El complejo puzzle de la privacidad

Parto de un borrador que tenía guardado para mis reflexiones privadas, escrito hace unos 3-4 años, que hoy convenientemente hago público a colación de la inminente nueva normativa de privacidad europea, sumado al escándalo de la filtración de datos de Facebook.

Redes sociales y privacidad

"Las redes sociales están para mostrar cómo eres, tu carácter, los valores que puedes aportar a individuos con los mismos intereses... pero NO para obsesionarte qué piensan de tí los demás (ego). Aparentar una vida perfecta mostrando, lo que haces en cada momento, es una muestra de debilidad, vulgaridad y de no haber entendido que la privacidad es un factor clave para tu desarrollo interior.

La privacidad es un estado que te permite establecer contacto contigo mismo, te ofrece la oportunidad de concentrarte, aislarte y reflexionar. Es un mecanismo que permite encontrar salida a tus preocupaciones, además te ayuda a conocerte mejor.

La privacidad en grupo permite tener un espacio de intimidad para promover relaciones interpersonales sin necesidad de hacerlas públicas a gente que no pertenece al mismo colectivo o no comparte la misma afinidad.

De esta manera podríamos expresar que la privacidad existe tanto a nivel personal como colectivo. Es importante ser cuidadoso con nuestros espacios privados: no cuentes toda tu vida solo por agradar a los demás y ver cómo reaccionan para satisfacer tu ego. Respeta tus espacios y momentos privados o serás más propenso a sufrir estrés que hará tu vida mucho más difícil de gestionar.

Solo aprenderás a estar bien con los demás cuando estés bien contigo mismo, cuando no tengas apego, cuando no busques que aplaudan todos tus actos, cuando no tengas que cumplir expectativas de otros... entonces te inundará una sensación de tranquilidad y calma que mejorará tu paz interior y solo así lo podrás transmitir exteriormente atrayendo a gente más positiva a tu vida por resonancia.

Deja el móvil siempre que puedas, mira a tu alrededor, relájate, descansa... debes dedicar todos los dias tiempo en silencio para reflexionar, no pierdas tu vida respondiendo mensajes."

Desde esta reflexión surgieron algunas acciones implementadas paulatinamente:

  • Eliminé mi cuenta de Instagram

  • Eliminé mi cuenta de Facebook

  • Eliminé otras cuentas de redes sociales que abrí para probarlas

  • Mantuve sólo Twitter y LinkedIn por razones profesionales

  • Aprendí a ser más cuidadoso con la geolocalización

  • Aprendí a usar TOR para anonimizar mis sesiones cuando no quiero ser trazado

  • Aprendí cómo las multinacionales y administración pública usan nuestros datos

  • Empezé a usar sistemas de correo electrónico cifrado con encriptación punto-a-punto

  • Incorporé el hábito de estudiar cualquier tecnología que represente avances en el control de los datos personales aunque esto implique sacrificar usabilidad.

Y además...

Puse en práctica, durante varías semanas, un experimento de anonimáto total para conectarme a Internet desde cualquier dispositivo con una combinación de software específico, VPN y TOR. Una experiencia de usabilidad incomoda, pero de gran aprendizaje, que contaré en otro post probablemente.

Mi obsesión por la privacidad ha sido un viaje desde posiciones más radicales, por el placer del aprendizaje, para posteriormente volver a posiciones más laxas en busca del equilibrio entre anonimato, privacidad, seguridad, flexibilidad, integración, replicación multi-dispositivo, etc... puzzle sumamente complejo de conseguir pues aún sigo buscando fórmulas que mejoren mi workflow de datos actual. Es evidente que seguridad y privacidad implica cierta incomodidad y la puesta en práctica de procedimientos que suelen generar fricción en estructuras organizativas.

GDRP si, pero...

El pasado 25 de mayo de 2018 entró en vigor la General Data Protection Regulation (GDPR, la normativa mediante la cual las autoridades europeas pretenden armonizar, unificar y reforzar la protección de los datos de los ciudadanos de los estados miembros. Como siempre las leyes, aunque necesarias, se convierten en inoperativas por el desconocimiento de los reguladores sobre las prácticas de la industria tecnológica. Ley, a su vez, farragosa para PYMEs que no pueden dedicar tanto tiempo y recursos con los trámites que exige. GDPR sí, pero... hay que articular la ley con una dosis superior de realismo. Quien quiera profundizar le recomiendo esta publicación de Enrique Dans.

La LOPD ha sido un auténtico fracaso, un despilfarro económico para las PyMES e ignorada por grandes corporaciones y administración pública.

En esta entrevista le preguntan a la directora de la Agencia Española de Protección de Datos si la administración pública va a cumplir con la nueva ley, a lo que responde: "Veremos. El 25 de mayo todas deberían cumplir pero parece que queda mucho por hacer" [...]".

Señora directora sabe que no lo van a cumplir si conoce la administración pública mínimamente como quien suscribe estas líneas.

No cumplimos pero obligamos a los demás, la ley es un disparate para millones de autónomos y PyMES por definición. GDPR si, pero... articulen la ley desde las grandes prestatarias de servicio, nosotros somos usuarios, o rehenes, de sus tecnologías sin capacidad operativa para entender la maraña de TOS (Terms of Service) y notas legales que gobiernan los servicios de Google, Facebook, Mailchimp, Amazon, Twitter...

La ley es una buena noticia, viene a corregir una preocupación de los usuarios, su aplicación es lo realmente cuestionable

G.A.F.A.

Es obvio que una empresa use bases de datos como fuente de su actividad organizativa (ERP) y gestión comercial (CRM), como también debe serlo entender la naturaleza de la propia ley y no usar dichos datos para otra finalidad mas allá de para lo que fueron encomendados. Es incuestionable y punible, reusar dichos datos, pues convierten esas bases de datos en un estercolero de comunicación no solicitada. Sigamos trabajando en esta concienciación y que las leyes penalicen este tipo de abusos.

Pero seamos sinceros, donde realmente hay que poner el foco es con las grandes corporaciones que hoy gestionan vastas infraestructuras tecnológicas y toneladas de datos a nivel mundial; en un porcentaje muy elevado los datos de la totalidad de los usuarios de Internet, de manera directa, o indirecta desde APIs, están en manos de unas pocas corporaciones.

¿Por qué tanta dependencia?

Estas compañías son las únicas capaces de generar tecnología a estos niveles y dejarnos usar sus servicios gratis a cambio de conseguir nuestros datos.

Cuando un servicio de Internet es gratis, es probable que el producto seas tú

De este modo nuestra información está en manos principalmente de GAFA (Google, Amazon, Facebook y Apple) y el conglomerado de empresas subsidiarias. Este tipo de empresas ¿Cómo se adaptan a una ley contraria con sus intereses? Nuestros datos son como la sangre que corre por sus venas muy necesarios para su subsistencia, intentan cumplir la GDPR es la cuadratura del círculo para ellos. Se aproximan a cumplirla con un ejército de abogados que explotan cualquier recoveco legal. Buscan un equilibrio entre cumplir la ley, que parezca que la cumplen y/o pagar la denuncia cuando sale más a cuenta. Esta última opción no está mal vista por los burócratas de la comisión europea pues supone ingresos que justifican todo este circo.

Se habla mucho de Facebook, pero en realidad no es nada comparado con lo que Google almacena y sabe de nosotros.

Intermediarios y D.P.O.

A río revuelto ganancia de pescadores. La nueva regulación contempla que las empresas nombren la figura del Data Protection Officer (DPO). Expliquemos a un autónomo que ahora tienen que dedicar valiosos recursos, de tiempo y dinero, para cumplir una ley cuando su esfuerzo está centrado en la supervivencia.

Nuestra economía necesita PyMES más fuertes y saneadas, en cambio creamos leyes para poner palos en las ruedas

¿Cómo lo solucionamos? Tirando de la figura de asesor externo. Nuestra experiencia en este sentido es negativa. Este tipo de empresas vienen mayoritariamente del mundo jurídico, como abejas a la miel, en busca de un nicho de mercado a explotar. Al final acaban bailando con el surrealismo de la propia ley, sumando las carencias propias por la dificultad de entender la tecnología, cuya única oportunidad que les queda es automatizar procesos jurídicos para presentarlos y justificar su trabajo. Para ofrecer valor debería ser un proceso "pull" de extracción de datos, intercambio de datos entre sistemas, sin intervención humana que obviamente encarece la gestión a extremos inasumibles para una pequeña empresa. Pero este tipo de intermediarios no dispone de dichas tecnologías, la mayoría pivotan sobre un modelo de negocio oportunista sin una apuesta seria de permanencia.

Estos intermediarios además de complicar la burocrácia con suerte te llevarán la gestión al día. Mucha suerte.

¿Cómo organizamos el complejo puzzle?

A ver cómo encajamos todo este reto díficil de llevar a la práctica, voy a resaltar elementos que me han sido imposible darles coherencia entre sí por el conflicto de interés entre las partes:

  • Reguladores empeñados en geolocalizar leyes cuando la naturaleza de la Internet es global por diseño; desde su protocolo más fundamental como TCP/IP, pasando por CPDs replicados en espejo, tecnologías de virtualización, y ahora descentralizadas que rompen con la arquitectura clásica cliente/servidor usando p2p y bases de datos distribuidas.

  • Gestión complicada para autónomos y pequeñas PyMES

  • La administración pública incapaz de coordinarse para procedimientos complejos. Solo cruzan datos para recaudar ;-)

  • Grandes corporaciones que viven de explotar nuestros datos y que usan nuestra información como parte vital de su modelo de negocio

  • Intermediarios/Asesores que ven oportunidad de negocio, sin realmente aportar valor, complicando la montaña de burocracia

Vamos a tener que observar si esta nueva ley sirve para garantizar los derechos de los usuarios o será otro costoso intento abocado al fracaso.

En vistas a la experiencia de la predecesora LOPD creo que los usuarios vamos a tener que ir aprendiendo a protegernos con educación y tecnologías de gestión de identidad y anonimato. La parte optimista es que mi investigación en ese sentido, basada en blockchain, revela avances prometedores.