Hilts expone frente a una presentación.

Andrew Hilts, investigador canadiense, explica los alcances de su investigación en protección de datos a estudiantes de la Escuela de Computación del Tecnológico. Foto: Andrés Zúñiga / OCM. 

Ciberseguridad

Experto canadiense explica cómo funciona la protección de datos en su país

4 de Mayo 2018 Por: Johan Umaña Venegas

“Cuando usa su teléfono móvil, su geolocalización puede ser registrada por su proveedor de telefonía celular en función de la proximidad de su teléfono a las torres de telefonía celular de los proveedores. Las aplicaciones de citas en línea pueden conservar sus mensajes y fotos personales incluso después de que piense que fueron eliminados. Se puede solicitar a las compañías de seguimiento de fitness que compartan estadísticas sobre su salud y bienestar en procedimientos penales. En una época en que los teléfonos inteligentes son omnipresentes, los datos personales pueden recopilarse, almacenarse y usarse de muchas maneras inesperadas, y pocas declaraciones y políticas de la empresa ofrecen respuestas personalizadas sobre lo que hacen precisamente con esos datos”.

Así introduce Andrew Hilts su investigación sobre la información personal que guardan las compañías digitales y qué tanto pueden saber los ciudadanos canadienses al respecto.

En el estudio el Citizen Lab (Laboratorio Ciudadano), de la Universidad de Toronto, pidió a varios participantes que sistemáticamente solicitaran a 23 compañías reportes sobre su información personal, amparados en la Ley de Protección de Datos Personales y Documentos Electrónicos (Pipeda, por su acrónimo en inglés).

Sobre los resultados de esta investigación y el estado de la protección de información personal de los ciudadanos, en Canadá y el mundo, conversamos con Hilts, quien visitó Costa Rica para participar en una actividad sobre ciberseguridad organizada por la Escuela de Computación del Tecnológico de Costa Rica (TEC).

A continuación una traducción de la entrevista:    

– ¿Cómo fue su investigación en el tema de protección de datos?

– En la investigación que hicimos en el Laboratorio Ciudadano intentamos ver qué pasa cuando ejercitamos nuestro derecho a pedir acceso a nuestra información personal, bajo la ley canadiense de privacidad. Tenemos un grupo de investigadores enviando solicitudes de que les envíen su información personal y observamos qué responden las compañías. Vemos qué información le envía su compañía de teléfono, las aplicaciones de citas en línea, o las aplicaciones para ejercicio... Y es muy interesante cómo algunas empresas podrían guardarse cierta información sobre usted o no estarían dispuestas a compartirle su información.    

– ¿Su información personal?

– Sí. Algunas compañías podrían decirle mucho, algunas podrían decirle muy poco, y es interesante porque probablemente estén recopilando la misma información pero le responderán diferentes cosas. Entonces, puede ser muy confuso para un ciudadano normal realmente saber qué es lo que está pasando.

– ¿Cómo funciona la legislación de este tema en Canadá?

– En Canadá todas las compañías que hacen negocios en Canadá, ya sea que estén ubicadas en Canadá o no, tienen que seguir la ley y si alguien les envía una solicitud de información, una compañía tiene 30 días para responder. Entonces, la solicitud puede ser algo como ‘yo quisiera tener acceso a toda la información personal que ustedes tienen sobre mí’, también puede incluir un par de preguntas sobre cómo es utilizada su información. Luego, la compañía tendrá que responder en 30 días, aunque a veces puede pedir una extensión, si tienen problemas para recopilar toda su información personal, pueden pedir 30 días más. Y se supone que, de acuerdo a la ley, deben facilitar esa información de forma gratuita o establecer un costo mínimo.

Así es como se supone que debe funcionar la ley, pero en nuestra investigación nos dimos cuenta que ese ‘costo mínimo’ muchas veces es muy difícil de definir. Algunas compañías podrían cobrar mucho dinero por su información. Por ejemplo, de las compañías de celulares usted puede conocer su historial de ubicaciones, porque como el teléfono se conecta a la red celular desde torres específicas, ellos tienen historiales de eso y basados en eso pueden tener una base de datos de todas las ubicaciones en las que usted ha estado o ha utilizado su teléfono. Uno de nuestros participantes pidió esa información y le dijeron que tenía que pagar $100 para obtener tan solo un mes de registros. En el análisis de nuestro reporte decimos que eso no parece un costo muy razonable, no parece ser un costo mínimo del todo.

– ¿Este derecho aplica a todas las compañías o solo con las que se tiene un contrato? Por ejemplo, ¿puedo pedirle a una empresa de mercadeo que me facilite el perfil que tiene sobre mi?

– De acuerdo a la ley todas las compañías tienen que responder. No hemos investigado todos las diferentes tipos de empresas, así que no puedo decir con seguridad cómo respondería una empresa de mercadeo, pero están obligados a responder según la ley. Si no lo hacen, uno se puede quejar al comisionado de privacidad, que es una especie de cuerpo legal para supervisar el cumplimiento de la ley de privacidad en Canadá. Uno puede presentar una queja con ellos y así iniciaría una investigación.

Uno de los inconvenientes que hemos notado es que algunas veces las compañías que no están radicadas en Canadá se rehúsan a cumplir con la petición de información, puede que aleguen que son una compañía estadounidense y solo responden a determinaciones de las autoridades de ese país, por lo que no facilitan su información. A veces, las compañías pueden ser un poco groseras y alegar que no tienen por qué responder, pero le van a hacer un favor al cliente ‘facilitándole’ un poco de su información En otros casos, responden como si se tratara de un europeo pidiendo la información y lo hacen por esos canales. Así que están cumplierndo la ley, casi del todo, pero lo tratan como si fuera un europeo. Son algunas de las experiencias que hemos encontrado.

– Una vez que se tiene acceso a la información personal, ¿se le puede pedir a las compañías que borren esa información?

– No creo que se tenga el derecho a que sea borrada, a menos que se quiera dejar de ser cliente de esa compañía. Sí se tiene el derecho a que se corrija la información, en caso de que haya errores. Pero no creo que en Canadá exista una ley específica que determine explícitamente que se tiene el derecho a que su información personal sea borrada. Pero en la ley de privacidad de Canadá existe la obligación de que las compañías solo pueden mantener la información mientras que la necesiten, así que de cierta forma si uno deja de utilizar el servicio están de alguna forma obligados a borrar la información.

Pero no tenemos ese tipo de legislación en el que las personas tienen derecho a que se elimine su información personal, como creo que sucede en Europa.

– Así que sigue siendo difícil para una persona común ser consciente de cuánta información tienen las compañías y para qué la usan.

– Sí, yo diría que es difícil para una persona común saber qué información hay ahí afuera sobre ellos mismos. Porque nuestra relación con la información es básicamente a través de nuestro teléfono, cuando estamos haciendo algo en el celular como usar Facebook, WhatsApp... sin pensar sobre la información que se está generando. Solo pensamos en hablar con nuestros amigos o publicar fotos, lo que sea. Pero no reparamos en los efectos a largo plazo de la acumulación de toda esa información, ni en lo que las compañías podrían estar haciendo a escondidas, como desarrollar perfiles publicitarios en relación a usted, o que pasa si la policía quiere saber más sobre usted y le pide esa información a la compañía, que es lo que van a recibir. No lo sabemos y las políticas de privacidad de las compañías usualmente no lo hacen muy claro. Así que tratamos de usar estas solicitudes de acceso para conocer más sobre lo que está pasando y creo que se puede saber mucho al hacerlas, pero no puede confiar que sea un registro completo de la información que tienen, es solo una pieza de evidencia.

Por eso creo que es importante hacer las solicitudes de información y que muchos ciudadanos lo hagan, porque si muchas personas solicitan acceso a su información eso le demostrará a las compañías que a la gente le importa su privacidad. Es probable que las empresas aprendan que quizá podrían evitar estar respondiendo a tantas solicitudes de información si son más proactivas, más transparentes en sus políticas y de cómo hablan sobre sus productos, y más transparentes sobre qué hacen con la información, de forma que la gente no vaya a sentir la necesidad de estar pidiendo acceso a su información personal.

– ¿Cuál es la vía para hacer que la relación con las compañías sea más transparente y fácil para las personas?

Una de las cosas que las empresas podrían hacer es hacer sus políticas mucho más cortas, mucho más explícitas, más claras. Pueden proveer dentro de las mismas aplicaciones más indicaciones de qué pasa con la información que están recolectando. También podrían emitir reportes de transparencia en los que muestren qué tipo de información comparten con el gobierno, cuánta información comparten y, en el caso de que se hayan negado a compartir la información, qué tanta información se negaron a facilitar... Así que existen muchísimos mecanismos para que las compañías puedan operar mejor.

– ¿Usted cree que los gobiernos deberían legislar mejor al respecto?

Creo que los gobiernos definitivamente deben actualizar sus regulaciones. Creo que con la entrada en vigencia de la GDPR (General Data Protection Regulation o Regulación General de Protección de la Información) en la Unión Europea, ahí hay años y años de trabajo en la producción de esa nueva legislación y es un buen paso hacia delante en términos de tratar de modernizar la regulación. Porque en Canadá la ley tiene al menos 20 años de retraso en este punto y eso quiere decir que se escribió antes de big data, redes sociales y todo lo demás. Así que creo que los gobiernos deberían, la menos, reevaluar sus legislaciones activamente y ver si es efectiva o no. También relacionarse con expertos en las universidades y analizar si ellos piensan que la ley es efectiva y cuáles recomendaciones quieren aportar.

Ciberseguridad, Protección de datos, Computación