Los mercaderes de la intimidad ajena

Desde los acontecimientos de septiembre de 2001, el mundo ha ido aceptando restricciones a la libertad colectiva e individual que no han sido suficientemente protestadas. Paralelamente, en el mundo virtual de Internet han surgido entidades que controlan por sí solas toda la información de la mitad de la población mundial, y eso todavía no parece causar alarma o rechazo. Es momento de echar un vistazo a lo que ha ocurrido y está ocurriendo desde que aquellos aviones segaron aquellas Torres Gemelas.

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

La mañana del martes 11 de septiembre de 2001 fue el mayor éxito que podría haber soñado el terrorismo internacional. Además de las 2.996 personas asesinadas y los 6.000 heridos, ese día cuatro aviones consiguieron que en Occidente olvidásemos repentinamente conquistas que hacían de nuestra sociedad de entonces algo más avanzado y hermoso que la vivida desde entonces.

Inspirados en el proceso económico ¹ que promulgo el fundador del liberalismo económico Milton Friedman y, que tan bien describe la autora Naomi Klein en su libro titulado “La Doctrina del Shock” ², la sociedad avanzada se dejó caer en manos de personas ³, ideologías y compañías ⁴ que buscaban de todo menos el bien común o la seguridad de nuestra sociedad.

Poco tiempo después aceptamos sin rechistar no poder llevar líquidos en los vuelos comerciales. El 4 de octubre de 2006 el Parlamento Europeo y el Consejo de Europa lanzan el reglamento secreto ⁵ que obliga a facturar cualquier cantidad superior a los 100 ml. de líquido, y siempre y cuando lo que se lleva en el equipaje de mano esté contenido en una bolsa transparente y se trate de una sustancia permitida.

La justificación esgrimida fue que el 10 de agosto de 2006, la Policía británica detuvo a 24 terroristas 6 que, según ella, pretendían secuestrar varios aviones y hacerlos estallar en pleno vuelo utilizando explosivos líquidos ocultos en sus equipajes de mano (bottle bombers ⁷). La lista de explosivos líquidos ⁸ es mucho más corta que la de explosivos sólidos que podrían ser disimulados en infinidad de objetos de viaje y que, de prohibirse, nos obligarían a viajar desnudos o, al menos, sin ningún equipaje. Puestos a prohibir líquidos, también podrían impedir el vuelo a mujeres con implantes mamarios ⁹, como estuvo a punto de ocurrir en el aeropuerto de Heathrow en el verano de 2013.

Si la idea es que no se vea en los escáneres habituales en los aeropuertos lo que llevan los suicidas, siempre quedan disponibles las técnicas de las “mulas” de la cocaína, que habitualmente pasan desapercibidas, o la del nigeriano que llevaba el explosivo pegado a su pierna y que intentó derribar un avión en vuelo ¹⁰ en las navidades de 2009.

Las distintas técnicas instrumentales que se han utilizado para detectar la presencia de explosivos no han tenido gran éxito, y siempre quedará el riesgo de que se usen explosivos tan peculiares como el trímero de acetona y agua oxigenada ¹¹, que es el único explosivo que no contiene nitrógeno y que, por ello, no puede ser detectado como los demás explosivos.

Dicho de otro modo, todos los clientes de vuelos comerciales se quedan sin poder llevar con normalidad líquidos en sus vuelos mientras que, por su parte, los terroristas pueden utilizar otras técnicas y otros productos realmente dañinos. Como medida de seguridad, la prohibición de llevar líquidos en la cabina de un avión es de muy dudosa eficacia pero, sin embargo, coarta las libertades personales de todos los viajeros del mundo y nadie ha dicho nada, nadie ha protestado suficientemente al respecto.

Podríamos hablar de estados hipervigilados, como es el caso del Reino Unido y su sistema de cámaras de video ¹² (1,85 millones de cámaras), que lo graba todo y a todas horas. Podríamos hablar también de la inminente ampliación de las medidas biométricas que se realizarán en los aeropuertos de los EEUU ¹³ (fotografía, huellas dactilares, iris, andares, empatía, video, etc.). Sin embargo, mejor es que abandonemos el mundo físico y pasemos al mundo digital donde las cosas en estos temas están aún peor.

El mundo digital

Hace 18 años, el 4 de septiembre de 1998 en Menlo Park, San Mateo County, California, se fundó la compañía Google. La idea original la tuvieron Larry Page y Sergey Brin en 1996 mientras hacían la tesis doctoral en la universidad de Stanford. Juntos son propietarios del 14% de sus acciones y controlan el 56% del poder de decisión en la compañía. En 2004, Google se muda a Mountain View, California, y en agosto de 2015 se transmuta en un conglomerado de intereses bautizado como Alphabet Inc., en el que Google sólo es una parte de los intereses de Alphabet en Internet.

Con mil millones de búsquedas mensuales, miles de millones de dispositivos Android por el mundo, miles de millones de personas utilizando Gmail, Maps, Translate, etc., Google es un inmenso océano en el que recolectar datos, guardarlos y analizarlos todos.

El 4 de febrero de 2004 nace una corporación sin ánimo de lucro y una red social también en Menlo Park, California, que su promotor, Mark Zuckerberg, renombró como Facebook mientras era estudiante de Harvard. El 24 de octubre de 2007, Microsoft compra un 1,6% de las acciones de Facebook por 240 millones de dólares, lo que le otorgaba un valor de 15 mil millones de dólares en aquel momento. En julio de 2010 esa compañía anunció que tenía 500 millones de usuarios inscritos. Actualmente tiene 1,86 mil millones de usuarios que se conectan mensualmente, y 1,15 mil millones lo hacen todos los días 14. Las tasas de crecimiento de estas cifras van del 17% al 23% anual.

El 21 de marzo de 2006 Jack Dorsey, Noah Glass, Biz Stone y Evan Williams crean Twitter y la lanzan en Internet el mes de julio de ese mismo año. En 2012 más de 100 millones de usuarios pusieron en ella más de 340 millones de tweets al día, y el servicio aceptaba 1,6 mil millones de consultas diarias. En 2016, Twitter tuvo más de 319 millones de usuarios activos y se ha convertido en la más grande y desestructurada fuente de noticias de lo que ocurre en el mundo.

En el globo se estima que hay 7.476 millones de personas, de las cuales un 54% vive en ciudades. El número de usuarios de Internet se estima en 3.773 millones, lo que supone un 50,5 % de la población mundial. De esos usuarios un 37% está en alguna red social, lo que supone 2.789 millones de usuarios. Un 66 % de la población mundial utiliza un teléfono móvil (4.917 millones de usuarios), de los cuales 2.549 millones se conectan con redes sociales a través de sus móviles, lo que supone un 34% del total de usuarios. En cuanto al comercio, 1,61 mil millones de personas compran a través de plataformas de comercio electrónico, lo que supone un 22% de la población mundial. El valor de lo vendido alcanza los 1,91 millones de millones de dólares al año, y el gasto medio en los EEUU es de 1.189 dólares por usuario y año.

Con todas estas cifras es fácil aceptar que 1) Google conoce todas las preguntas y da todas las respuestas a la mitad de la población mundial, que 2) un 37% de la población mundial tiene impresa en Internet su vida social y todas sus relaciones humanas, y 3) que Google controla 4.130 millones de teléfonos móviles, un 55% del total, a través de su sistema operativo Android.

En resumen, el 50% de la población mundial utiliza Internet y un 46% de los habitantes de esta tierra utilizan el móvil para conectarse a ella. Ya no hay duda de que quien controla Internet, controla el mundo. Y todo eso ha ocurrido en menos de diez años.

Este fenómeno ha sorprendido a todo el mundo y ha cogido desprevenidos a estados, a agencias de inteligencia, policías, democracias, ejércitos y tiranías. Más de la mitad de la población mundial está en manos de media docena de compañías que, en principio, sólo sirven a un amo, el dinero, pero que pronto serán seducidas (si no lo están ya) por el “poder”, que es a quién sirve el dinero.

Excepto las agencias de inteligencia que se están poniendo al día tal y como nos mostró Snowden y los muchachos de Shadow Brokers ¹⁵, los estados nacionales ya han perdido la soberanía de todo menos del territorio (y eso está por ver), y las distintas policías poco pueden hacer en un medio que va mucho más allá de su experiencia y, desde luego, de su jurisdicción.

Las democracias están cautivas ya que sus ciudadanos se informan de fuentes no necesariamente democráticas y/o veraces, y cada día es más fácil y eficaz lanzar campañas de desinformación, bulos, acosos y derribos informativos encaminados a la eliminación del contrincante; y todo ello porque ya nadie pregunta por la verdad, sino que reina la post-verdad ¹⁶. Como ya vaticinó George Orwell en1948, ahora unas pocas compañías pueden cambiar los registros históricos colectivos y ajustarlos a los objetivos propagandísticos o comerciales del día según se les pague por ello.

Las tiranías violentas parecen haber perdido el territorio del primer mundo ya que esta realidad paninformativa les hace difícil mantener aislado al pueblo sufridor y terminan poniéndose en contra a todos los demás habitantes de la tierra (Corea del Norte es una extraña excepción). Sin embargo, las tiranías siempre pueden actualizarse y montar ellas mismas sus propias redes sociales y enciclopedias ¹⁷, con lo que aterrizan directamente en la realidad del siglo XXI.

Desamparo

En este nuevo mundo el individuo está completamente desamparado, es el objetivo último de telúricas potencias contra las que nada parece que pueda hacer. No importa que sea hombre o mujer, niño o anciano, burgués acomodado o pobre de solemnidad, ya que los grandes jugadores de Internet conocen, recuerdan y analizan: su ubicación (GPS, GSM y WiFi), sus contactos sociales (agenda de contactos, llamadas telefónicas, mensajería instantánea), sus dudas y preocupaciones (consultas en buscadores), todos sus gustos (e-commerce), sus lecturas y opiniones (e-readers), su estado físico y su salud (historiales clínicos electrónicos, receta electrónica), y todo su mundo personal e interpersonal (redes sociales).

El acoso físico y telemático a la mitad de la población mundial se ha cocido y fraguado en los últimos diez años, y son pocos los que han dado la voz de alarma al respecto. Está claro que esa post-verdad está haciendo muy bien su trabajo y en el primer mundo reina la pasividad de “el silencio de los corderos” ¹⁸.

Los derechos fundamentales del hombre ¹⁹ son derechos naturales e imprescriptibles ²⁰ que son anteriores a los poderes establecidos políticos, económicos o tecnológicos, y que son aplicables en cualquier lugar y cualquier época. Esos principios son los de la libertad de hacer lo que no perjudica a nadie, la libertad de opinión, de prensa, de conciencia, de culto, de hábitos sexuales, la presunción de inocencia y la no retroactividad de la ley, el derecho a la propiedad privada y a que, en lo básico, nadie pueda ser desprovisto de ella, el principio de la necesaria seguridad y la siempre lícita resistencia a cualquier opresión. Y por si alguien lo ha olvidado, también es un derecho fundamental de los hombres pedir a todos sus agentes y representantes cuentas de su gestión y administración.

Consentimiento y negocio

En el mundo de Internet, algunos defienden que el usuario otorga consentimiento desde el momento en el que utiliza el servicio o acepta inconscientemente los “términos y condiciones de uso” ²¹ que nunca ha leído, ni nunca leerá. Tal argumento es una falacia ya que no hay posibilidad real de negociación entre iguales, la desproporción entre las partes es inmensa, el usuario nada puede que no sea aceptar, y la no aceptación le supone confinarse en una “edad media” tecnológica que le segrega automáticamente del resto de ciudadanos de su generación. La aceptación de los términos de uso de los productos y servicios actuales de Internet no es nada parecido a una libre e informada firma de un contrato por parte del usuario/víctima.

Ante la inmensa cantidad de beneficios que los grandes de Internet han amasado en los últimos diez años, son muchos los que quieren entrar en el negocio. Por una parte tenemos las agencias de publicidad y márquetin, que hablan sin pudor de la “publicidad de precisión” ²² que evoca a esas otras “municiones guiadas de precisión” ²³ que tanto han gustado y gustan a los estados avanzados que hablan de “surgical strikes” ²⁴ para minimizar los daños colaterales.

El márquetin de precisión requiere poder identificar a los clientes de un producto estén donde estén, y para ello quieren pasar por su tamiz a toda la población mundial con capacidad para comprar. Así pues, el valor de todos los datos (el petróleo del Siglo XXI) y de la posibilidad de procesarlos bajo variopintos y secretos algoritmos, se ha convertido en la “gasolina” del nuevo mundo.

Por otra parte tenemos a los clásicos operadores de telecomunicaciones que ven con envidia los beneficios que obtienen los grandes jugadores americanos y quieren también lanzarse al saqueo. La proliferación de las conexiones cifradas les impide husmear en lo que transita por sus redes físicas, pero siempre les quedan los meta-datos.

El 15 de marzo de 2006 se publica una directiva 25 en la que se obliga a compañías telefónicas y operadores de Internet a conservar, entre seis meses y dos años, datos sobre las llamadas, envíos de correos electrónicos, conexiones a internet y la localización de todos y a cada uno de sus clientes. El objetivo final era poder rastrear e identificar el origen de cualquier comunicación ocurrida en Europa durante todo ese tiempo, a fin de investigar presuntos graves (blanqueo de capitales, terrorismo…).

Los operadores de telecomunicaciones que operan en España (Telefónica, Orange, Vodafone…) se vieron entonces obligados a realizar importantes inversiones para poner en pie las infraestructuras destinadas a ese colosal acopio y memorización de datos privados, y para ello aumentaron considerablemente sus capacidades de almacenamiento digital.

Aunque en el mes de abril de 2014 el tribunal de Justicia de la Unión Europea invalidó ²⁶ la controvertida directiva por considerar que “se inmiscuye de manera especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal” ²⁷, y porque al hacerse todo sin el conocimiento del afectado, esto puede generar el sentimiento de que su vida privada es objeto de una vigilancia constante. Las infraestructuras ya estaban operando y algunos creen que “desmontarlo todo ahora no tiene sentido”, y ahí siguen.

En Europa tenemos desde hace tiempo leyes que pretenden proteger la intimidad de las personas frente a cualquier agresión física o mediante tecnologías de cualquier tipo. La ley de protección de datos personales ²⁸ española vigente es de 1999 y establece, entre otras cosas, 1) que los datos personales sólo podrán ser recogidos y procesados tras el consentimiento libre, inequívoco e informado del afectado ²⁹, y 2) que los datos sólo pueden ser utilizados para el fin para el que su titular los entrega y 3) que serán destruidos una vez hayan cumplido su cometido particular.

Con estas premisas básicas, gran parte de las métricas que se dan dentro de la Internet que conocemos son claramente ilegales a los ojos de la ley española. Por su parte, la Unión Europea también tiene Directivas que afirman lo mismo que la ley española, por lo que ese estado de ilegalidad se ha extiendo a todo el territorio europeo con una población actual de 739 millones de europeos en 2016.

4ª Plataforma

En la Mobile Word Congress de 2017 Telefónica presentó su “4ª Plataforma”, nuevo producto que vendría a ser un sistema futurista de análisis de los datos de todos sus clientes, de modo que pudiese ofrecer una foto de todo lo que sabe de cada uno de ellos y, según la compañía, “dejarnos decidir qué hacer con esa información”, si venderla a terceros o hacer que sea 100% privada. Parte de la aventura se hará con Microsoft ³⁰, por lo que esta iniciativa es más bien una especie de “unión temporal de empresas” a la caza de los biodatos de todos los españoles.

Las preguntas son: ¿quién ha autorizado a Telefónica a recolectar y almacenar todos los datos que permitirían este festín de datos? ¿En qué documento ha hecho Telefónica pública y diáfana la finalidad concreta de esta recolección de datos? ¿En qué lugar Telefónica permite al ciudadano impedir a priori la recolección de sus datos? ¿Cómo puede cualquiera de nosotros impedir que Telefónica procese nuestros datos y los agregue junto a los de otros para confeccionar esas “píldoras informativas” que quiere vender a quien se las compre? La información no es de Telefónica en ningún caso, por lo que su procesado probablemente incumple las leyes de protección de datos personales y avasalla los derechos básicos de intimidad de todos sus clientes.

Utilizar las antiguas infraestructuras y prácticas de retener de los metadatos asociados con las comunicaciones y procesarlos de algún modo, se distingue muy poco de otras investigaciones que si estarían permitidas a la luz de leyes antiterroristas que pesan sobre nosotros como lápidas desde septiembre de 2001. De hecho, no hay diferencias significativas entre los algoritmos para detectar la existencia de una célula de delincuentes y sus hábitos, y los utilizados para identificar cualquier otro grupo social con intereses plenamente legítimos.

El tipo de investigaciones que insinúan los promotores de la 4ª Plataforma y los modelos de negocio de Google, Facebook, Twitter y algunos otros, se realizan sin autorización judicial previa, algo que ayudó a invalidar la directiva de conservación de datos. Procesar sin autoridad e indiscriminadamente los detalles de las vidas privadas de todos los ciudadanos es lo mismo que tratarlos como se pretende hacer con delincuentes y terroristas.

Quizás las leyes e instituciones españolas y europeas no tengan jurisdicción suficiente para investigar las prácticas de Google, Amazon, PayPal, Facebook, Twitter, Instagram y un largo etcétera de depredadores de datos, pero sí tienen jurisdicción y obligación de investigar lo que realmente están haciendo las operadoras de telecomunicaciones con licencia para operar en suelo europeo.

Tanto el RGPD como la LOPD y otras normativas relacionadas, no pertenecen a la legislación penal sino, por el momento, a la administrativa. Sin embargo, las leyes de conservación de datos personales y su procesado pueden atentar y atentan directamente contra los Artículos 7, de la vida privada y familiar, y 8, sobre la protección de datos de carácter personal, de la Carta de Derechos Fundamentales de la Unión Europea, por lo que quizás hubiese que pasar dichas directivas y leyes del ámbito administrativo al penal para realmente controlar lo que empresas y estados hacen con la intimidad de sus ciudadanos.

De todos modos, el operador siempre podría solicitar con antelación a la misma recolección de los datos personales, no sólo antes de su tratamiento, el consentimiento explícito e informado del interesado y que para ello le pormenorizase los datos que de él podría tener (localización, agenda, tráfico detallado, facturación, calidad de servicio, averías, quejas, cambios de productos contratados, idas y venidas a otros operadores, entre otros…) y de los que pudiera llegar a deducir (edad, género, integración social, gustos, hábitos, religión, formación, activismo social, salud, preferencias políticas y multimedia, relaciones de parentesco, entre otras…). Esa declaración previa de intenciones le serviría al ciudadano para decidir si realmente quiere cederlos, para qué los cede y durante cuánto tiempo, y al concesionario le serviría para cumplir con la legislación de protección de datos personales europea. En tal caso, no habría mal que por bien no viniera.

De todos modos, una vez dado el consentimiento, éste no tiene por qué ser eterno y siempre puede retirarse, lo cual debería ser verificable por parte del dueño de los datos, que es el titular de los mismos. Está por ver cómo se consigue realmente esa verificabilidad, pero hay que recordar a los demandantes de datos personales que la legislación actual reconoce “el derecho al olvido”. De todos modos, no hay que obviar que hay muchos estados que no tienen limitado legalmente el mercado de datos personales, por lo que Europa debe estar muy atenta a lo que en ellos ocurre para evitar que las empresas y operadores internacionales con actividad en Europa, puedan refugiarse en esos “paraísos de bio-datos ajenos” y alimentar ese mercado negro internacional con nuestra intimidad.

Algunos creen que es posible el mercado legal de datos personales, pero hay que ver cómo a priori se orquestan esas iniciativas frente al derecho de cualquiera a no ser investigado extrajudicialmente y a seleccionar libremente y en todo momento qué quiere hacer público y que no.

Si una operadora de telecomunicaciones o cualquier otro ente intentan crear un mercado de datos personales, deberá demostrar sin espacio a la duda que su proyecto cumple la legislación vigente y es compatible con el espíritu de las leyes fundamentales nacionales e internacionales. Frente a esos intentos están los legisladores y el gobierno, que tienen la obligación de asegurar a todos los ciudadanos que sus “zonas de sombra” en el andamio legal y sus “inacciones intencionadas” en su quehacer político partidista, no dejan hueco a mercados de datos personales desbocados, que siempre erosionan de forma irreparable la intimidad de las personas.

Mis datos son míos y siempre lo han sido y lo serán. No autorizo a absolutamente nadie a recopilarlos, almacenarlos, procesarlos o agregarlos con ningún otro dato sin mi permiso previo y que éste sea explicito, libre y perfectamente informado. Me reservo el derecho a obtener la cancelación inmediata de cualquiera de mis datos en cualquier momento.

Hasta que alguien tenga el coraje de derogar la Constitución Española y el resto de Constituciones europeas, esto que vivimos es una Democracia, y no una Plutocracia ³¹ o una Anocracia ³², que termina utilizando leyes y medidas excepcionales antiterroristas para investigar y sacar jugo de sus ciudadanos.