectaba datos personales en aras de mejorar la calidad de experiencia del usuario (en realidad ese eufemismo se sigue utilizando), pero terminaron siendo usadas, las cookies, como punta de lanza de servicios digitales muy invasivos.
¿Cómo pasamos de tratar datos de navegación en un archivo de texto a reconocimiento biométrico, evaluación de datos gestuales o recomendación algorítmica, pudiendo el tratamiento de toda esta información hacernos plena e inequívocamente identificables? Los sensores en nuestros dispositivos, esa es la respuesta.
Hoy, en cualquier Smartphone, contamos con una serie de sensores que recolectan información personal: acelerómetro, barómetro, giroscopio, GPS, lector de huella dactilar, lector de iris, podómetro, sensor Hall o magnetómetro, sensor de proximidad, sensor de luz ambiental, sensor de ritmo cardíaco, sensor infrarrojo/bluetooth, micrófono. Esos son los espías, y claro que nos escuchan y no solamente por el micrófono.
¿Se dan cuenta? Pasamos de poder ser identificados por el nombre, un número de documento o de celular a ser identificados por sistemas de Inteligencia Artificial que pueden recoger biometría, gestos, y señalarnos por la forma de caminar, la forma de firmar autógrafa, la voz, las reacciones de expresión o la velocidad de tipeo en un teclado.
Una ley de protección de datos personales es un punto de enfoque para datos físicos, digitales, crediticios, financieros, médicos, esto es, se constituye en una solución global, abarcativa, para todos. No es absurdo pensar que podemos como país tener una Agencia Nacional de Protección de Datos, que vele por nuestros intereses, de forma independiente, con profesionales preparados, recursos y mecanismos acordes a este siglo. Proteger nuestros datos personales no significa solamente saber qué hacen las empresas con la información sensible que recolectan de nosotros, no, significa también pedir al Estado que rinda cuentas, significa involucrarnos como ciudadanos en la construcción de la Soberanía Digital del país, proteger a nuestros hijos de los peligros de la interconectividad, y sanear la salud digital de la sociedad paraguaya. Hoy estamos expuestos, desprotegidos y a merced de mucha confusión legislativa que malentiende la tecnología como la panacea de muchos problemas que, más bien, requieren antes una concertación social.
Seguros médicos, supermercados, bancos, escuelas, colegios, cooperativas, clubes, iglesias, partidos políticos, cualquier escenario donde estemos está interesado en nuestros datos. Hoy estamos desprotegidos, desinformados, expuestos. Cambiemos eso.
#TusDatosValen