Alexa, infórmame de mis derechos

Publicado por Eloy Ballester Meseguer.

Hace poco fui a casa de un amigo y me sorprendió mucho lo que me enseñó. Cuando entré en su salón, dijo al aire «Alexa, pon música indie». En ese momento empezó a sonar La Mosca en tu Pared, de Vetusta Morla, y yo no pude hacer otra cosa que interesarme por esta tecnología. Pasamos parte de la tarde jugando con Alexa: le pedimos que respondiera preguntas, absurdas (¿cuántas pelotas de golf caben en un autobús?) y no tan absurdas (¿quién fue Confucio?); que nos dijera qué tiempo iba a hacer al día siguiente; que pusiera una alarma a las 7:30 am; que nos contara un chiste…

Parece ser que Alexa es un asistente de voz, creado por Amazon, similar a Siri (de Apple) y Cortana (de Microsoft), pero con la peculiaridad de que Alexa no está atrapado dentro de ningún dispositivo, sino que es un objeto que podemos llevar con nosotros a cualquier parte. Esto me hizo preguntarme sobre la intromisión en nuestra privacidad que Alexa puede llevar a cabo: ¿escuchará Amazon todo lo que decimos en la intimidad de nuestra casa?

En las especificaciones de Alexa, en la propia página de Amazon, se asegura que está «diseñado para proteger tu privacidad», siendo que «está fabricado con varias capas de controles de privacidad, como un botón que desconecta los micrófonos electrónicamente». Y, efectivamente, así es: en dicha página se puede consultar el Portal de privacidad de Alexa, puesto a disposición por Amazon para consulta pública —lo cual, todo sea dicho, habla muy bien de su transparencia—, en el que se destaca la existencia de un botón para desactivar el micrófono y el funcionamiento de Alexa.

  • En cuanto al botón del micrófono, se explica que podemos encenderlo y apagarlo a nuestro antojo, y su estado —encendido o apagado— se nos informa por medio de una luz. De esta forma, el micrófono no está todo el tiempo recopilando datos e información nuestra, pero ineludiblemente sí lo hace cuando lo utilizamos.
  • En lo que respecta a su funcionamiento, cuando hablamos a Alexa, nuestra grabación de voz se envía a los servidores de Amazon, para que sus sistemas de reconocimiento de voz y comprensión del lenguaje natural procesen y respondan nuestra solicitud. Esta solicitud se asocia a nuestra cuenta de Amazon, para proporcionarnos una experiencia más personal (poner música que nos guste cuando se lo pidamos, por ejemplo).

Por tanto, no es del todo cierto que Alexa no sea lesivo para nuestra privacidad, pero sí que lo es que solo se realiza tratamiento de nuestros datos cuando nosotros estamos usando sus servicios (podemos descartar, así, la idea de que Alexa nos esté escuchando durante todo el día y esté informando al Gobierno de nuestros más oscuros secretos). Esto es, cuando le pedimos que nos ponga Day I die, de The National, Alexa sabe que nos interesa este tipo de música, y no solo puede utilizar esta información para recomendarnos música relacionada, sino que también puede venderla a otras empresas a las que les pueda interesar (desde plataformas de música en streaming hasta productoras).

Esta recopilación de datos no es necesariamente perjudicial para nosotros: a mí, como seguidor de The National, hasta me interesa que las empresas sepan cuánta gente hay a la que le gusta este tipo de música, para que sigan haciéndola. 

Es decir, en principio, el hecho de que las empresas conozcan mejor cuáles son nuestras preferencias puede hacer que satisfagan mejor nuestras necesidades, lo cual —en principio— nos beneficia. El problema viene cuando no se utiliza para este objetivo, y el uso de nuestros datos es algo que no siempre podemos controlar.

Datos de carácter personal

El artículo 4 del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (en adelante, RGPD) precisa qué se entiende por «datos personales» y por «tratamiento de datos personales»:

  • Se incluye dentro de la categoría de «datos personales» toda información sobre una persona física identificada o identificable, entendiéndose por «identificable» aquella cuya identidad puede determinarse, directa o indirectamente, a través de un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.
  • Por «tratamiento de datos personales» se entiende cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción.

Así las cosas, no son solo «datos personales» nuestro nombre y apellidos, sino que también entran dentro de esta categoría —como muy bien explica Elena GIL— nuestros gustos, nuestras aficiones, nuestra forma de caminar, nuestra ideología, nuestras creencias, nuestra situación económica, nuestra salud, etc.

Protección de estos datos: el consentimiento del interesado

Las empresas que operan en Internet recopilan nuestros datos a través de técnicas de big data, que se llevan a cabo —esencialmente— a través de dos fases:

  1. Una primera fase, en la que se recoge la información sobre los individuos y se aplican algoritmos para observar correlaciones. GIL, en este sentido, pone el ejemplo de cómo afecta la edad, el nivel de formación y el lugar de residencia de una persona sobre la tasa de impago crediticio en una sucursal bancaria.

    En este momento es suficiente con cerciorarse de que los datos no están contaminados, o dicho de otra forma, que han sido asociados de forma correcta. En definitiva, que los datos son de calidad, y las correlaciones que a partir de ellos se observen no son erróneas.

    En esta primera fase, se podría decir, se está ante el ius usus inocui o derecho al uso inocuo: en principio, las empresas pueden recoger estos datos y observar correlaciones, pero siempre que nosotroslos dueños de los datosno suframos perjuicio por ello.
  1. Una segunda fase en la que se aplica el modelo a una persona determinada, esto es, la información recogida —y con base en la cual se han observado correlaciones— sirve para obtener conclusiones sobre una persona. Es en este momento cuando hay que obtener su consentimiento informado.

El artículo 4 del RGPD dispone que se entiende por «consentimiento del interesado» toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Este consentimiento, en sede de las empresas de Internet, se puede hacer prestar de múltiples formas: aceptando los Términos de uso y política de privacidad, aceptando las cookies… Como esto daría para un artículo monotemático, nos centraremos solo en los Términos de uso y política de privacidad.

Cuando los Términos de uso y política de privacidadpor ejemplo, de Twitter—, ¿estamos prestando realmente el consentimiento que el artículo 4 del RGPD sanciona para que Twitter pueda realizar un tratamiento de nuestros datos? Técnicamente sí, pero la manifestación de voluntad exige que:

  1. Sea libre. Se podría decir que no estamos consintiendo libremente, porque el consentimiento es conditio sine qua non para poder utilizar la red social. Pero esto nos llevaría al absurdo, ya que, cuando vamos a comprar una barra de pan y nos piden, a cambio, 50 céntimos, no estamos aceptando libremente pagar los 50 céntimos, porque solo lo hacemos para obtener a cambio la barra de pan. Y es evidente que, en estos casos, y por norma general, nadie coarta nuestra libertad para prestar el consentimiento. Por tanto, en principio, este requisito se cumplirá siempre.
  2. Sea específica. En los —eternosTérminos de uso y política de privacidad siempre se dice que los datos van a ser usados, pero no solo se habla del tratamiento de los datos, sino que se incluyen todas las disposiciones relativas a nuestra relación con la red social. Entonces, cuando hacemos click en la casilla de aceptarlos, ¿estamos aceptando por el tratamiento de los datos, o es una aceptación en bloque por usar Twitter?
  3. Sea informada. Es decir, el usuario ha de prestar consentimiento sobre algo que comprende: tiene que saber hasta dónde llega el tratamiento de sus datos. Esto implica conocer, a priori, cuáles son los datos recogidos y los motivos de su tratamiento. Esta información dependerá del caso concreto, y es aquí donde, a mi juicio, radica el problema: la inmensa mayoría de usuarios de las redes sociales y demás sitios de Internet no entienden bien cuáles son las consecuencias de que se dé tratamiento a sus datos, bien porque no entienden cómo funciona exactamente la recogida y tratamiento de los mismos, bien porque no conocen cuáles son sus derechos para con sus datos de carácter personal.

Es por ello que algunos abogan por la utilización de un lenguaje sencillo: defienden que la política de privacidad se debe redactar en términos fáciles de comprender por el usuario medio. Pero esto, según Solol BAROCCAS y Helen NISSEBAUM, abocaría en la «paradoja de la transparencia»: la simplicidad y claridad de los términos conllevarían, inevitablemente, una pérdida de precisión, dado el entorno actual de complejos flujos de datos y actores con diferentes intereses que participan de las fases del big data.

Así pues, de la misma forma en que los pocos usuarios que leen las políticas de privacidad no las comprenden, una redacción sencilla de las mismas, aunque facilitaría su comprensión, haría que no se les pudiera proveer de toda la información que necesitan para tomar una decisión suficientemente informada.

Recientemente, algunos abogados (en concreto, Paloma Llaneza y Enrique Rodríguez), han trabajado en el movimiento Consent Commons, un sistema de iconos que, de forma análoga a los de las licencias Creative Commons, resumen de un vistazo la información legal que recoge el consentimiento cuando se recaban datos de personas físicas en entornos online y apps. Quién sabe si esta iniciativa podría ser la solución a este problema.

  1. Sea, por último, inequívoca. Esto es, la forma en que prestemos consentimientos no puede dejar lugar a dudas sobre si nuestra intención era –o no– consentir el tratamiento de nuestros datos personales.

Dicho todo lo cual, podemos concluir lo que ya sabíamos: las empresas hacen uso de nuestros datos, y en muchas ocasiones obtienen beneficios económicos de su tratamiento. Es por ello que el Derecho debe centrarse en analizar la licitud o ilicitud del uso de los datos de carácter personal, para evitar que los riesgos acompañados de las nuevas tecnologías se materialicen en daños reales para los dueños de estos datos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s