Logo La República

Viernes, 23 de agosto de 2019



FORO DE LECTORES


¿Somos los seres humanos un commodity? La multimillonaria industria de nuestros datos personales y sus consecuencias actuales

Ignacio Guzmán [email protected] | Martes 13 agosto, 2019

Ignasio Guzman

En artículos anteriores, compartí algunas impresiones sobre el acceso a los datos personales que realizan constante y sistemáticamente las grandes compañías y firmas mineras de información. Entre ellas, hemos expuesto casos de Amazon, Google, Cambridge Analytica, Facebook, Walmart, por citar unas cuantas.

Es posible que los objetivos de hacer “conectar a la gente”, como sugiere Facebook, o mejorar las experiencias de compra y búsqueda de información, como ofrecen Amazon y Google, hayan dado paso a un propósito más poderoso que es adentrarse – cada vez con mayor profundidad y precisión – en el oficio de predecir con antelación los hábitos, costumbres y decisiones de cada usuario de una plataforma digital.

O bien, otro de los nuevos propósitos sería generar perfiles para sugerir y dirigir mediante sofisticados procesos de data mining las próximas decisiones políticas o de consumo de los usuarios de éstas plataformas.

Primeros pasos firmes a nivel regulatorio

Partiendo del contexto legal, es posible que la entrada en vigencia del Reglamento General de Protección de Datos (GDPR) hace poco más de un año, fue un parte aguas que puso de relieve actividades realizadas por muchas organizaciones (de diferente naturaleza y propósito) pero que operaban dentro de una zona gris hasta ese entonces. Esta situación implicó un reto a las organizaciones –de todo tamaño - ubicadas dentro de la Unión Europea (UE), así como para aquellas domiciliadas fuera de la región, pero que ofrecen bienes o servicios en dicha zona geográfica, o bien, que monitorean el comportamiento de los ciudadanos de la UE.

Aunque no todas las infracciones conducen a penalidades, quienes incumplan lo dispuesto en la GDPR se exponen a diferentes tipos de multas administrativas que podrían alcanzar sanciones económicas muy elevadas, por ejemplo, hasta el 4% del volumen anual de negocios globales de la compañía. De igual manera, la ICO (Oficina del Comisionado de Información) cuenta con facultades suficientes para tomar una serie de acciones, entre ellas: emitir advertencias y amonestaciones; imponer prohibiciones temporales o permanentes en el procesamiento de datos; ordenar la rectificación, restricción o borrado de datos; y

suspender transferencias de datos a terceros países.

Recientemente, gracias a la GDPR, varios sectores de la industria se han visto sacudidos. La ICO multó a British Airways con £ 183.4 millones (US$ 230 millones) y a Marriott con £ 99.2 millones (US$ 124 millones) por infracciones relacionadas con la violación de datos. Las sanciones fueron las dos mayores emitidas desde la vigencia de la GDPR de la UE hasta ahora.

La sanción de British Airways fue el resultado de una violación de aproximadamente 500.000 datos de sus clientes, incluidos el inicio de sesión, la tarjeta de pago y la información de reserva de viaje, los cuales fueron desviados y cosechados por un sitio web falso entre junio y septiembre del año pasado. La violación cibernética de Marriott se originó en otra cadena de hoteles que Marriott compró posteriormente.

Por otra parte, aunque algunos propietarios de altavoces inteligentes no lo saben, Amazon guarda una copia de todo lo que Alexa registra después de escuchar su nombre. Siri de Apple y el Google´s Assistant también guardan grabaciones para ayudar a entrenar sus inteligencias artificiales y robustecer el machine learning de sus dispositivos.

Las preocupaciones respecto a Alexa tienen razones suficientes. Por citar un par de casos, Alexa mantiene un registro de lo que escucha y se supone que debe grabar solo con una "palabra de activación": "¡Alexa!". Sin embargo, en muchas oportunidades – por “confusión del comando” o imprecisiones del dispositivo – nuestras voces y conversaciones se graban sin un aviso legítimo. Aunque Amazon asegura continuar mejorando la precisión de la palabra de activación, la duda se ha instalado en diferentes sectores de la industria y los consumidores.

En diciembre anterior, un usuario de Amazon en Alemania recibió equivocadamente 1.700 grabaciones de audio de alguien que no conocía, después de solicitar su propio archivo de datos, ejerciendo sus derechos bajo el RGPD de la UE.

En el marco de estos cuestionamientos, Amazon ha reconocido que guarda estas grabaciones de forma prácticamente permanente.


Algunos escenarios y consecuencias de cara al presente y al futuro cercano

Ya lo hemos dicho en otras oportunidades, esos términos, condiciones y disclaimers que frecuentemente realizamos con el objetivo de bajar nuestras aplicaciones favoritas tienen letra muy pequeña. En otros casos, letra técnicamente difícil de entender. Fundamentalmente, manifestamos absoluta anuencia para que los proveedores de servicios accedan, usen y compartan, en diferentes niveles, información sensible como nuestra ubicación, contactos, fotografías, mensajes de voz, biometría, hábitos de consumo, pecados, desplazamientos, lugares visitados, entre muchos otros.

Por tanto, aunque pensamos en algún momento que obteníamos aplicaciones con servicios innovadores de forma gratuita, el costo ha sido enorme. Y más aún, los beneficios que han recibido las grandes empresas que acceden a nuestros datos lo han hecho a un costo bajísimo.

En mi caso - como proveedor de servicios legales -, debo realizar con frecuencia un esfuerzo intelectual para adelantarme a las necesidades que el negocio de mis clientes podría tener. O bien, quisiera estar en la cabeza de mis clientes para entender exacta y correctamente lo que ellos desean para, evidentemente, poder ofrecérselo de forma que sea (o parezca) un buen negocio para ambas partes.

Gracias a la minería de datos, compañías como Amazon han desarrollado con notable maestría plataformas que les permiten saber qué, cuándo, cómo, a dónde, por qué y cuánto necesitan un producto o servicio. Básicamente, han logrado entrar a nuestras casas, dispositivos móviles, computadoras, marcadores de pasos, pulsaciones, libros, entre muchos otros, y saber con mayor precisión que nosotros, lo que necesitamos o podemos llegar a necesitar. O incluso, y aquí viene lo peligroso, sugerirnos utilizando diferentes canales de comunicación, lo que las grandes corporaciones necesitan vendernos. El impacto del fenómeno varía si lo que nos sugieren las grandes firmas es una consola de videojuegos, un desodorante orgánico o, por ejemplo, un candidato presencial.

Sobre esto, no debemos hacernos de la vista ciega en nuestro país. En elecciones recientes, hemos podido verificar que hay publicidad eficazmente dirigida por las campañas de los partidos políticos segmentada por ubicación geográfica, nivel económico, grado de formación académica, creencias religiosas, etcétera. Para ponerlo en términos sencillos: la información y propuestas que reciben los ciudadanos de Lomas del Río en Pavas o San Rafael de Escazú mediante motores de búsqueda u otras aplicaciones (aunque únicamente les separe un río y unos pocos metros entre sí) es diametralmente diferente. Esto, gracias a la posibilidad actual de dirigir “milimétricamente” la publicidad y la información mediante criterios obtenidos gracias a la minería de nuestros datos personales.

Esta situación nos plantea serios cuestionamientos, entre ellos, ¿tienen nuestras instituciones como el Tribunal Supremo de Elecciones o la Comisión de Promoción de la Competencia – entre tantas otras – los recursos humanos y técnicos para entender esta situación, analizarla, regularla y, en caso de ser necesario, sancionarla? Me atrevo a asegurar que aún falta mucho camino por recorrer para nuestras autoridades y nivelarse a las capacidades y habilidades que a través de estos años han adquirido las grandes procesadoras de información.

Han transcurrido quince meses desde la entrada en vigencia de la GDPR, sin embargo, en nuestro país no encontramos ajustes relevantes en la industria, incluyendo empresas y reguladores. Debemos poner atención a esta situación pues, si pretendemos destacar como un país que promueve la inversión extranjera, exportaciones de productos y servicios que implican necesariamente un intercambio de información y la creación de bases de datos con jurisdicciones europeas, pronto exigirán la homologación de estándares respecto a sus parámetros de seguridad. Además, Costa Rica ha logrado instalar en el país compañías robustas en tecnologías de la información (IT), las cuales – sin margen para las dudas – dentro de su portafolio de actividades no dejan de alcanzar clientes, empresas y usuarios domiciliados en países de la UE.

Aún más interesante es que, a pesar de algunos resonados casos en los Estados Unidos y la UE, en donde se cuestionó o bien se sancionó el acceso y uso de información personal sin el consentimiento de los usuarios, en nuestro país muchas firmas de publicidad, neuro marketing, branding, machine learning, AI, microtargeting, por citar algunas, ofrecen dentro de sus portafolios corporativos algunos servicios que podrían ser cuestionables administrativa o judicialmente, exponiéndose a sanciones económicas bastante graves.

Por ejemplo, para empresas que obtienen beneficios económicos utilizando mis datos personales (incluso si hubieran sido accedidos de forma legítima), podrían ser requeridos civilmente o exponerse a una class action con el objetivo que restituyan o indemnicen proporcionalmente a los dueños de la información con la que obtuvieron esta ventaja económica. En muchas ocasiones son cifras multimillonarias de ingresos generados gracias al acceso y uso de información personal de usuarios de diferentes plataformas. Igualmente podrían enfrentar sanciones morales o reputacionales relevantes.

Además, gracias a la minería de datos, la información a la que se puede acceder alcanzaría a millones de usuarios afectados que podrían valorar participar en una gestión administrativa o judicial para reivindicar o distribuir de manera proporcional las ganancias recibidas por el procesamiento (debido o indebido) de nuestra información personal.

De esta manera, podemos afirmar que si no sabemos cuáles compañías tienen nuestros datos personales, no somos sus clientes, somos el producto. Básicamente, somos un commodity.