Máquinas que vigilan que no te vigilen | Letras Libres
artículo no publicado

Máquinas que vigilan que no te vigilen

Las normas de protección de datos personales por parte de sitios web, aplicaciones y otros sujetos similares se incumplen por razones diversas. La llamada “privacidad por diseño” busca limitar esos incumplimientos, incluyendo opciones de privacidad en la arquitectura mismo de los programas.

Hablar de privacidad se ha vuelto complicado. A menudo nos invade la paranoia cuando nos damos cuenta, por ejemplo, que alguna aplicación para mapas puede ubicar nuestros movimientos, o que cuando buscamos un producto o servicio somos bombardeados con publicidad en línea. A eso hay que sumarle que no leemos los muchas veces somníferos o barrocos términos y condiciones, ni los avisos de privacidad, y la enorme cantidad de datos y metadatos que, al ser procesados, aportan información sobre las rutinas de los usuarios, y tenemos tierra fértil para la exageración mediática y el mito de la muerte de la privacidad

A pesar de que existen regulaciones en torno al tema de protección de datos, a veces estas normas se incumplen por razones que van desde pérdidas hasta hackeos. La llamada “privacidad por diseño” busca acotar dichos incumplimientos haciendo que los sujetos obligados (controladores o procesadores de datos) incluyan opciones destinadas a la protección de datos y privacidad desde el mismo diseño de sus proyectos. Su puesta en marcha significaría automatizar labores con un enfoque preventivo, más a favor del sujeto de derechos. ¿Será una opción viable?

La privacidad por diseño es una de las tecnologías destinadas a mejorar la privacidad (PET por sus siglas en inglés). Su origen se remota a 1995 en Canadá cuando Ann Cavoukian, la entonces Comisionada de información y privacidad de Ontario, comenzó a impulsar el término como “el siguiente paso en la evolución del diálogo en torno a la privacidad”. La idea implica regular a través de la tecnología en lugar del tradicional enfoque inverso, es decir, regular la tecnología. Lo primero se asemeja a uno de los postulados seminales de la red en su etapa libertaria, cuando rechazaban reyes, presidentes y votos, y se creía en el consenso duro y código en ejecución. No es difícil imaginar que después de eso surgiera el postulado “el código es ley”, mencionado de inicio por Joel Reidenberg y difundido ampliamente por Lawrence Lessig en su libro Code. Que el código sea ley significa que la respuesta a la regulación del mundo digital se encuentra en la arquitectura de la propia red. En otras palabras, se trata del uso de las opciones que la tecnología pueda brindar para cumplir con las leyes aplicables.

La privacidad por diseño se basa en los siguientes siete principios

  1. Proactividad en lugar de reactividad. 
  2. Ser la opción por default: que el individuo se encuentre automáticamente protegido.
  3. Estar incrustada en el diseño del sistema de los sujetos obligados. 
  4. No fomentar la suma cero: se refiere a evitar intercambios innecesarios en los que los supuestos beneficios para el sujeto de derechos en realidad suman cero, por ejemplo, cero privacidad a cambio de un servicio. 
  5. Seguridad de principio a fin: desde el diseño del proyecto, pasando por la recolección y manejo de los datos, hasta su eliminación.
  6. Visibilidad y transparencia.
  7. Centrado en el usuario, el sujeto de derechos. 

A pesar de ser una práctica ampliamente recomendada, la privacidad por diseño no se encuentra en la normatividad de muchos países (México no la tiene). En la Unión Europea se incorporó en el artículo 25 del Reglamento general para la protección de datos, mismo que será aplicable a partir de mayo de este año.

Dado que se trata de regular a través de la tecnología, la privacidad por diseño puede referirse a:

  • Opciones creadas de origen: Por ejemplo, que una aplicación tenga una opción de ajustes en la que la casilla “acepto compartir mis datos con terceros” no se encuentre aceptada de antemano, a diferencia de una aplicación que no tenga opción de ajustes, en la que el usuario tenga que buscar en el menú el mail al que debe escribir para que no compartan sus datos con terceros. 
  • Opciones de ejecución automática: Supongamos que la ley aplicable estableciera que los sujetos obligados deben destruir la información que recolecten cada ocho años (no es así, los datos personales se conservan hasta en tanto sean necesarios para cumplir el propósito para el que fueron recolectados). El sujeto obligado podría crear un programa que elimine automáticamente los datos personales almacenados cada ocho años. Un programa también podría evitar la vigilancia indiscriminada a las bases de datos.

Las primeras opciones no tienen mayor complicación, pero existe un debate acerca de la fiabilidad de las segundas, por el razonamiento legal automático que requieren. Si la ambigüedad y/o falta de claridad en la redacción, ajuares recurrentes de las leyes, ocasionan problemas en su aplicación por parte de los humanos, podrían causar aún más dificultades cuando un programa las ejecute. Entonces, ¿se podría programar un estricto cumplimiento a las leyes o se debería permitir un margen para la interpretación? Si fuera el segundo caso, ¿cómo interpretaría una máquina las imprecisiones del lenguaje natural? Volvamos al ejemplo de la retención de datos, ¿qué entendería una máquina por “plazo necesario? No obstante, existen hipótesis legales claras que no requieren de interpretación. Muy probablemente en ellas podrían aplicarse las opciones de ejecución automática. En las que sean ambiguas, se necesitaría la colaboración entre humanos y máquinas, como ya ocurre en otros proyectos legales.

En tiempos en los que los datos se han convertido en el nuevo petróleo, la privacidad se vuelve prioritaria. Proponer una opción disruptiva (aunque no libre de defectos) para su protección resulta más provechoso que su pérdida. Sospecho que la ejecución automática de la normatividad que la rige tardará en ponerse en marcha, dadas las complicaciones del lenguaje natural. Pero en el largo plazo eso podría hacer necesaria la emisión de leyes más claras y directas, cosa que sería beneficiosa para robots y humanos (abogados o no). Por ahora, la creación de opciones que de origen sean en beneficio del usuario es un buen comienzo.