Google, no me sigas ni me mientas

21 de agosto de 2018  • 12:41

Los humanos somos muy perezosos. Es por esto que rara vez cambiamos la configuración por defecto de las aplicaciones que utilizamos. Esto no es una mera curiosidad sino un fenómeno que las empresas de tecnología aprovechan a su favor. Incluso si consideramos legítimo que las empresas como Google o Facebook registren inusitadas cantidades de datos acerca de nosotros , lo que debe ponerse en cuestión es que lo hagan por defecto.

Sumándose a la moda de meterse en problemas con la privacidad de sus usuarios, la semana pasada una investigación de Associated Press encontró que Google almacenaba la ubicación de sus usuarios aunque estos hubieran configurado sus teléfonos para evitarlo.

Si bien nos hemos acostumbrado a que "automágicamente" nuestros dispositivos y herramientas digitales sepan prácticamente todo acerca de nuestra rutina y estado en todo momento, sigue siendo cuando menos "creepy" o espeluznante - como lo puso en 2012 el filósofo Evan Sellinger - cuando no podemos dar cuenta precisamente de cómo esto sucede.

Nos acostumbramos sin mayor esfuerzo a que ciertos datos se usen para moldear la publicidad a nuestros intereses -con mayor o menor éxito- pero nuestra ubicación parece caer en una categoría especial. La mera idea de que alguien -o algo- pueda saber dónde estamos en todo momento puede despertar una incomodidad difícil de ignorar.

Este último incidente de Google cae en el medio de lo que probablemente sea el fin de la era dorada de la minería de datos personales. El caos que suscitó el affair Cambridge Analytica de Facebook y las subsecuentes audiencias en las que Zuckerberg tuvo que dar explicaciones una y otra vez sirvieron para poner en la agenda pública una preocupación de larga data: hasta dónde se extiende el uso legítimo de los datos de los usuarios.

Con perfecto timing, apenas unos meses después del episodio de Facebook entró en vigencia el Reglamento General de Protección de Datos (RGPD o GDPR) en Europa, que regula la forma en que las empresas pueden registrar, acumular y utilizar datos personales. Central a esta regulación, que probablemente sea replicada en el resto del mundo eventualmente, es su requisito de consentimiento explícito para la cesión de datos.

Dos de las consignas clave del GDPR son la privacidad por diseño y la privacidad por defecto. Mientras que la primera refiere a que la privacidad debe considerarse desde las primeras etapas de diseño de un producto, proceso o servicio, la segunda alude a que las opciones por defecto en la configuración de un producto deben ser aquellas que resguarden más la privacidad de los usuarios. Esto es, por defecto debería excluirse de otorgar información privada y esta solo debería obtenerse con el consentimiento explícito del usuario.

Pero si bien muchas de las discusiones respecto de los datos personales giran alrededor de lo que las empresas hacen con ellos y, sobre todo, acerca de que algunos de los negocios más redituables del mundo estén montados alrededor de su recolección y explotación, rara vez se menciona que quizá el problema no sea únicamente el registro en sí sino el registro por defecto.

Esto es lo que argumenta el consultor de tecnología Justin Sherman: dados nuestros sesgos cognitivos y la facilidad con la que pueden ser aprovechados, las empresas de tecnología tienen un deber ético por resguardar nuestra privacidad por defecto. Dado que cambiar una configuración requiere de interés y esfuerzo, lo más probable es que la dejemos como viene y nunca la toquemos. Esto también dificulta que siquiera sepamos que la configuración existe.

De los diseños de plataformas que inducen a la confusión de los usuarios muchas veces se dice que aprovechan "patrones oscuros": elecciones de diseño tomadas para aprovechar nuestros sesgos cognitivos en desmedro de nuestra voluntad. Regulaciones como el GDPR no solo sugieren que estas triquiñuelas deberían evitarse sino que aprovecharlas podría constituir una ofensa grave.

Quizá sea la época del "opt-in" por defecto (es decir, la de anotarnos en algo sin requerir nuestra voluntad específica) la que esté por terminar. Aún no queda claro cómo los modelos de negocios montados en la acumulación de datos de sus usuarios podrán coexistir con regulaciones cada vez más exigentes. En tanto son estas colecciones de datos las que alimentan las ganancias de gran parte de la industria digital, difícilmente veamos un retroceso en los esfuerzos por seguir acumulándolos.

En cambio, es probable que se sucedan todavía muchos más episodios como el de Google. En este caso es incluso aún más grave: no es que Google engañó a sus usuarios para que optaran por darle sus datos, sino que indicó explícitamente que estos datos no quedarían registrados cuando eso era falso. Naturalmente, las primeras demandas colectivas en su contra fueron presentadas hace unos días, con posibles consecuencias para todos sus usuarios.

El costo del episodio podría ser incluso mucho mayor en Europa, gracias a las protecciones de GDPR. Es más, este podría ser el primer caso masivo en que se pone a prueba la flamante regulación europea. Si el consentimiento explícito para el uso de nuestros datos -que pueden ir desde nuestra ubicación, historial de búsquedas hasta los hábitos de consumo de series, películas, o música- empieza a exigirse de forma estricta, nuestra experiencia digital se verá inexorablemente modificada. Si bien esto no cambiaría el modo en que nuestros datos son aprovechados, bien podría darnos la opción de elegir si deseamos otorgarlos o no.

Como dice el experto en privacidad Bob Blakley, privacidad no implica secreto ni cifrado. Privacidad significa contexto, control, elección y respeto. Puede que los humanos seamos perezosos y engañarnos no sea particularmente difícil, pero mucho más loable es procurar minimizar el efecto negativo que eso puede tener en nuestras decisiones que montarle un modelo de negocios alrededor. Se puede innovar sin ser fisgón.