Los grises entre la explotación de datos personales y la privacidad del usuario

google privacidad

En líneas generales, aquellos que nos dedicamos a la seguridad, al riesgo y a la reputación online tendemos a mostrar una mirada crítica frente a cualquier acción cuyo fin sea la explotación de datos personales.

Y me parece que esto es reducir la problemática de la gestión de datos y la propia definición de privacidad en demasía.

Me explico.

Un servidor, como usuario, está completamente en contra de que una empresa como Facebook trafique con mis datos más allá de lo que a priori podemos considerar que es el pago en especie por el uso de sus servicios.

Sin embargo, sí me gustaría tener una manera cómoda, inmediata y segura de ofrecer mi información médica a un profesional del sector si (Dios no lo quiera) me pasa algo cuando estoy de viaje. Y es más, querría que ese profesional tuviera acceso a dicha información inclusive (y sobre todo) si yo no estoy en las facultades de ofrecerle dicho acceso.

Esto, que puede parecer algo obvio (ante una situación de crisis, la supervivencia es lo más importante), a día de hoy no se cumple. Y no hablo ya solo de viajar al extranjero. Dentro del propio país, solo por estar en otra provincia, puede que ese profesional no tenga acceso inmediato a dicho historial, y por tanto, desconocer que, por ejemplo (no es el caso), soy alérgico a la penicilina.

Que sí, que es cierto que hay una serie de protocolos médicos que minimizan este tipo de riesgos. Pero en la práctica son meros apaños de la falta de esa convergencia informativa de la que ya hemos hablado en más de una ocasión.

Y al igual que ocurre con el sistema médico, ocurre con prácticamente todos los derroteros de la vida. Que si elementos de identificación únicos (tickets y entradas, por ejemplo), que nos llegan al correo, como un descargable, o requieren tener instalada en el dispositivo una aplicación específica. Que si historial de cliente en todos esos servicios que damos uso a diario (luz y agua, electricidad, telecomunicaciones, supermercado…), que se pierden cuando cambiamos de una a otra compañía. Que si perfiles sociales, cada uno encorsetado dentro de las fronteras valladas de una u otra plataforma.

Ya no solo hablamos de problemas de acceso a la información, sino que además hay que añadir en la ecuación la necesidad de generar identidades replicadas para los múltiples gestores de identidad que tenemos que usar.

El smartphone se ha vuelto, de facto, el epicentro de esa gestión de identidad. Y de forma innata a él, el número de teléfono como identificador del usuario. Pero por debajo no nos queda otra que utilizar además un correo, una serie de contraseñas (que además deben ser distintas para cada servicio) y una serie de aplicaciones, que requieren a su vez un proceso de identificación único.

Que hemos mejorado, claro está. Al menos ahora tenemos manera de acceder a dicha información siempre y cuando tengamos acceso a red (bendita sea la nube), cosa que hace apenas una década era impensable.

Pero nuestra identidad, y es ahí donde quería llegar, está supeditada a una serie de elementos adicionales que en conjunto complican bastante su gestión.

Hacia derroteros de gestión de identidades unitaria

Bajo este prisma, me parece interesante ver cómo este último año la concienciación en materia de privacidad y seguridad de la información está incentivando a las grandes tecnológicas, y a los organismos públicos, a ponerse las pilas.

Ya hablé en su día de la Cuarta Plataforma de Telefónica, que a día de hoy parece haber obviado (a nivel de discurso, me refiero) lo que en teoría era aquello que le daba sentido: los PIMS.

Mediante estos sistemas (Personal Information Management Systems), se pretende ofrecer al usuario la capacidad de gestionar de forma unitaria toda la información (personal y de uso) que tiene una telco (y en definitiva, cualquier gran empresa de servicios), ofreciendo una manera estandarizada de exportar dicha información, modificarla e importarla a un nuevo proveedor si así lo deseamos.

El camino hasta llegar a ese entorno en el que cualquier negocio cuente con ecosistema de gestión y almacenaje de datos estándar se me antoja verdaderamente complejo de afrontar, y es ahí donde entra la regulación.

Europa lleva tiempo alertando de la obligatoriedad de operar mediante PIMs (EN/PDF) que se ha visto reflejado en el modo en el que los gigantes tecnológicos estructuran la explotación de nuestros datos. Telefonica con esa llamada Cuarta Plataforma, Google con Mi Actividad, Facebook con sus herramientas de privacidad

Estamos aún en pañales

Y la razones deberían ser obvias.

Hablamos de cambiar radicalmente la manera en la que hasta ahora se operaba en entornos digitales.

De un escenario en el que la información personal es gestionada única y exclusivamente por el proveedor, a otro en el que la gestión la hace el propio usuario, cediendo mediante permisos el acceso y la explotación de una parcela de esos datos.

Un tema del que, como ya sabrás, un servidor estuvo trabajando hace unos 6 años. Y que acabó entonces en saco roto (la industria no estaba interesada en perder dicho control).

Y que conste: No hablamos de crear una plataforma centralizada, sino de centralizar la gestión de identidades estandarizando las plataformas actuales.

Que tus datos sean tus datos, y que tú tengas la potestad de, unilateralmente, cederlos o negarlos a un servicio, exportarlos e importarlos a otro según te venga en gana.

Que ese médico que te atiende de urgencias en una zona que no es la tuya no tenga que hacer pruebas para asegurarse que no eres alérgico a tal medicamento, sino simplemente acceder a tu historial clínico con las garantías suficientes. Que para identificarnos en un evento no se nos requiera tener una cuenta en X servicio, sino simplemente mostrarla desde la aplicación que nosotros queramos.

Que lo que nos define sea un todo, a fin de cuentas, y no una serie de identidades aisladas.

Todo ello con las garantías de seguridad y privacidad adecuadas (ahí es donde entra la descentralización de plataformas y la estandarización de medidas de seguridad).

Manteniendo un equilibrio sano entre lo que debe ser potestad del usuario y lo que entra en conflicto con la seguridad del resto de ciudadanos.