Desde ayer, 18 de noviembre de 2019, todos tus movimientos son rastreados

Se trata de una operación que lleva a cabo el Instituto Nacional de Estadística (INE), por el que obtendrán los datos de ubicación de todas las personas usuarias de Movistar, Vodafone y Orange.

Así es. Si tienes contrato de móvil con Movistar, Vodafone u Orange, todos tus movimientos serán observados y ordenados para hacer una estadística sobre movilidad. Esto es así hoy y durante ocho días más. Los tuyos y los de todas las personas usuarias de esas compañías. El 18 de noviembre es el primer día de una serie: el 18, el 19, 20, 21 y 24 de noviembre, 25 de diciembre, 20 de julio y 15 de agosto. Se trata de una operación que lleva a cabo el Instituto Nacional de Estadística (INE), por el que obtendrán los datos de ubicación de todos los usuarios de las mencionadas y principales operadoras. 

La buena noticia para todos: que esta vez nos hemos enterado.

La buena noticia para nosotras, activistas de derechos digitales: que veáis que no estamos locas. Nótese que somos absolutamente favorables a los usos estadísticos, pero no a que se use a la gente como conejitos de India sin que lo sepa, sin que sepa cómo y sin que haya dado un consentimiento realmente informado.

Al haber salido a la luz, las autoridades alegan que los datos que tratará el INE habrán sido anonimizados, por lo que dejan de ser datos personales y, por lo tanto, no les aplica la regulación de protección de datos. O sea: dicen que es legal, como si eso fuera una buena noticia.

¿Qué quiere decir “anonimizados”? Las operadoras saben a quién corresponde cada movimiento reportado porque saben a qué antena/repetidor se conecta nuestro teléfono en cada momento para recibir cobertura (y que, además, por Ley, deben guardar estos datos un año para que se puedan usar para resolver crímenes). En principio, en teoría y grosso modo, “anonimizados” quiere decir que las operadoras pasan esta información al INE eliminando quién ha realizado el movimiento objeto de estudio. Por lo tanto –dicen–, el INE no será el “responsable del tratamiento de los datos personales” sino la operadora.

El uso estadístico es una de las funciones que la Ley (Ley Orgánica de Protección de Datos y Reglamento General de Protección de Datos, en cuyo artículo 89 recoge que se permite el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos) considera legítimo casi por defecto en el tratamiento de datos personales. O sea, que al contratar el servicio de telefonía, casi con toda seguridad, se nos pidió el consentimiento para hacer uso estadístico de nuestros datos y, seguramente, la mayoría lo dimos. Se lo dimos a la operadora, no al INE.

Por otra parte, el INE se encuentra facultado por la Ley (12/1989, de 9 de mayo, de la Función Estadística Pública) a solicitar “datos de todas las personas físicas y jurídicas, nacionales y extranjeras, residentes en España”.

Algunos analistas dicen que la Ley (¡ay, la Ley!, en este caso la 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones  electrónicas y a las redes públicas de comunicaciones) indica que los datos de localización solo podrán ser cedidos previa autorización judicial por lo que el INE no tendría la autorización.

Nosotras creemos que no es así, que esto es legal y bien legal y la cuestión no es si es legal o no, sino que no debería serlo. O por lo menos no así.

El INE explica que el tratamiento se hace en interés público, cosa que incluso nos creemos. Sin embargo, los matices importan, ya que anonimizado no es anónimo. Aportamos dos ejemplos que han circulado por las redes en estos días.

En agosto de 2006, se hizo público el registro de consultas del buscador AOL. Se suponían anónimas, pero eran fácilmente identificables. En un artículo publicado en The New York Times, una mujer se reconoció claramente en ese registro y se sorprendió porque, tal como dice, “no imaginaba que alguien estuviera mirando por encima de su hombro”. Ella no demandó, pero podría haberlo hecho. La compañía pidió disculpas, pero el anonimato ya quedó expuesto.

Algo similar ocurrió con Netflix, como recoge Forbes, cuando facilitó datos supuestamente anónimos que podían ser identificados. En este caso la víctima demandó y llegó a un acuerdo privado con la compañía.

Estos dos ejemplos ponen en evidencia que hay anonimización y anonimización y que, como siempre, el diablo está en los detalles.

Como sociedad civil adulta estamos hartos de que se nos trate como criaturas y ya no nos basta con que se nos diga “tranquilos, lo estamos haciendo bien y por vuestro bien”. La geolocalización es uno de los elementos con los que más fácilmente se puede revertir la anonimización.

Si no lo creen, miren esto: un activista alemán pidió los datos que su operadora había recopilado. Para mostrarlo, creó una aplicación con la que podremos ver, haciendo zoom, todo lo que hizo durante dos días. De una forma asombrosa y morbosamente precisa.

Como indica Ricardo Baeza-Yates, Latanya Sweeney & Pierangela Samarati demostraron en el lejano 1998 que era posible identificar bastante bien al 80% de las personas usando información pública (nombre, género, edad, dirección). La forma para evitar la identificación de las personas en este contexto es la agregación. Cuanto más son agregados los datos, más difícil es revertir el proceso.

Se nos dice que el estudio quiere saber, por ejemplo, cuándo estamos en casa a ciertas horas del día. Para saber que estamos en casa, tienen que saber que esa es nuestra casa.

Si es cierto que esta información no llega al INE, quiere decir que lo ha de hacer a la operadora. ¿Qué hará entonces el INE que, por cierto, pagará 500.000 euros por esta información?

En pocas palabras, ¿por qué motivo nuestras instituciones consideran que pueden ejercer una vigilancia masiva y capilar sin deber explicar pormenorizadamente cómo piensan hacerlo? ¿Con qué grado de agregación? ¿Por parte de quién?

No debería ser preciso que se necesite que la Agencia Española de Protección de Datos (AEPD) intervenga para solicitar información sobre los protocolos establecidos entre el INE y las operadoras para utilizar estos datos, sino que el conjunto de la población debería poder conocer estos detalles de forma directa y previa.

Por ejemplo, deberíamos poder conocer qué datos en concreto recibirá el INE, y sería también conveniente conocer si el pago que realizará el INE está destinado solo a cubrir los gastos ocasionados a las operadoras para la recogida de los datos (como prevé el artículo 12.3 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública) o bien si las operadoras obtienen beneficio de participar en este estudio.

Dicen que es legal y, como he comentado antes, lo es. Como bien sabemos, no todo lo que es legal es justo.

Lo que debemos pedir como sociedad civil activa es la audibilidad del proceso y sus objetivos, de forma previa y pormenorizada.

Mientras no nos contesten a todas estas preguntas, el periodista José Carlos Castillo, en un artículo para El Correo, recopila algunas cosas que podemos hacer –a parte dejar el teléfono en casa en estos días-–aprovechando que algunas operadoras consienten desactivar el suministro de datos anonimizados. Es el caso de Vodafone y Orange. No así Movistar, quien afirmaba en su cuenta de Twitter que «los datos que forman parte de este proyecto son anonimizados y, por tanto, no sería aplicable la normativa de protección de datos, no siendo necesario el consentimiento del usuario para ello». Todo legal. Chim Pum.

Fuente: Simona Levi en lamarea.com

Y tú que opinas sobre este artículo?

avatar
  Subscribe  
Notify of