La nueva identidad digital europea

Desde que en 2002 la UE se dotó de una directiva para la protección de la intimidad de las personas, la tecnología y las comunicaciones han cambiado extraordinariamente. Sin darnos cuenta, en los últimos diez años, nos hemos sumergido en un mundo en el que algunos pueden saberlo todo de todos los demás. Es tiempo de que dediquemos un poco de nuestro vigilado tiempo a conocer cuáles son las propuestas que hace Europa para protegernos.

 

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

 

El 12 de julio de 2002 el Parlamento Europeo y el Consejo publican la Directiva 2002/58/ CE1 sobre el tratamiento de los datos personales y la protección de la intimidad en las comunicaciones electrónicas. En el mes de junio de 2017, el Comité de Derechos Civiles, Justicia e Interior publica un borrador2 sobre la propuesta previa que ha hecho el Parlamento Europeo y el Consejo para aprobar una nueva regulación respecto a ese mismo tema; la vida privada y a la protección de los datos personales de todos los ciudadanos y residentes europeos.

 

Esa propuesta ocurre con el Reglamento UE 2016/6793 del 27 de abril de 2016, ya aprobado y centrado en el tratamiento de los datos personales y su libre circulación dentro de la Unión. Esa nueva norma es conocida como “Reglamento General de Protección de Datos” (GDPR) y será de obligado cumplimiento a partir del 25 de mayo de 2018.

 

Por otra parte, en el mes de abril de 2017 el EDPS4 publica su Opinión 6/20175 sobre la nueva propuesta de regulación de la intimidad electrónica por parte del Parlamento Europeo. En ese documento se resalta que el GDPR es un gran avance, pero que además se necesita una herramienta legal específica que proteja el derecho de las personas a su vida privada. En este derecho, la confidencialidad real y efectiva de todas las comunicaciones es un componente esencial.

 

La propuesta presentada por el Parlamento es una regulación y no una directiva por lo que, en principio, se aplica directamente en toda la Unión y no necesita su transcripción a las leyes nacionales. Las regulaciones europeas proporcionan un nivel de armonización y consistencia europea mucho mayor que las directivas.

 

Elementos novedosos y previsores

 

El borrador de regulación presentado, exige alcanzar un nivel de protección alto tanto para el contenido de los mensajes, como para los metadatos que lo acompañan. Sus autores proponen extender la protección de la confidencialidad a todos los servicios de comunicaciones, sean cuales sean, y establece explícitamente que los operadores de esos servicios son los responsables de ello. Esos mismos operadores deben explícitamente evitar cualquier posible seguimiento de las personas (tracking) que sean consecuencia de los dispositivos o de los servicios que utilicen, y todo ello entendido en el sentido más amplio posible.

 

Uno de los elementos más novedosos y previsores de la propuesta del reglamento es que se incluye en su seno a las comunicaciones máquina-máquina (M2M). Incluso en la redacción actual, esas disposiciones relativas a las comunicaciones M2M ya deberían ampliarse significativamente. No debería tardarse mucho en ello porque, dentro de poco tiempo, el número de comunicaciones con origen o destino en un ser humano será un minoría dentro del conjunto global de comunicaciones; sin embargo, muchas de las consecuencias de esas interacciones M2M terminan afectando a la intimidad de los usuarios.

 

En la propuesta actual, las autoridades de protección de datos cuentan con capacidades específicas para obligar a su cumplimiento, así como de mecanismos de cooperación dentro del futuro European Data Protection Board (EDPB). Se espera que esta entidad contribuya a un mayor y más efectivo cumplimiento de la normativa europea sobre e-Privacy.

 

En este escenario hay que tener en cuenta que las comunicaciones se descomponen en (1) los metadatos, (2) el contenido de la comunicación, y (3) los datos emitidos por el dispositivo terminal. Cada uno de ellos y en cada caso, pueden requerir niveles de confidencialidad distintos y también pueden estar sujetos a distintas restricciones. Una gestión incorrecta de esta cierta complejidad podría terminar creando limbos, espacios vacíos de normativa y carentes de protección, que pronto serán explotados los “e-forajidos” amantes del fuera de la Ley.

 

Un nuevo marco legal para la e-Privacy

 

A la EDPS y a muchos otros, les preocupa saber si la propuesta actual, tal y como está, puede realmente proteger la intimidad en las comunicaciones electrónicas. Está claro que, desde hace años, necesitábamos un nuevo marco legal para la e-Privacy, pero necesitamos que el que haya de llegar esté bien diseñado, sea claro y normativamente robusto. A la vista de la complejidad que tienen las reglas incluidas en la propuesta del Parlamento Europeo, está claro que su redacción actual no es la más adecuada. No se debe nunca olvidar que la complejidad siempre es una amenaza para la eficiencia.

 

Las definiciones de este tipo de leyes tan esenciales no pueden estar basadas en abstractos comunitarios como son “la competencia”, ni estar “centradas en el mercado”. La terminología economicista nunca es apta en el contexto de los derechos fundamentales. Dado que los conceptos escritos en esta propuesta actual serán finalmente negociados con la semántica de un instrumento legal muy distinto que es el European Electronic Communications Code, es necesario incluir en el propio reglamento todas las definiciones que sean necesarias para que quede bien establecido su alcance y sus objetivos. En particular, se debe prestar especial atención al posible tratamiento de datos por parte de agentes distintos de los proveedores de servicios de comunicación electrónica y que, por algún motivo, tengan acceso directo e indirecto a los mismos.

 

Hay que revisar con cuidado la propuesta no vaya a ser que las medidas que se proponen no tengan sentido por ser fácilmente evadibles; por ejemplo, transfiriendo los datos a terceros ubicados fuera de la jurisdicción europea. Hay que garantizar que esta nueva norma no aporte un nivel de protección inferior al que ya proporciona el GDPR. Todas las nuevas normas europeas, independientemente del tipo, deberían contener requisitos que obliguen siempre a incluir la privacidad por diseño y por defecto.

 

La nueva normativa quiere eliminar de raíz las “Tracking Walls” o las elecciones “Takeit- or-Leave-it”, que en su forma más castiza son las de “lo tomas, o lo dejas”. Este tipo de coacción tan universalizada en los servicios de Internet, debe erradicarse de todo aquello que tenga que ver con la intimidad personal y el libre uso de las tecnologías y servicios de comunicación. Es especialmente necesario incluir esa libertad de acción en el uso de las redes sociales y los servicios de correo o mensajería electrónica, por sólo poner algunos ejemplos. La nueva regulación tendrá que erradicar el descontrol que hay en los proveedores de servicios digitales a la hora de redactar los “Términos de Uso” de sus servicios. Es necesario establecer por ley el derecho universal a no tener que aceptar nada obligado de facto, y en concreto en aquello que afecte directa o indirectamente a la intimidad de los usuarios y su entorno.

 

Como acicate para el cumplimiento de todo ello, la regulación propuesta establece que el incumplimiento de los principios de confidencialidad, de procesado autorizado y de borrado de informaciones está afectado de sanción. En concreto, hay dos posibilidades y se elegirá siempre la mayor: una multa de 20 millones de euros o, en el caso de que el infractor sea una empresa, el 4 % de la facturación anual en todo el mundo durante el ejercicio económico del año anterior.

 

Enmiendas

 

Afortunadamente, la propuesta inicial ha recibido numerosas propuestas de enmienda con las contribuciones de diferentes organismos. Hay que reconocer que la redacción original de la propuesta tiene un estilo muy de la Comisión, y está en perfecta consonancia con los intereses de los operadores de servicios de comunicaciones, las agencias de inteligencia, los ministerios de interior y el siempre mentado “Mercado”.

 

Por su parte, las enmiendas presentadas tienen una redacción mucho más alineada con los derechos civiles y nada con los mercados. Las enmiendas, en general, tienden a ampliar los conceptos básicos y, por ejemplo, donde se dice “mensajes personales” se sustituye por “mensajes”. De este modo, la norma no se limita a las comunicaciones entre personas sino que incluye las comunicaciones entre máquinas (M2M) o las comunicaciones mixtas hombre-máquina. Donde en la propuesta pone “El contenido de las comunicaciones electrónicas”, en la enmiendas se sustituye por “comunicaciones electrónicas”, ya que las comunicaciones son siempre mucho más que su mero contenido (metadatos6).

 

Se incluyen explícitamente afirmaciones que en la propuesta original no están, como la de que “La protección de la confidencialidad de las comunicaciones es también una condición esencial para el respeto de otros derechos y libertades fundamentales relacionados, tales como la protección de pensamiento, la conciencia y la religión, y la libertad de expresión e información”. En general, las enmiendas tienden a hacer constar explícitamente los derechos que se pretenden proteger con esta regulación. En la versión original las cosas importantes quedan demasiado implícitas y es conveniente que se especifiquen.

 

En las enmiendas se hace especial mención a los riesgos que representan las posibilidades de seguimiento imperceptible, y al desvelado de las acciones y comportamientos de las personas a través de sus comunicaciones, o por la misma existencia de los dispositivos que se utilizan para ello.

 

En algún caso se propone eliminar completamente párrafos en los que se subordina los efectos de esta regulación a decisiones unilaterales de cada uno de los estados. De permanecer como está, esa posibilidad de “reglamento a la carta” para los distintos gobiernos, además de ser una inconsistencia con su naturaleza de reglamento, iría en contra del reconocimiento de los derechos de las personas independientemente de en qué estado de la Unión estén.

 

Además de hablar de los datos almacenados en los dispositivos de los usuarios, las enmiendas exigen que se hable de proteger la información que esos terminales procesan. Cada día está más claro que la ventana actual de ataque está en los terminales móviles de los usuarios. En breve se entenderá que, para el atacante, muchas veces lo mejor no es extraer la información sino “procesarla en local”, bajo los criterios del atacante, y que lo único que salga del dispositivo sean señales o advertencias “de alto valor añadido”.

 

Aunque en la propuesta ya se incluye el mundo de las comunicaciones por radio (WiFi y Bluetooth) hay enmiendas en las que se quiere explicitar no sólo la tecnología, sino los escenarios en los que ésta se pueda utilizar (accesos WiFi urbanos, grandes superficies y centros comerciales, hospitales, cafeterías, aeropuertos, hoteles, restaurantes, escuelas, etc.). En un plazo de tiempo no muy largo, empezaran a proliferar sistemas de corta distancia dirigidos a usuarios y potenciales clientes que se encuentran en un área limitada del terreno. Todos ellos pasarán por una fase no autorizada de detección y, si es posible, de identificación de los usuarios a través de sus dispositivos móviles y “vestibles” (wearables).

 

Con las enmiendas presentadas se pretende que la protección del futuro reglamento incluya también todas las actividades hechas en redes sociales y servicios colectivos de ese tipo, así como en las redes internas de las empresas y administraciones (Intranet), algo que es completamente nuevo en el panorama IT actual.

 

La enmienda 12 se centra en que las comunicaciones se definan con suficiente amplitud como para incluir cualquier información que pueda estar relacionada con el usuario (quién comunica con quién, cuándo lo hace, durante cuánto tiempo, etc.) no olvidando los datos de geoposicionamiento espacio-temporal absoluto (dónde estás) o relativo (cerca de quién estás), así como los elementos de identificación fijos o frecuentes del propio terminal (IPs, números de serie, MACs, IMEI, IMSI, etc.).

 

Todas las comunicaciones electrónicas relacionadas con personas deben ser clasificadas y tratadas como confidenciales y cualquier interferencia con su realización queda prohibida, tanto si la interferencia es humana como si se hace a través de un proceso automático. Dichas interacciones están prohibidas si no cuentan con una autorización explícita y previa de todos los participantes en ellas. Con este principio, se prohíbe cualquier actividad de monitorización que lleve al perfilado del usuario (profiling) y/o de sus hábitos o intereses.

 

Por otra parte, en la enmienda 15 se obliga a los proveedores de servicios a mantener una calidad mínima y, para ello, se les autoriza a realizar las monitorizaciones que sean estrictamente necesarias y exclusivamente para el control de calidad o de facturación de los servicios.

 

La información almacenada, también protegida

 

Otro de los elementos importantes que aportan las enmiendas a la propuesta del Parlamento Europeo es incluir la información almacenada en los terminales en lo protegido, dado que cada día ese contenido está más relacionado con la intimidad de cada usuario (selfies, mensajería, correos, videos, audios, etc.).

 

Como el reglamento no se atreve a cerrar definitivamente la puerta a cualquier posible futuro servicio de interés público nacido del procesado de las comunicaciones digitales, en una enmienda se propone que se deje abierta la posibilidad de que los proveedores de servicios puedan procesar los datos comunicados; sin embargo, esa autorización siempre habrá de contar con el consentimiento informado de TODOS los usuarios afectados, y estará limitado en el tiempo y en sus objetivos.

 

La enmienda 19 establece que sea posible procesar datos de comunicaciones electrónicas con la finalidad de proporcionar el servicio explícitamente solicitado por el usuario para su uso personal o para su trabajo. Ejemplos de ello podrían ser las búsquedas o el indexado por palabras clave, los asistentes virtuales, los lectores automáticos de textos, los servicios de traducción, los conversores picture-to-voice o cualquier otro procesado automático de contenido. Hay que tener presente que este tipo de servicios son esenciales en las herramientas específicas de accesibilidad para las personas que realmente las necesitan. En este caso particular, el procesado será posible sin el consentimiento de todos los usuarios pero necesitará el consentimiento explícito e informado del que solicita el servicio. Sin embargo, dicho consentimiento específico también prohíbe, al que procese esos datos, hacerlo con propósitos diferentes a los de esa solicitud en particular.

 

En el nuevo reglamento se considerará que las capacidades emisoras o identificadoras de los dispositivos utilizados por sus dueños para comunicarse están dentro de su ámbito privado y estarán protegidos, como sus dueños, bajo la Carta de los Derechos Fundamentales de la UE7 y en el Convenio de Protección de los Derechos Humanos y de Libertades fundamentales8.

 

Tales dispositivos físicos contienen y/o procesan información muy sensible que permite desvelar detalles sobre el comportamiento, las características psicológicas, el estado emocional y las preferencias políticas sociales e individuales de su titular. Los elementos para hacerlo pueden ser los historiales, el contenido de sus comunicaciones, sus fotos, la ubicación espacio-temporal mediante el GPS y/o el receptor WiFi, listas de contactos y otras informaciones almacenadas en el dispositivo.

 

En las enmiendas se hace mención expresa al “spyware”, los “web bugs”, los identificadores ocultos y otras herramientas de seguimiento no deseado. En la propuesta de regulación se establece que tales interferencias sólo podrán ser legales si cuentan con el consentimiento explícito del afectado y se hace con motivos específicos y transparentes. En todo caso, el observado deberá recibir toda la información relevante sobre lo que realmente se va a hacer, y todo ello en un lenguaje claro y comprensible. Tal información deberá presentarse siempre aparte de los términos y condiciones del servicio, y no deberá confundirse con éstos.

 

En las enmiendas se actualiza y aclara que debe poder evitarse de forme sencilla el uso de cookies como elementos identificadores y de seguimiento inter-dominios. Se recuerda que los navegadores web, las aplicaciones y los sistemas operativos de los equipos deben ser ejecutores de las decisiones de sus dueños y de nadie más, por lo que deben ayudar a éstos a que no se pueda acceder sin permiso a sus dispositivos, ni a que se pueda almacenar información no deseada en ellos.

 

En particular, se prohíbe el uso no autorizado de la información que emana de los terminales móviles para procesos intrusivos como pueden ser las ofertas personalizadas en espacios comerciales o urbanos (realidad aumentada). Los que quieran utilizar comercialmente esas tecnologías tendrán que anunciarlo en el perímetro de la zona afectada, y hacerlo de forma bien visible a todos los afectados. Además del perímetro, se tiene que indicar cuál es el propósito del seguimiento, la persona responsable de tales prácticas y qué medidas se pueden tomar para minimizar o detener la recolección de esos datos. Los responsables de esas prácticas deberán obtener (1) el consentimiento explícito e informado del que se pretende observar, o (2) anonimizar inmediatamente esos datos y limitarlos a tratamientos meramente estadísticos durante un tiempo y espacio limitados.

 

Restricciones bajo condiciones muy específicas

 

Esta regulación no impide que los estados miembro de la Unión, en condiciones muy específicas, restrinjan por ley ciertas obligaciones o derechos establecidos en esta regulación cuando las personas afectadas son sospechosas de haber cometido un crimen, y ello sea necesario y proporcional en una sociedad democrática para la salvaguardia de los intereses públicos (seguridad y defensa nacional, seguridad pública y prevención, investigación policial, detención o persecución de crímenes, el cumplimiento de penas, etc.).

 

Es tal la impopularidad de las técnicas de telemárquetin, que éste deberá hacerse siempre desde números con un prefijo específico y conocido por todos, y siempre será posible bloquearlos definitivamente sin coste alguno para el solicitante. Así mismo, ninguna persona podrá ser incluida sin consentimiento previo en ningún tipo de directorio público y, en cualquier caso, se deberá publicar y ser conocida cuáles son las finalidades y las capacidades de búsqueda en tales directorios.

 

La nueva regulación exige que se proporcionen protecciones eficaces para los usuarios frente a comunicaciones no deseadas o ante el márquetin directo o dirigido, en tanto que se cuela sin autorización dentro de la vida privada de las personas. Su carácter de intrusión y molestia se considera que es independiente de las tecnologías y canales utilizados en estas comunicaciones, ya sea con sistemas automatizados de llamadas, aplicaciones de mensajería instantánea, correos electrónicos, SMS, MMS, Bluetooth, etc.

 

Protección de la información de los prestadores

 

En el reglamento se obliga a los prestadores de servicios a tratar cualquier comunicación de tal forma que se evite el acceso no autorizado a ellas, su publicación, fuga y alteración. Así mismo, los proveedores deberán garantizar que dichos accesos, revelaciones o modificaciones no autorizadas dejaran huella indeleble que podrán ser consultadas y comprobadas. También se exige que se garantice que los datos siempre están protegidos utilizando software específico y tecnologías adecuadas de cifrado.

 

El usuario deberá prestar especial atención a las medidas criptográficas que sus proveedores de servicio dicen aplicar para proteger sus intereses. La criptografía per se, no aporta seguridad alguna y bien puede tener el efecto contrario, ya que hace creer al incauto que nada tiene que temer y se encamina confiado al precipicio. Las tecnologías de cifrado deben utilizarse siempre con conocimiento e inteligencia, y ambas cosas deben ser celosamente comprobadas y exigidas por los usuarios. No basta con confiar en que lo diga la ley; la ley dice muchas cosas que casi nunca son ciertas.

 

El proveedor deberá informar a los usuarios finales sobre los riesgos de seguridad que hay asociados al uso del servicio pero, en ningún caso, eso le eximirá de su obligación de tomar, a su coste, medidas suficientes e inmediatas “para remediar los nuevos riesgos de seguridad imprevistos y restablecer el nivel normal de seguridad del servicio”. Esta información al usuario deberá ser siempre gratis.

 

La propuesta de regulación para la protección de la ePrivacy europea es claramente insuficiente y es necesario que se acepten todas las enmiendas que se han presentado. Tanto en el contenido como en la forma, las enmiendas presentadas corrigen ese estilo de quien quiere quedar bien con los grandes depredadores de datos personales, y lo transforma en algo más relacionado con los derechos fundamentales y las libertades de las personas.

 

La propuesta enmendada pone en su sitio a los proveedores de servicios de comunicaciones electrónicas que no es otro que el de estar al lado de sus clientes, sus usuarios, y les hace responsables de proteger la confidencialidad y la calidad de todas las comunicaciones y de todo lo que hay en ellas.

 

Prohibición del análisis no consentido

 

Con este reglamento se corta el paso a técnicas ya utilizadas para el seguimiento, perfilado, análisis e identificación electrónica de los usuarios a través de sus dispositivos móviles. Queda prohibido el análisis no consentido de todo aquello que tenga que ver con la intimidad de las personas y, en el caso de que fuese consentido, estaría limitado en el tiempo, objetivos y posibilidades de explotación. Esta regulación europea frena en seco la “Minería de Datos” y el “Big Data” sobre datos personales sin el consentimiento libre, informado, específico y perecedero de los dueños de los datos.

 

No se puede decir que el reglamento enmendado prohíba los “mercados de datos personales” lícitos, sino que los limita a aquellas personas que, por dinero o enajenación, están dispuestas a someterse al muy asimétrico escrutinio de robots que nunca actúan a favor del observado y de los suyos. Seguro que dichos mercados terminaran siendo una realidad porque siempre ha habido exhibicionistas, pero esta regulación europea debe conseguir que todos los demás, los que valoramos la intimidad como un hecho personal y definitorio sobre el que se construyen las pocas libertades que nos quedan, podamos vivir algo más tranquilos.

 

A diferencia de lo que otros gustan decir, intimidad y seguridad no son cualidades antagónicas, sino que realmente van de la mano y en el mismo sentido9. Pensar que hay que renunciar a la intimidad para que otros te protejan es una contradicción in terminis, ¿Quién te defenderá entonces de tus defensores? En el mundo de Internet y de las comunicaciones en general, cuanto menos sepan de ti, más tranquilo puedes estar; cuanto más expuesto estás, por más frentes te pueden atacar y con más precisión ajustar el tiro.

 

Aunque el reglamento obligue a los proveedores de servicios a asegurar la intimidad (confidencialidad) de sus usuarios y clientes, nadie debería confiar en ellos porque el negocio de los datos personales puede ser de magnitud insondable y estar gobernado por fuerzas telúricas. La única postura razonable para el individuo y las colectividades de personas libres y conscientes, es minimizar el número de datos que hay de cada uno en la red, y lo que haya que comunicarse que se haga a través de cifrados inquebrantables proporcionados por aquellos otros que ven su negocio en proteger al 99% de la humanidad de ese 1% de supuestos defensores.

 

Toda persona tiene derecho al respeto de su vida privada y familiar, de su hogar y de sus comunicaciones, independientemente de cómo se hagan éstas.

 

Nadie hubiera creído a principios del siglo XXI, que la vida humana estaba siendo observada desde los mundos infinitos del ciberespacio. Nadie habría podido soñar que estábamos siendo estudiados como se examinan bajo un microscopio los organismos en una gota de agua. Pocos hombres admitían incluso la posibilidad de actividad en esos ciberdominios. Sin embargo, a través del abismo digital, mentes infinitamente superiores a las nuestras dirigían su codiciosa mirada hacia nuestra realidad. Y lenta, pero inexorablemente, disponen sus planes contra nosotros”.10

 

 

1 Ver https://www.boe.es/doue/2002/201/L00037-00047.pdf
2 Ver https://goo.gl/VAA1kQ
3 Ver https://goo.gl/9FkqeM
4 El European Data Protection Supervisor (EDPS) es una institución independiente de la UE responsable, bajo el artículo 41(2) de la Reglamento 45/2001 de la Unión, “respecto al procesado de datos personales… para asegurar que los derechos fundamentales y las libertades de las personas físicas, y en particular su derecho a la intimidad, son respetados por las instituciones Comunitarias y sus órganos”, y “… para asesorar a las instituciones comunitarias y sus órganos en todas las materias que afecten al procesado de datos personales”.
5 Ver https://edps.europa.eu/sites/edp/files/publication/17-04-24_eprivacy_en.pdf
6 Enmienda 55: “«Metadatos de comunicaciones electrónicas»: los datos relativos a un usuario o servicio de comunicaciones electrónicas, procesados para transmitir, distribuir o intercambiar contenido de comunicaciones electrónicas y cualquier otro dato relacionado con el procesado de las comunicaciones para la prestación del servicio, que no se considera “contenido”; Incluidos los datos para rastrear e identificar la fuente y el destino de una comunicación, así como la fecha, la hora, la duración y el tipo de comunicación; Incluye los datos transmitidos o emitidos por el equipo terminal para identificar las comunicaciones de los usuarios y/o el equipo terminal o su ubicación y permitirle conectarse a una red o a otro dispositivo.”
7 Ver http://www.europarl.europa.eu/charter/pdf/text_es.pdf
8 Ver https://es.wikipedia.org/wiki/Convención_Europea_de_Derechos_Humanos
9 “Those who surrender freedom for security will not have, nor do they deserve, either one.” Benjamin Franklin.
10 Reinterpretación libre para esta ocasión, del magnífico arranque la novela de ciencia ficción “La Guerra de los Mundos” de Herbert George Wells, y escrita en 1895 y 1897.

 

 

Documento en PDF

first
  
last
 
 
start
stop

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies