23 de octubre de 2014

Recomendaciones para proteger los datos personales en la red.

Mucho hablamos del acceso a la información y el uso de las llamadas TIC's (Tecnologías de la Información y Comunicación), pero poco se ha hablado, y sobre todo se le ha dado importancia, a la protección de datos personales en la red.
Entonces, me di a la tarea de analizar una serie de recomendaciones básicas para que las puedan aplicar a la voz de ya.
En nuestras visitas a los servidores web se nos puede solicitar todo tipo de datos personales para hacer uso de cualquier servicio o adquirir cualquier tipo de producto. Estos datos pueden variar desde la simple petición de una dirección de correo electrónico, hasta una completa descripción contenido nombre, dirección, ingresos, aficiones, etc.
Debemos ser conscientes de que estos datos pueden ser utilizados para fines diferentes de aquellos para los cuales fueron recabados: confección de publicidad personalizada, rastreo de intereses y aficiones, comercialización de los mismos a terceros, etc.
Además, es posible realizar un seguimiento más detallado de las visitas que hemos realizado a los servidores web, sin que seamos informados de ello, por ejemplo, mediante el uso de las llamadas cookies o la explotación del clickstream[1] mediante herramientas convencionales o de web mining[2].
Un aspecto adicional que hay que tener en cuenta es que la no aceptación de la grabación de una cookie[3] en nuestro ordenador puede implicar, en algunos casos, que el prestador del servicio nos prive de la utilización de determinadas funcionalidades del producto o servicio o, incluso, nos deniegue la utilización del mismo.
Una política respetuosa de la privacidad de los usuarios debería informarles de la grabación o colocación de cookies en su ordenador, de la posibilidad de desactivar esta posibilidad y de las consecuencias que podrían derivarse de dicha desactivación.
Adicionalmente, en los últimos tiempos han empezado a proliferar una nueva generación de programas conocidos como "aplicaciones E.T.". Estos programas suelen instalarse en el navegador del usuario y con el señuelo de ofrecer mejoras en la navegación (por ejemplo, ofrecer sitios web interesantes relacionados con el que se está visitando, ampliar información sobre el sitio visitado, ofrecer recomendaciones sobre determinados productos o asesoramiento comparativo, etc.) envían cantidades ingentes de datos sobre las páginas visitadas y los hábitos de compra de los usuarios a los propietarios de los derechos de tales programas.
Otras veces, estos programas se instalan subrepticiamente, permaneciendo activos incluso cuando ya no está instalado el programa a través del cual entraron en el ordenador del usuario y enviando información sobre, por ejemplo, los anuncios visitados por los afectados, a los autores de la iniciativa.
Internet es, por definición, una red global. Ello implica que el usuario, una vez que los datos salen de su ordenador, desconoce la ruta que estos siguen hacia su destino, en qué puntos intermedios se almacenan temporalmente y quién puede acceder a ellos, copiarlos, modificarlos y utilizarlos temporalmente y quién puede acceder a ellos, copiarlos, modificarlos y utilizarlos para una finalidad diferente de aquella para la cual los dio.
Como ejemplo, basta decir que en una comunicación de datos entre dos ciudades, puede darse el caso de que los mismos viajen a través de uno o varios países extranjeros, con diferentes niveles de garantía (en algunos casos inexistentes) respecto al tratamiento de datos personales.
Por lo tanto, en multitud de casos, puede resultar muy difícil asignar responsabilidades de una forma clara entre los diferentes actores que intervienen en la comunicación (proveedores de acceso, proveedores de contenido, operadores de red, etc.) ante una violación a la protección de datos personales.
Recomendaciones.
·  Tomar conciencia de los datos personales que se suministra o publica en las páginas personales y a quién los facilita. Para ello puede resultar de ayuda consultar la información etiquetada como "Quienes somos", "Sobre nosotros" o "About us" que aparece en numerosas páginas web. Asimismo, procura proporcionar únicamente aquellos datos personales estrictamente necesarios para la finalidad de que se trate. Haga conscientes de esta recomendación a todos aquellos miembros de su familia que sean usuarios de Internet.
·        Utilizar las últimas versiones de los programas navegadores.
·    Configurar elementos de protección y no asumas que los valores con los que se instala el producto son los más favorables para proteger tu intimidad.
·     Cuando se realicen descargas, procura informarte de la manera más fiable posible, de los autores y características de los mismos, rechazando aquellos de los cuales sospeche que puedan llevar a cabo acciones ocultas.
·   Si se comparte la computadora, utiliza la opción de borrar el historial de los lugares visitados y sobre todo elimina los archivos temporales de internet.
El correo electrónico (e-mail) o servicio de mensajería interpersonal es el servicio más utilizado en Internet. Permite la creación y transmisión de mensajes entre usuarios de la red sin que se requiera que estén conectados simultáneamente.[4]
Hay que tener en cuenta que la dirección de correo es la forma más común de registrar la "identidad" de una persona en Internet y suele servir de base para la acumulación de información acerca de la persona como el apellido, la empresa donde trabaja o el país de residencia. Esta dirección se utiliza en múltiples lugares de la red y puede ser conseguida fácilmente sin nuestro conocimiento (código incluido en los programas para transmitir la dirección de correo electrónico del cliente sin que éste se entere, fallos de seguridad de algunos navegadores que permiten a un sitio web conocer las direcciones en espacios públicos en Internet, etc.) En este sentido, La inclusión de datos en directorios de personas sin las adecuadas medidas de seguridad, supone exponerse a que los datos proporcionados puedan ser recopilados  sin conocimiento del afectado y utilizados para otros fines.
Recomendaciones.
·  Elegir una contraseña de correo electrónico que no revele aspectos de tu personalidad. Un conjunto de letras mayúsculas y minúsculas, cifras y símbolos no estructurado puede ser una buena elección; además de cambiarla periódicamente.
·        Nunca utilizar la opción: "Guardar contraseña".
·  Los mensajes y foros de discusión pueden ser interceptados y falsificados. La personalidad del remitente puede ser suplantada. Existen en la red, en ocasiones de forma gratuita, esquemas de cifrado que permiten un intercambio de información confidencial y mecanismos relativamente fiables de autenticación en correo electrónico. estos mecanismos pueden ser utilizados para dificultar grandemente los ataques a la confidencialidad e integridad de los mensajes y la suplantación de la personalidad.
·  Cuando se envíen mensajes de correo a una variedad de destinatarios, está revelando las direcciones de correo electrónico de todos los receptores. Para evitarlo, puede incluir los destinatarios del mensaje en el campo "Con copia oculta" de tal forma, ningún receptor podrá acceder a la dirección electrónica del resto.
El aspecto más preocupante de la participación en foros de discusión radica en que pueda servir de base para la confección de perfiles personales (temas de interés, inclinaciones políticas, orientaciones sexuales, etc.) a partir de nuestra pertenencia a las listas de distribución, o basándose en nuestra participación en grupos de discusión, corriéndose el riesgo de ser etiquetados por nuestra pertenencia a los mismos.
Además, existen herramientas de búsqueda públicamente disponibles que permiten, por ejemplo, obtener todas las contribuciones de una persona en todos los grupos en los que ha participado a lo largo del tiempo.
Recomendaciones.
·     Considerar, cuando se participa en foros de discusión o listas de distribución, que dichas contribuciones son públicas y accesibles durante mucho tiempo, por lo que las opiniones allí vertidas son susceptibles de ser mal interpretadas o mal utilizadas. Para evitar este problema se encuentran disponibles en la red, mecanismos que permiten el anonimato en el uso del correo -fundamentalmente los conocidos como re-mailers- y la participación en foros de discusión.
·       Si el sistema le permite dejar en blanco los datos reales del usuario, déjalo en blanco.
Entendemos por comercio electrónico todas las transacciones comerciales realizadas a través de Internet en que intervengan personas físicas.
Sin duda, una de las formas que tiene un individuo de preservar su intimidad en el comercio tradicional, es comprar los bienes o servicios que desee con dinero en efectivo. Esta forma de pago, evita que el vendedor necesite, en modo alguno, conocer la identidad del comprador.
En Internet las cosas son distintas. En primer lugar, salvo que adquiramos bienes digitales, susceptibles de ser descargados directamente desde la red (programas, música o películas en formato electrónico, por ejemplo), es necesario suministrar un nombre y una dirección de entrega del producto. Además, hoy por hoy, el medio de pago más utilizado son las tarjetas de crédito, por lo que el anonimato en las compras a través de Internet es, en la práctica, muy difícil.
Esta información personalizada que suministramos es susceptible de ser utilizada -por el proveedor o por los terceros a los que se les ceda, alquile o venda- para fines que nada tienen que ver con la finalización de la transacción comercial.
Otra de las preocupaciones del usuario de Internet cuando realiza transacciones comerciales no anónimas, es asegurarse de que los datos que suministra en la transacción, por ejemplo, su nombre, dirección, número de tarjeta de crédito, etc., no son capturados en la transmisión por alguien distinto del proveedor con el que quiere realizar la transacción por alguien distinto al proveedor con el que quiere realizar la transacción y que, posteriormente, pudiera suplantar su identidad y hacer un uso indebido de sus datos. Por otro lado, el proveedor o vendedor debe asegurarse de que quien efectúa el pedido o la orden de compra es verdaderamente quien dice ser, ya sea el consumidor final o un intermediario.
Las características que definen a un sistema de transacciones seguras son:
· Garantizar, mediante el cifrado, la confidencialidad de las transacciones comerciales electrónicas, de manera que los datos contenidos en dichas transacciones sólo sean accesibles a las partes intervinientes.
·    Garantizar, mediante el uso de firmas electrónicas, la integridad de tal manera que, su contenido no pueda ser alterado por terceros ajenos, sin ser descubiertos.
· Garantizar, mediante el uso de la firma electrónica y la certificación, la autenticidad tanto del titular del medio de pago, como del proveedor. La firma electrónica garantiza la integridad de la transacción. La certificación por parte de un tercero de confianza (TTP o Trusted Third Party) garantiza la identidad de las partes que intervienen en la transacción.
La publicidad es una actividad íntimamente relacionada con cualquier forma de comercio y, por lo tanto, también con el comercio electrónico.
En Internet, puede adoptar muy diversas formas, desde la utilización del correo electrónico como medio para el push advertising[5] hasta el envío de banners, interstitials o pop-up windows durante las sesiones de navegación de los usuarios.
El primer tipo de mensajes publicitarios requiere, lógicamente, el conocimiento de la dirección de correo electrónico del receptor de los mismos. Esta dirección la ha podido proporcionar el propio usuario para recibir información de su interés o puede haber sido obtenida sin tu conocimiento a través de:
·        Listas de distribución y grupos de noticias.
·        Captura de direcciones en directorios de correo electrónico.
·    Venta, alquiler o intercambio de direcciones de correo por parte de los proveedores de acceso.
·   Entrega de la dirección de correo, por parte de los programas navegadores en determinadas situaciones cuando se comunican con los servidores web.
·       Recepción de mensajes de correo requiriendo contestación a una dirección determinada y pidiendo la máxima difusión de los mismos.
El segundo tipo de mensajes, adopte la forma que adopte, está íntimamente ligado a la visualización de páginas web, ya sea mostrando información comercial en zonas específicas de las mismas o utilizando nuevas ventanas para exhibirla aprovechando los tiempos de descarga o transición entre distintas páginas.
En muchas ocasiones, el anuncio específico que un usuario de Internet recibe está condicionado por la información previa (perfil) que quien lo envía tiene sobre él[6] y que se ha podido obtener de muy diversas maneras, tal y como se ha ido describiendo a lo largo de este documento.
Además, en estos momentos, está apareciendo una nueva forma de comercio: el comercio electrónico móvil. Esta modalidad se lleva a cabo no ya desde terminales de ordenador situados en una oficina o en una vivienda, sino a través de una nueva generación de dispositivos móviles portátiles que utilizan nuevos protocolos que permiten acceso seguro al correo electrónico y a las páginas web.
Consecuentemente, existe la posibilidad de que los datos de tráfico y de localización generados por estos accesos móviles, como por ejemplo, patrones de viaje, sean fusionados con el resto de datos transaccionales y de navegación que se tratan en la actualidad para, de esta manera, obtener todavía un perfil mucho más exacto del consumidor.
Recomendaciones.
·        Utilizar sistemas de dinero electrónico que preserven el anonimato de tus compras en Internet.
·   No realizar transacciones comerciales a través de páginas con proveedores de seguridad no fiables. El navegador puede detectar esta condición.
·        Verificar la política de intercambio de datos personales.
·        Sólo proporciona los datos personales necesarios para la entrega de su mercancía.
·     Verifica siempre la Política de Privacidad o de Protección de datos de la compañía a la que le comprarás algo.
Recuerda que tú eres dueño de tus datos personales, en la medida en que los protejas, reducirás los problemas de su indebida distribución o suplantación de identidad, de lo que hablaremos en otra ocasión.




Especialista en Derecho de la Información y 
maestrante en Derecho por la UNAM.
@lenna_m


[1] Secuencia de clics para llegar de un portal a otro.
[2] Metodología de recuperación de la información que usa herramientas para extraer datos tanto del contenido de las páginas visitadas, los enlaces o el registro de la navegación del usuario.
[3] Información enviada por un sitio web y almacenada en el navegar del usuario, de manera que el sitio nuevo al que se ingresa, puede consultar la actividad previa del usuario.
[4] Dado que se ofrece de manera gratuita por gran número de servidores de Internet y que permite la gestión del correo electrónico desde cualquier ordenador del mundo que tenga conexión a la Red, en los últimos tiempos se está extendiendo cada vez más la utilización del servicio de correo electrónico a través de páginas web, conocido como webmail. Su principal ventaja, aparte de la accesibilidad universal, es que aunque cambiemos de proveedor de acceso a Internet podemos seguir manteniendo la misma dirección de correo electrónico. La utilización del webmail, al estar basada en el servicio WWW, añade los riesgos propios de este servicio a aquellos asociados a la recopilación de direcciones y falta de confidencialidad de los mensajes que se describen a continuación.
[5] Este puede adoptar la forma de correo electrónico solicitado o no. En este segundo caso
[6] Y que muchas veces no es responsable de las páginas a las que el usuario se conecta, sino un tercero, generalmente una agencia publicitaria que despliega sus actividades en Internet.

No hay comentarios.:

Publicar un comentario