Privacidad digital, los límites del Gran Hermano

Por Adrián Delgado, Responsable de IoT en Purple Blob.

Cuando hablamos de datos personales existe una fina línea entre la explotación respetuosa y válida y la vulneración de la privacidad. Cuando se trata de privacidad digital, esta línea es aún más delgada y difusa. El reto es simple en apariencia: extraer información útil que no vulnere en ningún caso el derecho a la privacidad. Con los datos más cotidianos todos lo tenemos claro: el número de DNI, opiniones políticas, derechos de imagen, etc. es información privada que requiere de nuestro consentimiento para ser tratada o publicada.

En el mundo digital, sin embargo, cada uno de nosotros aportamos una cantidad de datos cuya naturaleza no queda del todo clara. Pongamos un ejemplo, si subimos una foto personal a una página tipo Facebook, Instagram o similares, previamente hemos aceptado un acuerdo de cesión de derechos de imagen. Estas compañías se protegen concienzudamente sobre cualquier tipo de reclamación legal. Si subimos esa misma imagen a un servicio de almacenamiento tipo DropBox o Google Drive, este no suele ser el caso. Ninguno de los dos servicios tiene derechos a, por ejemplo, publicar sin nuestro consentimiento dicha imagen o utilizarla con fines publicitarios.

No obstante, hasta este momento, el dato en sí (una imagen personal) sigue teniendo una naturaleza clara. ¿Qué sucede cuando nos referimos a un dato puramente digital? Pongamos de ejemplo una dirección MAC. La dirección MAC es un identificador unívoco que tiene cualquier dispositivo con capacidad de conexión. Sirve principalmente para que las diferentes redes de comunicación puedan identificarlo, de la misma manera que un coche ha de tener una matrícula válida y única. En este sentido, cada dispositivo que utilizamos para conectarnos tiene una dirección MAC diferente: el portátil, el móvil, el smartwatch… El quid de la cuestión es el siguiente, ¿es la dirección MAC un dato personal?

Hasta hace unos años, existía una opinión generalizada de que no, la dirección MAC identifica a un equipo, no a una persona concreta y, por tanto, no es un dato personal . Sin embargo, en los últimos años han surgido varios factores que nos hacen replantearnos esta afirmación. Por un lado, la ciberseguridad está obteniendo el reconocimiento que merece (si bien aún no se considera debidamente), oímos noticias de ciberataques exitosos cada semana, tanto en grandes empresas como en cuentas particulares. Por otro lado, estamos descubriendo el valor real de los datos. Grandes empresas como Google, Facebook o Amazon utilizan estos datos como materia prima que genera beneficios millonarios anualmente. Ante esta información, los usuarios nos estamos concienciando de que nuestra información tiene un valor que, en la mayoría de casos, estamos cediendo de forma gratuita.

Ante esta situación la Unión Europea ha formulado el Reglamento General de Protección de Datos (el archiconocido RGPD) que insta a todos los estados miembro a endurecer y controlar mejor la legalidad referente a los datos y que, además, está enfocado a proteger esta información en entornos digitales. Volviendo al ejemplo de una dirección MAC, el RGPD dice lo siguiente:

1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Considerando esta definición, una dirección MAC es un identificador en línea que puede identificar indirectamente a una persona: si un atacante conoce nuestra dirección MAC y la detecta en un sistema al que ha accedido, puede identificarnos indirectamente y, por tanto, este dato pasa a ser un dato personal y ha de tratarse como tal.

En general, esto es beneficioso para los usuarios, ya que la Unión Europea está promoviendo esfuerzos para proteger nuestros datos personales en entornos digitales. Para algunas empresas como la nuestra, esto significa nuevas consideraciones a tener en cuenta, lo que suele traducirse como retos tecnológicos que han de resolverse para respetar la privacidad de los usuarios. Si bien esto repercute en exigencias más duras en el diseño de los sistemas que utilicen estos datos, la causa está justificada y es completamente necesaria. Por otro lado, a la hora de la verdad, el esfuerzo que podamos hacer desarrolladores y encargados del tratamiento de la información nunca será suficiente si los usuarios no hacemos un esfuerzo por concienciarnos de que nuestra información personal tiene un valor que, en ningún caso deberíamos ceder a cambio de nada.

Privacidad digital, los límites del Gran Hermano