Un paseo por los permisos de aplicaciones y sitios: Tinder.

Hola de nuevo!

Tras escribir ayer un post uniendo la preciosa ciudad de Berlín y el CyberCamp de este 2015, la entrada de hoy se engloba en la sección de deberes del Curso sobre Privacidad que os comenté en este post.  Para este ejercicio, la profe nos pide que nos pongamos la capa del inspector Gadget e investiguemos alguna aplicación o sitio para conocer la información o datos que recopilan sobre los usuarios. Tras darle un par de vueltas, he decidido no ir a las "típicas" (Twitter, Facebook..); para hacer un post un poco diferente me he ido a la zona de RRSS de las aplicaciones y me he encontrado con Tinder. Debo confesar que la elección no ha sido del todo casual: no soy usuaria de ella y la conozco porque un conocido encontró a su pareja actual con ella. Cuando me hicieron partícipe de la historia, me puse a investigar un poco sobre la aplicación (oye, qué queréis que os diga: con lo chungo que resulta encontrar tu media naranja, que un simple clic te facilite el camino, no es moco de pavo ;-P), pero no profundicé en exceso, así que esta es la oportunidad perfecta. Además, a juzgar por las últimas noticias, (el titular es un poco cursi..eso hay que decirlo) la cosa no les va nada mal.. 

Pongámonos en situación. La aplicación, tal y como te decía, antes, tiene el fin de que conozcas gente (que es el método diplomático de decir que es para ligar). Así, la descripción que aparece en la App Store es la siguiente:

La política de privacidad de Tinder está aquí (la he encontrado sólo en inglés, disculpadme; aunque a mí no me viene mal para trabajar un poco el idioma ;-) ).

Como vemos, la política se actualizó por última vez en Julio de este año, lo cual, aunque no relacionado directamente con los deberes que intento cumplir con el post, es en cierto modo importante, ya que es una app made in USA que, por lo que pone en la misma política de privacidad, envía y trata los datos de sus usuarios en USA: 

"Visiting our Service from outside the United States

If you are visiting our Service from outside the United States, please be aware that your information may be transferred to, stored, and processed in the United States where our servers are located and our central database is operated. By using our services, you understand and agree". 

Señalo este extremo por el #safeharbourazo de hace unos meses; si has pasado por aquí ya, sabrás que hice un post sobre ello.

Volvamos al tema central del post: 

Lo primero que dice la Política de Privacidad es que recogen tanto datos tuyos que pueden identificarte (Nombre o email) como otro tipo de info que no tendría por qué identificarte. Obviamente, esto lo "pueden hacer con la app", vamos, que lo hacen así.  Al utilizar sus servicios ya te avisan de que estás aceptando que recojan, analicen y conserven estos datos, así como que los manden a sus servidores en USA o donde les plazca. Luego te avisan de que si te logueas con Facebook, también les autorizas a acceder a la info que tengas ahí (desde tus "Me gusta" hasta tus intereses, ciudad en la que vives, fotos, lista de amigos.. etc). Por supuesto, cualquier información que des a través de la app (o de cualquier otra manera, lo que yo interpreto que podría ser si en alguno de los chats con otros usuarios, lo indicas) pueden recopilar mucha información sobre ti: por ejemplo, tu teléfono, dirección o hasta información financiera en caso de que tengas negocios con ellos. También te avisan de que forman parte de un grupo corporativo y que pueden obtener info tuya de las empresas que forman parte del mismo, de los socios comerciales de cualquiera de ellos o de otros terceros (lo dejan así de abierto).

Después ya se mete un poco en vereda explicando que usan diversas tecnologías para obtener información de los usuarios que usan la app o sus servicios, como por ejemplo:

- Información que obtienen del navegador de forma automática: Dirección IP, ID del dispositivo y tipo,  navegador y lenguaje que usa, sistema operativo, tiempos de acceso, ubicación geográfica desde la que te conectas a la app (siempre que la estés usando o esté en ejecución; es decir, que si no la cierras, está enviando tu localización) y la web desde la que has llegado.

- Cookies (mi parte favorita): Obtienen con ellas desde páginas que visitas hasta el  tiempo que estás en ellas y fecha en la que lo haces. Además, mencionan las cookies publicitarias para mejorar los servicios y blablabla. (haciendo una pequeña comprobación, te puedo decir que cookies hay en su web). 

- Web beacons (si no las conoces, hice un post en 2014 comentando lo que eran de forma sencilla, puedes consultarlo aquí): Te avisan de que los usan y no poco, desde en las webs hasta en los mails o en los anuncios. Con estos bichitos miden la popularidad de los servicios que ofrecen (por ejemplo, en caso de anuncios, lo pueden insertar para ver cuántas veces pincha en él el personal).

- El siguiente punto también es interesante: Si usas IOS 6 o superior, en vez de cookies, pueden usar ID de Publicidad o (Advertising IDs) . Ellos mismos te avisan de que estos Advertising IDs NO SE PUEDEN ELIMINAR, a diferencia de las cookies (cada vez más gente configura su navegador para borrarlas o bloquearlas y había que inventarse otra cosa), pero al menos puedes "darles reset" en tu Iphone. Las empresas de publicidad (supongo que en la app habrá algún anuncio pagado por ellas) también usan estos bichitos majos para controlar el uso que haces de la app, hacer seguimiento de los anuncios que te muestran en ella y demás. 

-Se confirman mis sospechas: en la política de privacidad te avisan de que las empresas de publicidad con las que colaboran y que muestran sus anuncios en la app pueden usar cookies o web beacons para recopilar info sobre los usuarios que ven los anuncios. Tinder además te indica que NO TRANSFIERE INFORMACION A TERCEROS SIN QUE VAYA ANONIMIZADA. Además, también explica que muchas de estas empresas son miembros de una asociación en cuya web puedes meterte para darle al opt out y que te disminuyan los anuncios (lo que no implica que desaparezcan, ojo). 

Tras toda esta información, la política de privacidad te cuenta cómo usan los datos obtenidos, con quien los comparten.. en definitiva, en teoría te indican todo el zumo que obtienen exprimiendo la información que les das (seguramente sin darte cuenta). 

Por último, voy a responder a las cuestiones claras que nos plantea la profe:

• ¿Cómo fue la experiencia? Pues debo confesar que no es una experiencia novedosa, ya que lo suelo hacer casi a diario tanto por mi trabajo como por mi "frikismo". ;-)

• ¿Qué encontraste, te sorprendiste de algo? A las cookies las tengo bastante fichadas, lo que me ha sorprendido un poco son los Advertising ID, los cuales me propongo investigar cuanto antes. 

• ¿Borraste cosas que no sabías que se estaban registrando? La verdad es que no, ya que no uso la aplicación, pero sí que voy borrando en general las cookies de mis navegadores.

• ¿Esto te hizo tomar más conciencia sobre datos que entregamos casi sin darnos cuenta? Como te decía, ya vengo curada de espanto, pero espero que al lector que pase por aquí, le sirva para ello (que para algo lo escribo en este blog :-) ).

Y hasta aquí dura el post de hoy, pero te voy a pedir una cosa, ahora que has llegado hasta el final: te reto a que respondas a las preguntas que me ha planteado la profe. Me haría mucha ilu que me comentaras por twitter las respuestas! 

Para despedirme, aclararte una cosa: Este post pretende ayudarte a concienciarte sobre la cantidad de datos que compartes sin darte cuenta; no me posiciono sobre si es bueno o malo que lo hagas ni sobre si lo que hace la entidad es bueno o malo tampoco. Al final, eres tú el que decides darle a "ACEPTO LAS CONDICIONES", pero creo que posts como este pueden ayudarte a tener más información para tomar la decisión. ;-)

Un saludo y muchas gracias por pasarte por aquí! ;-))))))

¿Ha muerto la Privacidad?

Hola a tod@s!

En este post voy a responder a una pregunta que se ha planteado en un curso online que estoy haciendo (ultrainteresante, por cierto) y, de paso, cumplo la tarea encomendada por la profe. Es posible que en las próximas semanas veais alguna entrada relacionada con el curso, ya os lo aviso. He pensado que no estaría mal utilizar mi blog como cuaderno y que sea una herramienta "autoformativa"para mí y, de paso, para los que pasáis por aquí a pasar un ratito conmigo. Así que ten en cuenta cuando leas esto que igual coincides con otros ojos por aquí que tienen que evaluarme ;-).

Por si os interesa, aquí os dejo el link de la Fundación Vía Libre, que es como se llama la entidad. Como veréis, tienen proyectos e iniciativas muy interesantes relacionadas con el Free Software y los derechos de los ciudadanos. Es el segundo curso que hago con ellos y no puedo estar más contenta, así que os recomiendo seguir sus pasos y participar en las acciones formativas que hacen (que suelen ser gratis y online, por lo que son muy muy cómodas de realizar).

Y tras explicar un poco el por qué de este post y posiblemente de otros futuros, voy a proceder a hacer los deberes. Volvamos al título del post... ;-)

¿HA MUERTO LA PRIVACIDAD?

La pregunta no es sencilla de contestar, desde luego. Cuando algún amigo me pregunta que si, trabajando en lo que trabajo y viendo lo que veo todos los días, sigo creyendo en la privacidad, siempre respondo que, aunque no se lo crea, SÍ, CREO EN LA PRIVACIDAD Y MUCHO MÁS QUE ANTES. Y no siempre es sencillo de explicar. Bajo mi punto de vista la privacidad no ha muerto, pero han cambiado las reglas del juego. No podemos permitir que muera la privacidad, o que nos la quiten, porque es una parte básica para nuestra democracia y nuestras libertades. Hay que reivindicarla y para ello, hay que saber lo que es, como siempre he intentado defender desde este humilde blog. Supongo que cuando inventaron los coches algunos "visionarios" pensaron que era el final de los desplazamientos en tren, y no ha sido así: la gente tuvo que aprender a conducir pero el tren no ha desaparecido, actualmente ambos medios de transporte coexisten. Es un ejemplo un poco extraño (ya sé que no todo el mundo conduce pero creo que podemos decir que casi todo el mundo ha montado alguna vez en un coche, al igual que casi todo el mundo ha usado alguna vez el pc para ver alguna web), pero lo que me interesa es que la idea del fondo quede clara: para conducir hay que aprender, para preservar nuestra privacidad, también (de hecho, para defender nuestros derechos también hay que aprenderlos). El concepto de "privacidad" que nos ha valido hasta ahora estaba relacionado íntimamente con el mundo físico (privada es mi casa y lo que pasaba dentro de ella, estaba "protegido"; tenía esa categoría de privacidad que no tenía la calle). El gran profesor Ricard Martínez lo explicó de forma excelente (y sencilla) en un curso que impartió en la UNED, poniendo el ejemplo de algo que casi todos hemos vivido en nuestra adolescencia: ese momento en que una vecina "se chiva" a nuestra madre de que nos ha visto fumando. ¿Pensábamos que aquello era una invasión de nuestra privacidad? Obviamente no: lo estábamos haciendo en la calle y entendíamos que no se estaba vulnerando nuestra privacidad precisamente porque no estábamos en un espacio físico cerrado. Pues bien, en parte a esto me refiero con que cambian las reglas del juego, creo que no hay mejor forma de explicarlo (que me perdone el profesor por "apropiarme" del ejemplo que puso en aquella ponencia y traerlo a este humilde blog).

Algo parecido a esto expresa la profesora en el curso: Compartimos muchísima información con nuestros amigos (igual que hacíamos antes de que llegaran las RRSS), pero es que ahora mucha de esa información se comparte también en las redes sociales y adquiere una "relevancia pública" de la que antes carecía. Al final el ser humano es un ser social que necesita relacionarse, por lo que un contexto de 100% de privacidad es poco menos que inviable. De esto hablaba hace poco en este mismo blog, mediante una especie de carta escrita a mi abuela, cómo han cambiado las cosas en relación a la sociedad que ella conoció. Aquí podéis ver lo que le contaba. ;-)

 Demasiadas orejas en las  Redes sociales

En definitiva, no creo que la privacidad esté muerta; creo que han cambiado las reglas del juego, habrá que buscarle su lugar y tenemos que "aprender" a gestionarla, a decidir sobre ella, a protegerla y a reclamar nuestro derecho a tenerla.

La segunda parte del ejercicio pide que hablemos de alguna situación que pudiera vulnerar la privacidad como derecho humano. Dado que no quisiera extenderme demasiado en este post, voy a pedirle a la profesora (y a ti, si quieres ver cuál he elegido), que se remita a este post en el que hablé hace no mucho del #Safeharbourazo. Creo que es el caso más actual y mediático de "posible" vulneración de privacidad. Casi siempre pensamos en vulneraciones de privacidad realizadas por empresas pero.. ¿qué pasa cuando la injerencia en nuestra privacidad la realiza el Estado? ¿Y cuándo la realiza otro Estado?

 

Y hasta aquí llega este post de viernes 13: espero que os haya gustado y os haya resultado interesante. Nos vemos en la siguiente parada; mil millones de GRACIAS por pasarte a compartir este ratito por aquí.

¿Te ha gustado? Te pido dos favorcitos:
 Házmelo saber en twitter que me hará ilusión y vota en la encuesta que hay a la derecha (es una preguntita nada más) ;-)

Safe Harbour no lo es todo..

Hola de nuevo!

Hoy ha sido un día extraño: en twitter han sido TT dos cosas tan jurídicas como #BOE y #Safeharbour (bueno, más bien #Safeharbor). Tengo que confesar que he esbozado una sonrisa al ver ambos HT; este tipo de cosas no suelen ser temas de conversación fuera de los ámbitos estrictamente jurídicos, por lo que me alegra que por un día los TT hayan sido cosas que nos influyen a TOD@S y no sólo a l@s pobres abogad@s que aguantan como auténtic@s supervivientes la "creatividad" jurídica de este Gobierno.

Así que, con este panorama, el post estaba claro: Safe Harbour y la sentencia que le pega un zurriagazo. Lo primero de todo, hay que saber qué es eso de Safe Harbour, por lo que, para resumir y no complicar el post en exceso (la esencia de LOPDeando es hablar de protección de datos de forma sencilla y clara), diremos que esto del Puerto Seguro es como la puerta para niños de esa famosa tienda de juguetes que tod@s conocemos. Voy a explicarme un poco más: 

Partimos de una Directiva (la 95/46/CE) que, en su artículo 25, dice lo siguiente:

Artículo 25. Principios

1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.

2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

Y de la Decisión 2000/520, que es la madre del cordero de eso llamado #SafeHarbour.

Así, por una parte lo que se está exigiendo en la Directiva es que para que los datos personales puedan pasar a un tercer país, éste debe tener unos estándares mínimos que garanticen la seguridad de esos datos y, si el país en cuestión no los cumple, al menos que lo haga el Responsable del Tratamiento que va a tratar los datos en el país cuestionado. Esto que dice la Directiva  más o menos se plasmó en nuestra LOPD, especialmente en lo que respecta a #SafeHarbour, que entra en el juego en el art.34.k de nuestra querida norma. 

Por otro lado, la Decisión establece en su Anexo I los principios de que deben cumplir las entidades que quieran "refugiarse" en #SafeHarbour (la puerta de la tienda de juguetes que decíamos antes). Porque #SafeHarbour no es más que una lista de entidades que, al menos en teoría, tienen unos estándares implantados que concuerdan con las normativas europeas de protección de datos cumpliendo con los principios que establece la Decisión en su Anexo I. Y estas entidades (entre las que está Facebook), las podéis consultar aquí.

Con este panorama general (muy muy muy simplificado), la cosa estaba clara: Si tú como país no ofreces garantías, al menos que lo hagan tus empresas y todo arreglado. Esto era así hasta ahora, que ha llegado un estudiante de Derecho y lo ha complicado todo (y olé por él).  Tras un periplo complicado, en el que se ha encontrado con varias trabas, llega hoy el Tribunal Europeo y declara que la Decisión 2000/52 es inválida y que este tipo de "acuerdos" no implican que los países miembros deban dejar sus deberes sin hacer (es decir, que  "acuerdos" como éste no impiden -o no deberían- que una autoridad de control de un Estado miembro (...) examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado). Y este es para mí, el meollo de la cuestión.

Aquí tenéis el link de la sentencia para entrar en vereda. 
 

Personalmente, me parece más un tirón de orejas a los países miembros y sus autoridades de control, que al propio #SafeHarbour. Y me baso tanto en la parte en negrita que acabo de poner (extraída de la propia sentencia), como en estos otros puntos que también leo en la misma y que voy a exponer ahora mismo:

Primero: No es un litigio entre Facebook y el usuario; es un litigio entre el usuario y el Data Protection Commissioner (el equivalente irlandés a nuestra AEPD), con intervención además de Digital Rights Ireland Ltd, que es una organización que, según su propia web, se dedica entre otras cosas a defender los DDHH en la era digital. Facebook no es más que el origen del conflicto y uno de los que sufrirá los efectos (al menos de momento).

 

Segundo: El quid de la cuestión del litigio es que el Data Protection Commissioner se niega a instruir una reclamación presentada por el usuario, basada en que Facebook  transfiere a Estados Unidos los datos personales de sus usuarios y los conserva en sus servidores situados en ese país. Y se niega porque, entre otras cosas, consideraba que.."no estaba obligado a investigar sobre los hechos denunciados por el usuario, (..) ya que cualquier cuestión referida al carácter adecuado de la protección de los datos personales en Estados Unidos debía resolverse conforme a la Decisión 2000/520". Por cierto, que el usuario cabreado también hizo referencia a lo denunciado por Snowden. 

El usuario no acepta la respuesta y se va a la High Court que, entre otras lindezas, le dice que "los ciudadanos de la Unión no disponen de ningún derecho efectivo a ser oídos". Pero la High Court sí que entra en el tema Snowden que aduce el usuario y considera que "el acceso masivo e indiferenciado a los datos personales es manifiestamente contrario al principio de proporcionalidad y a los valores fundamentales protegidos por la Constitución irlandesa. Para que las interceptaciones de comunicaciones electrónicas puedan ser consideradas conformes con esa Constitución, debe aportarse la prueba de que esas interceptaciones tienen carácter selectivo, de que la vigilancia de determinadas personas o de determinados grupos de personas está objetivamente justificada en interés de la seguridad nacional o de la represión de la delincuencia y de que existen garantías adecuadas y comprobables". (Ya es más de lo que he oído por aquí). Así, si sólo hay que analizar el caso sobre el propio Derecho Irlandés, según la High Court "existen serias dudas de que Estados Unidos garantice un nivel adecuado de protección de los datos personales, y el comisario habría debido llevar a cabo una investigación sobre los hechos denunciados por el Sr. Schrems en su reclamación, y que la desestimó indebidamente". (zascas). A pesar de esto, la High Court considera que el tema toca también  Derecho Europeo y "lo manda" (cuestiones prejudiciales mediante), al Tribunal de Justicia de la UE, que termina invalidando la Decisión 2000/520 (y generando los titulares con los que nos quedamos, tristemente).   

 

Tercero: La sentencia echa mano del marco jurídico aplicable al caso y, entre otros, recuerda artículos como el 62 de la Directiva 95/46 (la creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales), el 63 (dicha autoridad debe disponer de los medios necesarios para cumplir su función, ya se trate de poderes de investigación o de intervención, en particular en casos de reclamaciones presentadas a la autoridad o de poder comparecer en juicio), el 28 (Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva. Estas autoridades ejercerán las funciones que les son atribuidas con total independencia).  Por cierto: si el Tribunal viera los medios de los Juzgados españoles, le daría un parraque FIJO! ;-) 

Y por estos motivos, creo que el zascas a #SafeHarbour es importante, pero no debemos olvidar el fondo de la cuestión: HAY QUE LUCHAR POR NUESTROS DERECHOS Y NO DEBEMOS DEJAR QUE LAS INSTITUCIONES SE OLVIDEN DE SUS DEBERES. Y hablando de lucha: seguro que ya los conoces  pero te invito a dar una vuelta por  la web de BRIGADA TUITERA quienes de lucha por los derechos de tod@s, saben latín, y de medios en los Juzgados, y tasas judiciales, y lucha por la independencia judicial, ni te cuento. ;-)

Y finalizando con el tema LOPD..a ver qué pasa ahora con el misterioso TTIP..

Y hasta aquí llega el megapost de hoy; espero que os haya gustado y gracias por pasar un ratito por aquí ;-)