Protección de la Privacidad en el Mundo Digital

1. Protección de la Privacidad en el Mundo Digital

1.1 Qué es la privacidad

La privacidad es el derecho a controlar qué aspectos de nosotros mismos, de nuestras comunicaciones y de nuestras actividades conocen otras personas o entidades.

Datos que pueden ser privados:

• Identidad.
• Finanzas.
• Salud.
• Datos biométricos.
• Comunicaciones.
• Datos de localización.
• Cualquier otro dato sensible según el contexto.

1.2 Aspectos básicos de la privacidad

• Sujeto: persona o entidad a la que describen los datos.
• Propietario: persona o entidad que posee los datos.
• Recolección de datos: hoy se pueden almacenar y manipular cantidades enormes de información.
• Aviso y consentimiento: es esencial informar de la recogida y obtener consentimiento, aunque muchas veces el usuario no sabe realmente qué se recoge.
• Control y propiedad: una vez entregados los datos, el usuario suele perder el control; pueden conservarse indefinidamente o compartirse con terceros.

1.3 Buenas prácticas en la recogida de datos

• Los datos deben obtenerse de forma legal y clara.
• Deben ser relevantes para la finalidad perseguida, precisos, completos y actualizados.
• Deben indicarse los motivos de la recogida y el plazo o criterio de conservación.
• El uso para finalidades distintas requiere consentimiento del sujeto o habilitación legal.
• Deben existir medidas contra pérdida, corrupción, destrucción o uso indebido.
• Debe poder conocerse cómo se recogen, almacenan y usan los datos personales.
• El sujeto suele tener derecho de acceso, rectificación y reclamación.
• Debe existir un responsable o controlador de los datos.
• Referencias destacadas: AEPD y sus guías para ciudadanía y cookies.

1.4 Formularios e información personal en la red

• Los formularios suelen pedir más datos de los necesarios.
• Antes de rellenarlos conviene valorar si el servicio compensa el seguimiento, la publicidad o el spam asociado.
• Es fundamental leer las políticas de privacidad.

Fuentes habituales de información personal en Internet:

• DNI en listas públicas, boletines o resoluciones.
• Páginas y blogs personales.
• Firmas en manifiestos, asociaciones, sindicatos o peticiones.
• Redes sociales.

1.4.1 Egosurfing

• Consiste en buscar información propia en Internet.
• Es una práctica recomendable para controlar la identidad digital de forma preventiva.
• También conviene revisar periódicamente los perfiles en redes sociales.

1.5 Comportamiento digital

El comportamiento digital es el conjunto de actividades realizadas con dispositivos digitales. Toda actividad deja rastro y ese rastro puede almacenarse, analizarse y usarse con distintos fines.

1.5.1 Uso de dispositivos

• En ordenadores y móviles quedan registros como archivos abiertos, descargas, llamadas o tiempo de uso.
• Cada vez más esos datos se asocian a cuentas de usuario de grandes proveedores.
• Wearables y relojes inteligentes recogen datos físicos, de salud, ubicación, edad o sexo.
• Problemas clave: cómo se transmiten los datos, dónde y cómo se almacenan, quién accede a ellos y si se comparten con terceros.
• De nuevo, es importante revisar la política de privacidad del proveedor.

1.5.2 Actividad en la red

• Los navegadores recopilan información de navegación.
• Esa información puede servir para crear perfiles de usuario.
• Conviene revisar las cookies almacenadas y distinguir entre las necesarias y las orientadas al seguimiento.

Técnicas habituales de seguimiento:

• Cookies.
• Web bugs o web beacons.
• Spyware.
• Registros de actividad o log files.

1.6 Cookies

1.6.1 Qué son las cookies

• Son mecanismos que permiten a un sitio web almacenar datos localmente en el equipo del usuario.
• Permiten recuperar esa información cuando el usuario vuelve a visitar el sitio.
• Según su tipo, pueden ser más o menos invasivas y llegar a incluir información sensible.
• Por eso su uso está regulado y requiere información y, en muchos casos, consentimiento.

1.6.2 Clasificación de las cookies

Según quién las gestione:

• Propias: las gestiona el editor del sitio.
• De terceros: las gestiona otra entidad distinta del editor.

Según su duración:

• De sesión: solo duran mientras el usuario navega en esa sesión.
• Persistentes: permanecen almacenadas durante un plazo determinado.

Según su finalidad:

• Técnicas: permiten la navegación y funciones básicas del servicio.
• De personalización: recuerdan idioma, navegador o configuración regional.
• De publicidad comportamental: observan hábitos de navegación para mostrar publicidad personalizada.
• De análisis: miden uso y comportamiento para mejorar el servicio.

1.6.3 Cookies menos invasivas

Suelen quedar fuera del régimen estricto de consentimiento las cookies necesarias para:

• Entrada de usuario.
• Autenticación de sesión.
• Seguridad del usuario.
• Reproducción multimedia.
• Equilibrado de carga.
• Personalización de interfaz.
• Algunos complementos sociales si el usuario mantiene la sesión abierta.

Idea clave: las cookies de terceros y las de publicidad comportamental son las más problemáticas para la privacidad.

1.7 Web bugs o web beacons

• Son imágenes invisibles o elementos mínimos que se descargan al visitar una web o abrir un correo.
• Suelen estar alojados en un servidor distinto y permiten registrar datos como IP, sistema operativo, navegador, fecha y hora.
• Funcionan normalmente mediante la carga automática de una URL que ejecuta un script de seguimiento.
• Son más activos que las cookies porque pueden enviar información inmediatamente.

Cómo bloquearlos:

• Ajustes del navegador, incluida la opción Do Not Track.
• Desactivar la carga automática de imágenes en correo cuando sea posible.
• Uso de bloqueadores de publicidad como uBlock Origin o AdBlock Plus.

1.8 Spyware y logs

1.8.1 Spyware

• Código diseñado para espiar al usuario y recopilar datos.
• Puede usarse para publicidad invasiva, robo de identidad u otros fines maliciosos.
• Los secuestradores o hijackers alteran programas ya instalados para redirigir o exfiltrar información.

1.8.2 Logs

• Son registros de actividad generados por sistemas y servidores.
• Un servidor web puede registrar IP, fecha, recurso accedido, navegador y enlace de procedencia.
• Aunque muchas veces el análisis lo hacen programas automáticos, los logs permiten perfilar comportamiento digital.
• Ejemplos citados en clase: registros de Apache y herramientas estadísticas como AWStats.

1.9 Cómo reducir rastros al navegar

• Evitar el autocompletado de formularios, sobre todo con datos sensibles.
• Revisar las cookies antes de aceptarlas o limitarse a las del sitio original.
• Borrar la caché al salir del navegador.
• Borrar el historial al visitar sitios sensibles o comprometidos.
• No iniciar sesión en el navegador salvo que sea necesario.
• No dejar sesiones abiertas indefinidamente.
• Usar navegadores distintos según el uso.
• Emplear navegación privada sabiendo que solo evita rastros locales; los servidores siguen registrando actividad.

1.10 Navegación anónima

• Uso de equipos públicos o cibercafés.
• Uso de proxies web o configuración proxy en el navegador.
• Creación de cuentas “anónimas” cuando un sitio exige registro.
• Uso de redes de anonimato como Tor (onion routing), I2P e Hyphanet/Freenet.

Importante: anonimato local o frente al sitio web no equivale necesariamente a anonimato total.

1.11 Redes sociales y privacidad

Problemas principales:

• Cada vez son más invasivas con la privacidad.
• Las publicaciones afectan a la reputación real del usuario.
• Es clave la restricción de acceso al perfil.
• Las compañías explotan los datos subidos por el usuario.
• No siempre está claro qué ocurre con los datos de perfiles eliminados.
• Las etiquetas en imágenes y vídeos pueden revelar información adicional.

Buenas prácticas:

• Si hay duda, perfil privado.
• No aceptar solicitudes de desconocidos sin verificar autenticidad.
• No publicar datos de terceros sin autorización.
• Pensar antes de publicar si el contenido puede perjudicar en el futuro.
• No compartir información no verificada.

1.12 Otras tecnologías con impacto en la privacidad

1.12.1 RFID

• Las etiquetas RFID son transmisores de baja potencia que responden con un identificador único.
• Si se generalizan lectores y etiquetas, pueden facilitar seguimiento de personas u objetos.
• También pueden permitir inferir información personal a partir de los objetos que porta alguien.

1.12.2 Privacidad en la nube

• La ubicación física y jurídica de los datos en la nube afecta a privacidad y confidencialidad.
• Un mismo dato puede estar sometido a varias jurisdicciones.
• Las leyes pueden obligar al proveedor a examinar datos por sospechas de actividad delictiva.
• La incertidumbre legal dificulta saber el verdadero estado de protección de la información.

1.12.3 Voto electrónico

• Uno de sus problemas es mantener la privacidad del voto.
• Debe evitarse conocer si una persona ha votado y, sobre todo, a quién ha votado.

1.13 Ideas clave para examen

• La privacidad es control sobre la información personal y sobre el comportamiento.
• Los datos sensibles dependen del contexto, no solo del tipo de dato.
• La privacidad siempre tiene un coste en comodidad, personalización o calidad de servicio.
• La legislación sobre privacidad cambia según la jurisdicción.
• Cookies, web bugs, spyware y logs permiten rastrear comportamiento.
• Las redes sociales protegen poco la privacidad por defecto.
• Tecnologías emergentes como RFID, nube o voto electrónico añaden riesgos técnicos y legales.

1.14 Recursos útiles

• AEPD: guías sobre privacidad, seguridad en Internet y uso de cookies.
• INCIBE: identidad digital, egosurfing y buenas prácticas.
• EPIC: Electronic Privacy Information Center.