TedTalk: Vampiros de Datos
Hace un mes hablé sobre vampiros de datos. Malos muy malos ellos. Nombré a dos, aunque hay muchos más.
He visto cientos de charlas TED. Me encantan.
Hace cuatro años pensé que la Dra Cavoukian tenía que haber dado una y no me equivoqué: ahí estaba.
Indice
- «This is why I do this work»
- «Y ahora tú»
- De Nüremberg a las RRSS: Desmontando la Ley de Godwin en el minuto 1
- Ann Cavoukian: Armenia no rima con harmonía.
- Mark, Mark, Mark
- Vampiros de datos
- Cambridge Analytica como ejemplo
- 58 bis
- Un lugar mágico
- El Recurso “tuitero”
- Furia roja en la privacidad mundial
- Houston, tenemos un problema. Y una propuesta.
«This is why I do this work»
Inserto a continuación el momento exacto en el que la gran dama del privacy by design cuenta exactamente por qué dedicó su vida a la defensa de la privacidad. Spoiler: no tiene que ver con la protección de datos.
Si alguien me preguntara algún día qué me hizo creerme de verdad que el RGPD podía cambiar las cosas, le contestaría “cinco minutos de una charla TED”, y no andaría muy lejos.
El principio de la charla, la teoría, a estas alturas nos lo sabemos todos.
Serían los cinco minutos que empiezan a partir justo de este punto.
«Y ahora tú»
Cuando Belén Viloria me lanzó el reto de dar una TedTalk en el TedXValladolid, pensé que tenía que hacer al menos una referencia a ese momento. Lamentablemente quince minutos no dan para contar todo lo que uno quiere.
Todas esas cosas que tú consideras tan importantes y que sientes que casi nadie entiende.
Copio aquí el enlace al vídeo y uno de los últimos borradores que manejé.
No es exactamente la transcripción de la charla, sino un texto más amplio, con enlaces a las fuentes e info adicional.
Y aprovecho para hacer un agradecimiento especial a Marelisa Blanco por las ilustraciones que apoyaron la presentación, y todo lo que hizo por nosotros en la Lista Viernes.
En Youtube:
El mismo vídeo en la plataforma TED
Érase una vez un tiempo en el que nuestro consentimiento servía para algo: hoy parece que no sirve para nada: voy a intentar explicar por qué.
De Nüremberg a las RRSS: Desmontando la Ley de Godwin en el minuto 1
Año 1946: En los juicios de Nüremberg se exigió responsabilidad a los mandatarios nazis. En lo que aquí interesa, por sus experimentos sobre cientos de miles prisioneros en los campos de concentración.
El veredicto de este juicio estableció el “Código Nüremberg”: 10 principios que deben cumplirse para que una investigación con humanos pueda ser considerada legítima.
El primero es la obtención del “consentimiento informado” de la persona sujeta a la investigación. Una solución eficaz para evitar investigaciones como las que, efectivamente, ocurrían en otras partes del mundo. Como el experimento de Alabama.
En 1973 se conoció un experimento realizado en Alabama por el sistema público de salud, sobre un conjunto de 600 ciudadanos de raza negra: se les dijo que se les trataría la sífilis, pero sólo se estudió la evolución de la enfermedad durante 40 años, sin tratamiento alguno. Durante ese tiempo quedó probado que la penicilina curaba la enfermedad. No se les administró. Algunos sujetos murieron.
El consentimiento informado, de verdad de la buena, es el suministro de información relevante y comprensible al sujeto, sobre los efectos que tendrá para él participar en un determinado procedimiento, permitiéndole tomar una decisión libre y consciente.
Pero con el tiempo los textos se volvieron cada vez más largos, más inteligibles y sobre todo más desequilibrados, porque no trataban tanto de informar al sujeto como de limitar la responsabilidad de quien lo presentaba. Este formato pasó a las licencias de software (“haga click para aceptar los términos y condiciones, antes de instalar”) y de ahí a las apps y redes sociales.
Todos los días pulsamos “acepto” sin leer ni comprender lo que consentimos y nos han acostumbrado a pensar que esto es válido. Pero no lo es.
Ann Cavoukian: Armenia no rima con harmonía.
La familia de la Doctora Ann Cavoukian, huyó del genocidio armenio perpetrado en Turquía a Egipto, y de allí a Canadá.
Por esa razón, conoce perfectamente la importancia –hasta de vida o muerte- que puede tener un dato personal sensible: ser judío o armenio.
No es extraño que haya dedicado su vida a la defensa de la privacidad.
En el año 2000 la doctora Cavoukian presenta el estándar de la privacidad desde el diseño y por defecto. Y se lo regaló al mundo. Porque no tenía precio.
La privacidad desde el diseño tiene siete principios. Mi favorito es el que denuncia “el truquito de la balanza”.
Normalmente se pone la privacidad en uno de los platillos de una balanza imaginaria, y en el otro, otro valor muy importante:
privacidad O seguridad,
privacidad O progreso tecnológico,
privacidad O beneficio empresarial.
La Dra Cavoukian nos enseña que no tenemos que elegir entre privacidad o seguridad, usabilidad, o beneficio: debemos conseguir privacidad Y seguridad, privacidad Y progreso, privacidad Y beneficio empresarial.
Y que si sólo conseguimos una de las dos cosas a costa de la otra, lo hemos hecho mal, y necesitamos empezar de nuevo hasta que lo consigamos.
Desde 2018, el Reglamento Europeo de protección de datos, impone el estándar de la privacidad desde el diseño y por defecto y exige que se recoja el consentimiento informado, pero en su versión original. No en la versión adulterada actual.
El Reglamento General de Protección de Datos es una de las normas más decisivas para nuestro futuro. No hace falta que les diga que es una de las más incumplidas en nuestro presente.
Mark, Mark, Mark
AÑO 2009: Mark Zuckerberg utilizó el truquito de la balanza para justificar la publicación en abierto de los datos de identificación de los usuarios de Facebook (en vez de ser privados por defecto).
Dijo: “la privacidad ya no es la norma social”. “La privacidad ha muerto”
Quería decir: “Facebook o privacidad”: el progreso es inevitable. Facebook es inevitable. Quería decir: sois vosotros los que renunciáis a la privacidad, no yo quien os la quito.
AÑO 2019: Diez años después el mensaje ha cambiado, la foto ha cambiado.
Después de la sucesión de escándalos de 2018, ha perdido quince millones de usuarios en EEUU, y le están cayendo sanciones hasta en el carnet de identidad.
Como se ve, las cosas se pueden hacer de otro modo. Facebook no es invencible, y se le puede obligar a hacer las cosas bien.
Facebook es hoy en día uno de los mayores vampiros de datos que existen. Y no es el único.
Vampiros de datos
Utilizamos redes sociales, aplicaciones que están diseñadas para ser adictivas, para que nos enganchemos a ellas: y así poder engullir todos los datos posibles. Y mantenernos cerquita para poder influirnos.
Nuestros móviles, ordenadores, televisiones y todos los nuevos chismes conectados que captan muchos más datos de los que necesitan para prestarnos sus “servicios inteligentes”: engullen todos los datos que pueden, y se los sirven a los vampiros de datos.
No es un problema de tecnología, sino de su uso sin escrúpulos: es una nueva economía basada en
- La apropiación masiva de nuestros datos
- El monopolio de unos pocos sobre (i) detalladísimas bases de datos y (ii) la tecnología punta necesaria para analizarlos.
Estos vampiros de datos a veces saben qué piensas y qué quieres mejor que tú. Y venden esa información.
Pero lo realmente peligroso es que empiezan a ser capaces de cambiar lo que quieres y lo que haces, sin que te des cuenta.
Esta no es una idea salida de esta calva sudorosa. Gente que sabe más que yo también lo ha denunciado, como Shoshana Zuboff y Giovanni Buttarelli.
Cambridge Analytica como ejemplo
AÑO 2018.-El escándalo de Facebook y Cambridge Analytica puso de plena actualidad estos riesgos. 87 millones de personas creían que compartían fotos y sus chorradas diarias en una plataforma social: Facebook, pero en realidad, como en el experimento de Alabama, estaban entrenando un algoritmo que, en última instancia, sirvió para manipular el resultado del referéndum por el Brexit. Entre los afectados, 140.000 españoles.
Estrategias de big data ya contribuyeron a la victoria de Barack Obama en 2008 y 2012, y a la de Mariano Rajoy en 2015.
En el Brexit, Cambridge Analytica ganó con una nueva tecnología, pero sobre todo porque la utilizó sin escrúpulos, incluyendo:
- Captación ilegal y masiva de datos, gracias a Facebook que se los dio ya masticados,
- Envío de miles de mensajes racistas, tendenciosos o falsos
- Incontrolables: usaron mensajes efímeros que sólo podían ver sus destinatarios y después desaparecían
- Como bonus track, parece que la campaña se financió ilegalmente.
Me quedo con la escala, la magnitud del daño: antes del Brexit, ¿quién hubiera pensado que la tecnología podría cambiar un gobierno o el destino de un estado de esa forma?
58 bis
En noviembre de 2018, alguien pensó que lo mismo podía pasar en España.
Y todos los partidos políticos españoles se pusieron de acuerdo en algo por primera vez en diez años: y cambiaron la ley electoral para evitar un Cambridge analítica español.
Paradójicamente, gracias a la reforma, podría hacerse lo mismo… pero de forma perfectamente legal.
Los partidos políticos quedaban habilitados para hacer básicamente dos cosas:
- La primera: recopilar datos de los ciudadanos para clasificarlos de acuerdo con su ideología.
- La segunda: extraer sus datos de internet y enviarles propaganda electoral por medios electrónicos. Lo que llamamos “spam electoral”.
Todo ello en nombre del interés general, sin pedirnos permiso, sin garantías.
Muchos juristas denunciamos la burrada en redes sociales y en medios de comunicación pero con todo, la reforma se aprobó en el Congreso. Como digo, por unanimidad.
Un lugar mágico
En la ducha de mis suegros ocurren cosas maravillosas. En esa ducha se me ocurrió la idea de la Lista Viernes.
Junto con mis compañeros de Secuoya, un grupo de juristas especializados en privacidad, ideamos, desarrollamos, financiamos y promocionamos la Lista Viernes, y la aportamos a una Fundación, para dejar claro que no buscábamos ganar ni un duro con el proyecto.
Veamos: tú te apuntas en la Lista Robinson para evitar que te llamen a la hora de la siesta para intentar que te cambies de compañía telefónica. Sé que esto no les ha pasado a ustedes, pero se han dado casos.
Creamos una lista parecida, la lista Viernes, en la que te apuntabas para lanzar el mensaje a los partidos políticos de que no querías que te enviaran propaganda por medios electrónicos durante la campaña electoral.
Nuestra Lista Viernes no tuvo mucho éxito: Para funcionar de verdad necesitaba un número muy significativo de gente, -medio millón, un millón de personas- pero sólo se apuntaron seis mil personas durante el lanzamiento, en el que los medios de comunicación prestaron atención al proyecto.
¿Por qué? Creo que Lista Viernes era la solución a un problema que al final, no se produjo.
Creo que la Agencia de Protección de Datos hizo un gran trabajo “intimidatorio”: interpretando estrictamente la norma y anunciando que perseguiría a quien la incumpliera. Y durante la campaña electoral, los partidos políticos españoles “no se atrevieron” a hacer las marranadas que se hicieron en el Brexit. Se limitaron a enviar su propaganda a través de Facebook, que nos tiene ya a todos superperfilados.
Pero sí quiero pensar que contribuímos al clima de contestación social contra una ley injusta.
Y se consiguió el objetivo: que no pasaran cosas raras.
El Recurso “tuitero”
Mientras preparábamos Lista Viernes, me llamó mi amigo Borja Adsuara y me propuso participar en la elaboración de un borrador de recurso de inconstitucionalidad contra la reforma de la ley electoral.
De primeras dadas no me pareció buena idea: no sé mucho de derecho constitucional, mi especialidad es el societario y la protección de datos.
Pero ese domingo estaba en casa de mis suegros. Mientras me duchaba me dije ¡QUÉ LECHES!. O quizá no dije exactamente eso, pero ustedes me entienden.
Borja Adsuara, José Luis Piñar, Elena Gil, Ofelia Tejerina, Lorenzo Cotino, algún colaborador anónimo y servidora, con el apoyo de varias plataformas de defensa de derechos constitucionales nos organizamos y preparamos una propuesta de recurso contra “el Cambridge Analytica español”, que fue presentada al Defensor del Pueblo.
No fue la única propuesta, ni fuimos los primeros, hubo otra liderada por Diego López Garrido.
El Defensor del Pueblo interpuso su recurso y en mayo de 2019, el TC declaró inconstitucional y anuló el primer apartado del art 58 bis de la Ley Electoral, el que permitía clasificar a los ciudadanos por su ideología política.
Ese día ganamos todos: fue una victoria ciudadana histórica: la lección es que existen mecanismos, que funcionan, para denunciar las cosas que están mal y corregirlas. Pero hay que utilizarlos.
El día que se conoció la sentencia fue un día emocionante. Como dice Tom Hanks en Philadelphia, «De cuando en cuando, no muy a menudo pero alguna vez, un abogado puede participar en el hecho de hacer justicia…. Y cuando ocurre es emocionante».
Furia roja en la privacidad mundial
De hecho, para mí es emocionante decir que en España tenemos ya una cierta tradición de victorias en la reivindicación de derechos digitales. No es sólo lo del art 58 bis, que también.
En 2012, 90 ciudadanos españoles reclamaron a Google que eliminara de los resultados de su buscador determinadas informaciones por ser antiguas o irrelevantes. Google se negó.
La Agencia de Protección de Datos apoyó a estos ciudadanos, y el asunto llegó al Tribunal Europeo de Estrasburgo.
La gloriosa sentencia Costeja vs Google Spain de 2014 reconoció por primera vez el “derecho al olvido”.
El derecho al olvido se ha expandido y consagrado en el Reglamento Europeo de Protección de Datos, como el “derecho de supresión” el derecho a exigir el borrado de nuestros datos personales.
Déjenme intentar poner en valor “el derecho al olvido”:
El derecho al olvido es el gol de Iniesta en la final del mundial de la protección de datos.
El derecho de supresión de datos es la mayor patada que se han llevado Google y Facebook en sus pelotas vampíricas.
Y demuestra que a Google y a Facebook, se les puede ganar, y se les ha ganado.
Houston, tenemos un problema. Y una propuesta.
Hoy, vivimos en un experimento como el de Alabama, pero a lo bestia: 2.000 millones de sujetos en Facebook, y 2.000 millones de usuarios en Youtube y Android, y el 90% de las búsquedas en internet.
Los vampiros de datos nos dicen: elige entre nuestro servicio y tu privacidad.
Esto es inaceptable: necesitamos que estas empresas dejen de portarse como vampiros.
Necesitamos que estas empresas cumplan la ley: Que cumplan las normas de privacidad, la de protección del consumidor y la normativa antimonopolio.
Tampoco estaría mal que pagaran sus impuestos.
Estas vías legales son lentas: llegarán, pero tardarán.
Pero hay una cosita: el Reglamento Europeo regula entre sus sanciones la de prohibir a los vampiros el tratamiento de datos personales temporal o definitivamente.
Esto es muy interesante, porque, a pesar de lo que nos hacen creer, estas empresas todopoderosas no son nada, absolutamente nada, sin nuestros datos.
Y no tenemos que esperar a que les pongan ninguna multa: nosotros mismos podemos imponer esa sanción a las empresas que se porten como vampiros:
Podemos poner a los vampiros de datos a dieta de datos.
Borrando periódicamente nuestros datos personales de sus plataformas.
Utilizando el derecho a la supresión de datos que los españoles consiguieron gloriosamente y regalaron al mundo.
Porque no tenemos que elegir entre sus servicios O nuestra privacidad.
Tenemos derecho a las dos cosas simultáneamente.
Tenemos derecho a que nuestros datos sólo se utilicen para aquello que nos hayan informado, y que hayamos comprendido y consentido, pero de verdad de la buena.
Creo que esta lucha no será fácil, y no la ganaremos mañana, pero la ganaremos.
Juntos.
Jorge García Herrero
Abogado y Delegado de Protección de Datos