Facebook y el sueño de una red de usuarios con nombre propio

El lanzamiento de Facebook Social y su protocolo Open Graph hace varias semanas ha terminado por convertir a la marca Facebook en omnipresente en la red. Que todos naveguemos por Internet conservando nuestras identidades de Facebook convierte a la red social en un componente articulador de la red. Hace poco Mark Zuckerberg dijo expresamente que Facebook pretendía construir una red donde lo social sea el default o condición por defecto. ¿Qué nos quiere decir con eso?

Facebook acumula una gran cantidad de información de sus usuarios. Esta información es de todo tipo: gustos musicales, números telefónicos, cantidad de amigos, pasatiempos, adscripciones políticas. Si esa información fuese solo un texto plano (como lo puede ser el texto de un comentario en una foto) tendría poco valor. Hace tiempo Facebook convirtió esa información en hipervínculos que, al seguirlos, activaban una búsqueda que nos mostraba a otras personas que compartían ese mismo interés. Eso tiene un valor agregado para el usuario, quien podría contactarse con gente con la que comparte intereses y para cualquiera que, usando el motor de búsqueda de Facebook, quisiera encontrar un público para anunciar un producto o servicio. Recientemente, Facebook convirtió esa información en nodos de red con entidad propia (Conexiones), similares a las Páginas y a los Grupos. A la vez, modificó su política de privacidad para arrogarse el control de esa información y hacerla pública por defecto. Es decir, los datos que no tenían ningún valor ahora tienen un valor inmenso ya que acompañan tu identidad y se reflejan en el resto de páginas que visitas.

We are social

Cuando Facebook habla de hacer una red donde lo social sea el default, habla de una en donde todas las páginas puedan ofrecer contenidos en función de mis intereses, mi género o las redes a las que pertenezco (todos datos ahora públicos). Al mismo tiempo, habla de que cualquier elemento en Internet pasa a ser un elemento de Facebook. Una entrada en IMDB, un artículo en un blog o un video de Youtube podrán ser comentados o valuados como si estuviesen en la propia red social y con la identidad que el usuario tienen en ésta. Si bien, cierta información no se comparte directamente con terceros (ej. Blawyer no tiene forma de saber quiénes recomiendan sus artículos, solo cuántos son), la idea de ir dejando un rastro trazable de toda la actividad en línea –ya no un IP, sino todo un paquete de información– nos devuelve a una vieja discusión de los primeros años de la masificación de Internet.

Antes se pensaba que el comportamiento en Internet no se podía regular porque era una red que no necesitaba de una identificación personal para acceder a ella, al estar compuesta por protocolos abiertos y no propietarios. Pero esta condición era una función de su código ya que, como señalaba Lessig en su Code, una red podía ser modificada de forma tal que requiera identificación para acceder a ella. Una red más identificable no solo le interesará al Estado (que ve facilitada la aplicación de las leyes), sino también a los agentes comerciales (quienes pueden saber quién “entra” a sus tiendas o evitan fraudes de identidad). Esa es la razón por la cual constantemente se exige estar registrado para realizar actividades sensibles como transacciones comerciales en línea o, al entrar a un sitio de bebidas alcohólicas, se pregunta la fecha de nacimiento. Los agentes han creado, con mayor o menor éxito, sistemas de identidad para poder saber quiénes los visitan ya sea a través de sistemas manuales o cookies. Aquí es donde Facebook entra y les ofrece la posibilidad de acceder a todos los gustos, sabores y colores de las preferencias de sus usuarios a costo cero. Nunca me sonaron tan proféticas las palabras de Lessig en 1999 cuando decía:

Considera esta hipótesis completamente posible desde el punto de vista técnico bajo las arquitecturas existentes de la Red. Vas a una página web de una empresa en la cual confías, y le das a esa empresa todos tus datos privados –tu nombre, dirección, número de seguridad social, revistas favoritas, shows de TV, etc. Esa compañía te da una cookie. Luego, vas a otra página, una en la que no confías. Tú no has decidido darle a ese sitio ninguna información personal. Pero no hay forma de que sepas si ambas compañías no están intercambiando la información que recolectan. Es perfectamente posible que sincronicen la información de las cookies que crean. Y, en consecuencia, no hay ninguna razón técnica para pensar por qué una vez que ya diste tu información una vez, no sea conocida por el amplio rango de sitios que visitas. (traducción libre, p. 203)

El sueño de una red de usuarios con nombre propio ha sido soñado muchas veces y desde hace mucho tiempo (ej. CompuServe, AOL, OpenID o Google, quienes en distintas formas intentaron que sus usuarios porten la identidad de su servicio durante toda su navegación). No sé si Facebook esté cerca de lograrlo. Dada la gran cantidad de usuarios que tiene, la implementación del Open Graph ha sido generalizada. Más allá del éxito que llegue a tener en el tiempo, es un signo elocuente de que nos acercamos progresivamente hacia una Internet donde los usuarios cargan permanentemente su identidad en línea. Una Internet, por ende, mucho más regulable: con las consecuencias buenas y malas que eso pueda traer.

Foto: Jolie O’Dell (CC BY) / Infografía: Stefano Maggi (CC BY-NC-ND)

Video: El proyecto de Ley de Protección de Datos Personales

El miércoles pasado Oscar Montezuma de Blawyer.org estuvo como invitado en el programa Rumbo Económico de Canal N hablando sobre el proyecto de Ley de Protección de Datos Personales que, después de varios años de espera, acaba de pasar a discusión en el pleno del Congreso.

El texto completo del Proyecto de Ley está disponible en la página web del Congreso. Oscar ha comentado antes el Proyecto de Ley también aquíaquíaquí

La ley peruana de protección de datos personales (reloaded)

Fuente: JOURNALMEX Periodistas de México

Anteriormente escribimos un artículo sobre el tema en Enfoque Derecho (publicación de  THEMIS-Revista de Derecho). También tocamos el tema en esta tribuna. En dicho artículo de agosto del 2008 reportábamos, a propósito de una de las reuniones preparatorias de APEC en Lima, lo siguiente:

«el anuncio mas importante fue el que hiciera la Ministra de Justicia, Rosario Fernandez, en el discurso de apertura de la charla, donde indicó que el Proyecto de Ley de Protección de Datos Personales, que dormía el sueño de los justos hace aproximadamente cuatro años y que incluso se encuentra en un link roto en la web del Ministerio aquí,  pronto verá la luz ya que  actualmente se encuentra en el despacho del Consejo de Ministros«.

También advertimos lo siguiente:

«Probablemente el lector se esté preguntando ¿no existe acaso una norma que regule el tema en el Perú? En el Perú existen normas sectoriales que regulan, por ejemplo, el secreto bancario o el secreto de las telecomunicaciones. Sin embargo, no existe una ley general que otorge una protección integral a los datos personales en línea con la tendencia internacional.

Entonces ¿cómo nos sirve una ley general de protección de datos personales? No es novedad decir que en el Perú se trafican datos personales a diestra y siniestra. Una breve caminata por el Jr. Wilson y una búsqueda en Google con los términos ”datos personales” y “jr. wilson” confirman nuestra afirmación

[…]

Tal como se encuentra planteado, el Proyecto de Ley peruano establece en buena cuenta que nadie puede utilizar ni explotar ningún dato personal sin el consentimiento previo y expreso de su titular. Asimismo la norma crea un registro de bases de datos y regula determinadas condiciones en que se debe lleve a cabo el tratamiento de datos personales. Si la ley entrara en vigencia, cada vez que suscribamos un contrato con una empresa de telecomunicaciones o un banco,  dichas entidades deberán informarnos expresamenet cual será la utilización que darán a nuestros datos personales. Si mas adelante queremos acceder a ellos (derecho de acceso), la empresa se encontrará obligada a facilitarnos dicha información. Asimismo si los datos reportan algún error, la empresa se encuentra obligada a rectificarlo (derecho de rectificación)».

En nuestra opinión, las conclusiones hasta este punto eran dos:

  1. Había un proyecto de ley de protección de datos personales promovido por el Ministerio de Justicia dando vueltas desde el año 2004 por diversas entidades públicas y como papel llevado por el viento habría aterrizado en el escritorio de la PCM en el 2008.
  2. Teniendo un marco normativo antispam y de regulación del telemarketing no contabamos con una norma general de protección de datos personales, más allá de su protección a nivel sectorial.

La actualización a todo lo antes expuesto la recibimos hoy y es que luego de casi dos años de la nota publicada tenemos noticias certeras del citado proyecto de ley. En efecto, el proyecto de ley del Ministerio de Justicia habría sido el punto de partida para el nuevo (y repotenciado por una comitiva multisectorial) proyecto de ley aprobado en sesión de hoy por la Presidencia del Consejo de Ministros. El siguiente paso sería el debate en el Congreso de la República donde todos estamos llamados a participar con aportes que incluso lo perfeccionen.

Acá viene el segundo tema: ¿es necesaria una ley de protección de datos personales?¿es más necesaria aún en la Sociedad de la Información?

  1. Sobre la primera pregunta creemos que si. Una ley de protección de datos personales  no sólo puede ser útil para combatir a los «ladrones» de datos personales sino además como complemento para el desarrollo del comercio y otras iniciativas interesantes como la notificación electrónica y los expedientes digitales  (ver acá y acá artículos interesantes planteando la necesidad de una regulación sobre el tema y los beneficios que de ella pueden obtenerse). Es necesario que nuestro país cuente con un marco normativo integral (y no sólo sectorial) que otorgue protección a sus ciudadanos sobre su información personal y nos alínee con la tendencia internacional sobre la materia (Sin ir muy lejos México aprobó recientemente su norma de protección de datos personales).
  2. Sobre la segunda interrogante, no queda duda que la era informática permite con mayor facilidad el acopio, gestión y explotación de los datos personales. Para no aburrirlos con el ejemplo de Wilson y las bases de datos, pongamos uno más reciente: Facebook. Hemos oido hasta el cansancio sobre todos los problemas de privacidad generados por Facebook y sus cambiantes políticas internas (ver esta, esta y esta nota de ElComercio y este interesante análisis de Nestor Gallo sobre la privacidad en tiempos de Facebook). El ejemplo parece hablar por si sólo.

En el contexto planteado, dos preguntas que me atrevo a formular son: ¿cómo debe ser entonces nuestra ley de protección de datos personales? Como hemos señalado anteriormente existen dos modelos que han intentado otorgar protección a los datos personales a nivel mundial: el estadounidense y el europeo. El primero se apoya en mecanismos de autorregulación a través del sector privado, es decir, se confía en el buen criterio adoptado por las empresas para el tratamiento de datos personales. El segundo, de corte más proteccionista, postula la necesidad de desarrollar un cuerpo normativo y establecer la creación de una autoridad que persiga y sancione a los infracciones que establece la norma en relación con el tratamiento de datos personales, considerado un derecho fundamental. No conocemos el nuevo proyecto de ley pero el propuesto inicialmente por el Ministerio de Justicia se adhería al modelo europeo.

Intentando responder a la pregunta planteada consideramos que la ley propuesta debería ser una de mínimos. Una regulación excesivamente proteccionista puede terminar limitando el flujo de información en nuestra sociedad y las opciones que tenemos los consumidores en el mercado para adquirir bienes y servicios. En contraposición la inexistencia de regulación o la existencia de una demasiado flexible puede no generar el efecto de tutela deseado. En ese sentido consideramos que es muy importante lograr un equilibrio. Para ello es necesario que en la discusión del proyecto de ley actual se recojan las impresiones de los agentes a los que se les aplicará así como los titulares de datos personales. Finalmente es muy importante que el análisis costo-beneficio del proyecto de ley se encuentre debidamente sustentado a efectos que sea una norma que se pueda cumplir y sobre todo fiscalizar. Estaremos a la espera de la revisión del nuevo proyecto de ley para dar mayores comentarios al respecto. Por ahora, que empiece el debate.

Fuente de la imágen:  JOURNALMEX Periodistas de México

Facebook y los observadores

La semana pasada abrí mi cuenta de Facebook y encontré algo que llamó mucho mi atención. Cual epidemia, muchos de mis contactos habían instalado una aplicación denominada «Mis Observadores». Aparentemente la famosa aplicación permitía visualizar quienes de tus contactos habían visitado recientemente tu perfil (algo así como el popular programa que te permitía saber quien te había bloqueado en Hotmail MSN ). Claramente algo extraño había en esta famosa aplicación ya que de pronto aparecía como «observador» de muchos perfiles de amigos que no había visitado en mucho tiempo. Todo ello me generó una reflexión mayor.

obs

No es novedad hablar de los enormes riesgos que en términos de privacidad genera Facebook e Internet en general. Sin embargo con el transcurso del tiempo la empresa (Facebook) ha ido brindado distintas opciones para que los propios usuarios bloqueen o restringan el acceso a su perfil y, por ende, resguarden su privacidad. Sin embargo una cosa es Facebook y otra las aplicaciones desarolladas para Facebook por terceros, sobre las que la Facebook no tiene ningún control.  Tal es el caso de conocidas aplicaciones como Crazy Combi, Farmville entre otras muy populares que fluyen a través de la referida red social.

Decidí investigar un poco más y me percaté de un detalle que probablemente, dada la ansiedad de los internautas en llenar su perfil de aplicaciones, puede pasar desapercibida y que me pareció pertinente compartir con ustedes.  Cuando uno decide utilizar una aplicación en Facebook visualiza una imagen muy parecida a esta:

app discl

Nótese claramente la advertencia «al continuar, estás permitiendo que Birthday Calendar obtenga acceso a tu información y estás aceptando las Condiciones de Uso de Facebook«.

Por su parte los términos y condiciones de uso de Facebook indican lo siguiente:

«When you add an application and use Platform, your content and information is shared with the application. We require applications to respect your privacy settings, but your agreement with that application will control how the application can use the content and information you share».

Si bien luego, los términos y condiciones presentan una serie de obligaciones que deberán cumplir los desarrolladores de aplicaciones, lo cierto es que una vez que accedieron a información privada cualquier medida de control es bastante limitada. Lo que en buena cuenta estamos haciendo cuando aceptamos e instalamos una aplicación en nuestro perfil es dando acceso y autorizando a ese tercero extraño a nuestra información personal.

Al parecer «Mis observadores» resultó siendo un bluff que lo único que buscaba era lograr acceso a  información personal probablemente con la finalidad de comercializar luego esta información y armar bases de datos para el envío de publicidad. Quizás podría ser parte de una red de secuestradores que estaban interesados en los datos personales de algunas personas en especial para perpetrar un delito. El abanico de posibilidades es enorme y por ahora nos movemos en el terreno de la especulación. No obstante ello, es importante advertir sobre el valor de nuestros datos personales en la sociedad de la información y la facilidad con la que,  sin reparar en ello, la entregamos a terceros de manera irrestricta para su posterior tratamiento y explotación.

En otros países el tema genera mucha preocupación (ver aquí y aquí). Sin embargo en nuestro país estos temas vinculados al Internet y la privacidad parecen no ser de mucho interés salvo contada excepciones.  Por ejemplo, en Europa hace varios años se viene hablando del derecho a la protección de los datos personales como un nuevo derecho fundamental que regula la recogida y tratamiento de los datos personales sin consentimiento de sus titulares. Es más existe amplia regulación y jurisprudencia al respecto.

Tal como señalamos en una entrega anterior, en nuestro país el proyecto de ley de protección de datos personales que promocionó allá por el año 2004 el Ministerio de Justicia nunca vio la luz. Más aún, en todo el debate sobre el Código de Consumo, tampoco aparece ninguna mención a la protección de los datos personales, aspecto que sí se encuentra recogido en la legislación comparada. Lo paradójico es que contamos con una prometedora iniciativa denominada Registro «Gracias No Insista» y con una innovadora  legislación antispam que claramente pretenden atacar la publicidad comercial invasiva y no solicitada, sin embargo nos hemos olvidado de los insumos que sirven para que dicha publicidad se consume, es decir, de nuestros queridos datos personales.

Por el momento los dejamos con estas reflexiones y con algunas sugerencias del  jefe de la División de Investigación de Delitos de Alta Tecnología, Óscar Gonzáles, quien, entre otras cosas, aporta una valiosa recomendación con la que coincidimos: hay que «tener más cuidado con la información personal que se proporciona a través de las redes como Facebook, Twiter y Hi5″.

Un mundo en guerra

Al alba del 1 de septiembre de 1939 el viejo acorazado alemán Schleswig-Holstein reposaba tranquilamente en el estuario del puerto de Danzig cerca de la desembocadura del Vístula. A las 4:30 de la mañana leva anclas y suavemente se traslada por el canal, hasta tomar posición de combate frente al fuerte polaco de Westerplatte. Imagino al capitán del barco, al todavía joven KzS Gustav Kleikamp, intuir apenas la silueta de la fortaleza con sus prismáticos y lo veo unos minutos después ordenando a su artillería escupir fuego contra los descuidados defensores. El cabo Ignacy Skowron se encontraba de guardia en ese momento, lo siento somnoliento y cansado ignorante de lo que se le vendrá encima, cuando observa desde su parapeto que una chispa sale de un costado del acorazado alemán. Décimas después, un proyectil de 280 mm impacta contra las defensas. La Segunda Guerra Mundial ha comenzado, hace casi exactamente 70 años.

Este es el mundo real y sabemos que la evolución de la humanidad es una historia de guerras y matanzas. Pero contrariamente a lo que podíamos pensar, el ciberespacio no ha estado libre de enfrentamientos, menos sangrientos tal vez pero igual de virulentos. Creo que mucho del Internet que tenemos y el que se está moldeando es y será fruto de estas guerras, de las que han sido y de las que vendrán.

La más famosa de todas es la Guerra de los Navegadores (The Browser Wars), algo así como la Gran Guerra de Internet. La Primera Guerra de los Navegadores (1996 – 2002) enfrentó a Microsoft, con su buque insignia el navegador Internet Explorer y Netscape, con su Navigator, por la dominancia del mercado de navegadores web. Microsoft con más recursos logró controlar las principales vías de aprovisionamiento de su contrincante hasta aplastarle y borrarlo del mapa. La Segunda Guerra de los Navegadores (2005 – 2007), nos permitió intuir lo que vendría después, en ella Internet Explorer enfrentó a los herederos de Nescape como Mozilla, FirefoxSafari Opera. La Tercera Guerra de los Navegadores (2008 – ) se disputa entre los cinco principales navegadores de la actualidad: Internet Explorer, Mozilla Firefox, Safari, Opera y Chrome. Ya hicimos el parte de guerra (Google Chrome y las Browser Wars).

No podemos pasar por alto a las Guerras de Competencia. La primera es la Sublevación de Washington (1998 -2001), 19 Estados de la Unión lideraron una sublevación en el corazón de los dominios de Microsof liderados por «Atila» Jackson. Una vez perdidos sus aliados políticos el ejército rebelde diezmado y agotado no logró que se sancionara a Microsoft por entorpecer la competencia en el mercado de Internet de los Estados Unidos. Luego estalló la Gran Guerra Europea de la Competencia, entre la Comisión Europea y la división oriental de Microsoft. La primera etapa de este enfrentamiento fue la Guerra del Reproductor (1999 – 2004). Esta vez Microsoft enfrentó a un rival de fuste que vengó sin paliativos a los valientes de Washington hasta imponerle una multa de 497.2 millones de euros por destruir el mercado de reproductores multimedia. Reconfortada por esta victoria, la Comisión intenta saldar viejas deudas y ha iniciado la Guerra Europea del Navegador (2008 – ) contra Microsoft por agregar a su sistema operativo el Internet Explorer. Tenemos parte de guerra (Microsoft y la UE: la guerra continúa).

Otro enfrentamiento trascendente es el de las Guerras de los Derechos de Autor (Intellectual Property and Copyright Wars). Lucha feroz donde los regulares de los derechos de autor se enfrentan no sólo a rivales de línea sino también a una enorme guerrilla que los hace retroceder constantemente. Las Guerras de los Derechos de Autor comenzaron en 1995 cuando la industria de contenidos (una alianza formada por la industria musical, la cinematográfica y la editorial) de los Estados Unidos elaboró una estrategia para defenderse del ataque de las tecnologías digitales. Entre 1997 y 1998 se aprobaron una serie de leyes destinadas a extender la vida útil de los derechos de autor, reforzar las sanciones penales y castigar el uso de tecnologías que trataban de eludir los sistemas de seguridad de los contenidos digitales. A estas leyes se sucedió una ofensiva litigiosa contra las entidades más representativas de esta amenaza como MP3.com y Napster. Luego, como el pueblo estaba armado, la alianza intentó reprimir a los internautas acusándolos de descargar música o permitir a otros a hacer lo mismo. Sólo en junio de 2006, la Recording Industry Association of América (RIAA) demandó a 17.587 personas por vulnerar los derechos de autor. Al día de hoy los combates continúan.

Un frente menor lo constituyen las llamadas Guerras de la Privacidad (Privacy Wars). Recordemos que la Primera Guerra de la Privacidad (1990 – 2001), comenzó cuando la Comisión Federal de Comercio (Federal Trade Commission) fomentó inicialmente la autorregulación de la industria para luego pedir al Congreso de los Estados Unidos legislar para hacer cumplir la privacidad de los sitios web, finalmente no lo hizo. La Segunda Guerra de la Privacidad (2009 -) acaba de comenzar, una coalición de defensoras de los derechos de los consumidores vienen atacando los mecanismos de publicidad dirigida, exigiendo que el Estado instaure una suerte de privacidad preventiva deteniendo los anuncios en línea personalizados sobre la base de los hábitos de los consumidores. La crónica completa en Liberation Front (Privacy War II (Part 1): Attack of the Anti-Advertising Axis).

El panorama parece desolador y nuevos combates se vislumbran en el horizonte mejor dicho en el aire con la cloud computingo computación en nube, que nos promete una serie deserviciosdirectamente a través de Internet. Veremos que pasa, pero creo que a diferencia de las guerras del mundo real de éstas saldremos ganando todos.

Para los interesados les dejo la primera escena de la Segunda Guerra Mundial: el Schleswig-Holstein castiga la fortaleza de Westerplatte el 1 de septiembre de 1939.

[vsw id=»NgENjoWBFf4″ source=»youtube» width=»425″ height=»344″ autoplay=»no»]

Uso de Internet en el trabajo, pensando en voz alta

Mis compañeros de bitácora parecen haber abandonado -al menos por el momento- el trabajo regular de colgar sus valiosos apuntes e ideas en este sitio. Esperemos que la sobrecarga laboral que padecen dure poco y los tengamos por esta esquina con mayor regularidad. Yo tampoco he estado particularmente fino en la labor, pero a empezar de nuevo.

Andaba revisando desordenadamente algunas de mis notas de clase y caí en aquella relacionada con los derechos laborales y el uso de las herramientas informáticas puestas al alcance de los trabajadores por el empleador.

Desde hace unos años este ha sido un tema que ha generado intenso debate. Yo mismo conozco el caso de un profesional que por error en lugar de enviar unos correos con material pornográfico a un amigo, lo hizo a su jefa directa. Se podrán imaginar el desenlace. La jefa montó en cólera y esta persona terminó más rápido que volando en la puerta del edificio cargando en una caja de leche Gloria sus apuntes personales, su taza de café, su pad y sus lápices. Intuyo que terminó así -más que por el desatino-, por la tremenda bronca que le espetó a su superiora. Seguro que si hubiera reconocido el error con un guiño de humildad todavía estaría calentando el asiento que lo esperaba diariamente en su oficina, y también -no nos engañemos- mandando videos porno a los amigos, aunque tal vez con un poco de mayor cuidado y menos regularidad.

Según señala Leandro González Frea (Uso indebido del e-mail por parte del trabajador. Despido con causa), estudios revelan que un trabajador promedio pierde por lo menos una hora de su jornada laboral revisando su correo electrónico personal o navegando en Internet. Los inconvenientes de esta práctica para los empleadores son más que evidentes. Incremento de costos en los sistemas, disminución de la productividad e incluso posibles problemas de virus.

Recientemente, también gracias a Leandro Gonzales Frea (El uso del email en la empresa. Despidos. Las claves a tener en cuenta) sabemos que la Cámara Laboral argentina avaló el despido del Gerente de una empresa financiera que envió un correo electrónico “grotesco y de mal gusto” a su subordinada. De acuerdo con el post de Leandro, el problema se generó cuando este tremendo gerentazo adjuntó al correo electrónico que enviaba a una de sus subordinadas unas fotos. El fallo sostiene que al Gerente “no le estaba permitido utilizar los instrumentos que le entregara la empleadora para fines personales o de terceros, ni con prácticas contrarias a la moral y las buenas costumbres”.

Qué tenemos en el Perú. Pues la famosa sentencia Serpost del Tribunal Constitucional (EXP. N.° 1058-2004-AA/TC). En este caso la empresa postal despide a un trabajador atribuyéndoles una supuesta falta, “[…] haber utilizado indebidamente los recursos públicos dentro del horario de trabajo para realizar actividades de índole particular, totalmente ajenas al servicio, constatándose el envío de material pornográfico a través del sistema de comunicación electrónico, denotando falta de capacidad e idoneidad para el desempeño del cargo e inobservancia del Reglamento Interno de Trabajo”. Más allá de los aspectos procesales y vulneraciones constitucionales que motivaron al Tribunal Constitucional a revocar el despido, lo importante del caso es que la Sentencia dedica algunas líneas a determinar cuáles son los límites del empleador para fisgonear en los equipos y sistemas de comunicación que pone a disposición de sus empleados.

Señala el Constitucional que la controversia planteada permite considerar si los medios informáticos de los que se vale un trabajador para realizar sus labores pueden considerarse de dominio absoluto de la empresa para la que labora, o si, por el contrario, existe un campo de protección en torno de los cuales no le está permitido intervenir.

En dicho caso se consideró que «(…) cuando tales facilidades suponen instrumentos de comunicación y reserva documental no puede asumirse que las mismas carezcan de determinados elementos de autodeterminación personal, pues sabido es que en tales supuestos se trata del reconocimiento de condiciones laborales referidas a derechos fundamentales que, como tales, deben respetar las limitaciones y garantías previstas por la Constitución Política del Estado«.

Concluye el Constitucional en el sentido que si se trataba de determinar que el trabajador utilizó su correo electrónico para fines contrarios a los que le imponían sus obligaciones, «(…) la única forma de acreditarlo era iniciar una investigación de tipo judicial, habida cuenta de que tal configuración procedimental la imponía, para estos casos».

¿Es caro guardar un secreto?

La Constitución reconoce el derecho de las personas a que sus datos personales sean tratados con reserva. En desarrollo de este mandato constitucional, tenemos un cuerpo normativo disperso que intenta proteger este derecho mediante el establecimiento de diferentes obligaciones a los agentes que de una u otra forma almacenan información personal. Durante los últimos años, sin embargo, es común sentir que con el avance de las tecnologías de la información nuestra información personal está más expuesta que nunca. A través de un rápido cruce entre Google Latitude, Uber Twitter, Facebook o la información de red que posee cualquier operador móvil, resulta sencillo determinar la ubicación exacta de una persona, lugares que frecuenta y preferencias de consumo. El panorama se hace un poco más complejo si añadimos los registros médicos, tributarios o bancarios. ¿Acaso ya perdimos la privacidad o estamos a punto de? ¿Por qué sentimos esto si estamos aparentemente protegidos por un cuerpo normativo?

Un artículo aparecido la semana pasada en Forbes se hace la misma pregunta y ensaya una respuesta: la consecuencia del cúmulo de normas y obligaciones impuestas regulatoriamente a los agentes que manipulan información privada es la ineficiencia. La regulación es tal que su implementación termina por ser excesivamente costosa para los mismos y, además, comporta costos también para los propios sujetos protegidos por la norma, quienes se vuelven insensibles a las numerosas advertencias que se le presentan. Por sobretodo, es un costo que no redunda en el bienestar social porque finalmente seguimos estando expuestos.

De un lado, tenemos el impacto alegadamente negativo que tienen las normas que protegen la privacidad. Todos los agentes que, de una u otra forma manejan información privada de terceros se ven obligados a cumplir con estas normas. Este cumplimiento acarrea un costo para el agente: honorarios de abogados, preparación y firma de acuerdos sobre privacidad con sus usuarios, presentación de informes periódicos sobre las medidas implementadas. A mayor regulación, mayores costos. Para Lee Gomes de Forbes, estos costos representan una externalidad negativa para el agente porque éste carece de razones de mercado para guardar reserva sobre esta información: de no existir una regulación que le prohibiese utilizar con otros fines la información a la que tiene acceso, lo haría. Esta primera constatación, se señala, es la que nos hace buscar la eficiencia a través de regulación y no del mercado.

Por otro lado, todos quienes alguna vez hemos contratado un servicio en el que tuvimos que autorizar a manipular nuestra información personal (abrir una cuenta de correo electrónico, participar en una promoción comercial o sacar un teléfono móvil) hemos tenido en frente cláusulas sobre confidencialidad de la información, autorización de ciertos usos de la misma, entre otros. ¿Cuándo fue la última vez que leímos alguna de esas cláusulas sobre el manejo de la información privada? Lee Gomes cita el ejemplo de una asociación de repostería que, debido a una brecha de seguridad ocurrida en sus sistemas, tuvo que enviar miles de cartas a sus asociados advirtiéndolos sobre el hecho. Los costos involucrados en ello podrían llegar a poner en riesgo la estabilidad de la asociación misma. Su conclusión es la siguiente: la montaña de papeles y cláusulas que la regulación obliga a firmar a las personas cuyos datos son utilizados consiguen exactamente el efecto inverso al deseado, los vuelve insensibles al tema. Nos hubiésemos preocupado si hace veinte años hubiese una suerte de comunidad de amigos por correspondencia en la que los administradores de la misma, y la mayoría de sus usuarios, puedan conocer tus gustos personales, amigos, actividades sociales y tener acceso a todas nuestras fotos. Hoy, estamos tan acostumbrados que vemos este nivel de exposición como natural. En ese sentido, la excesiva regulación deviene en ineficiente.

Aunque también podría argumentarse que resulta igualmente costoso para las empresas y para los usuarios no establecer claramente las condiciones en las que se manipulará la información cedida en el marco de la prestación del servicio. Las empresas terminan con una oferta menos atractiva por lo incierto del tratamiento y los usuarios, por la misma razón, pueden verse expuestos a molestos correos publicitarios o llamadas de telemárketing, entre otros. Esto podría hacernos pensar, contra lo señalado por el artículo de Forbes, que la no asunción de estos costos representan suficiente incentivo para los agentes como para buscar una autorregulación.

No sé si en todos los países exista un mercado tan maduro como para preocuparse por una autorregulación sobre el manejo de datos. Quizás esté subestimando a los consumidores informados. Además, como señala Bruce Schneier, este esquema de incentivos para la autorregulación solo funcionaría para aquellas empresas que directamente recopilan datos de los usuarios, y no para agentes como centrales de riesgo que precisamente negocian con esta información. Es importante, sin embargo, volvernos sensibles a la importancia de contar con un cuerpo único de normas que permitan alcanzar cierta eficiencia en el manejo de datos personales. Schneier aproxima algunas sugerencias: (i) buscar una regulación más amplia y simple, antes que una restrictiva y compleja; (ii) regular por resultados antes que por métodos; y, (iii) penalidades lo suficientemente altas para incentivar el cumplimiento. La necesidad de un solo cuerpo normativo que actúe como marco general se vuelve, en este panorama, imperante. Pero quién lo sabe, quizás uno de estos días hasta nos damos con  la sorpresa de que por fin salió la la Ley de Protección de Datos Personales.

Cholotube y la policía militar

Ya que somos lo que somos y si no lo quieres ver. ¡Eres tonto!  (El Canto del Loco)

La historia que abordaremos en este post ha sido desarrollada por nuestro amigo Miguel (La responsabilidad de Cholotube) con singular certeza, esperamos y merecemos leerlo por aquí más seguido. Pero el problema generado por el vídeo colgado en Cholotube de cuatro suboficiales femeninas del escuadrón Fénix de la Policía Nacional no se agota en la responsabilidad de los Proveedores de Servicios en Internet (ISPs por sus siglas en inglés), tiene también otra arista, de cómo cuatro mujeres agraviadas en su intimidad -un Derecho Fundamental- terminan convirtiéndose en agresoras de un código militar inexistente y por lo mismo condenadas al escarnio público con la complicidad de las autoridades competentes.

Listaré sólo algunas partes de esta novela. Cuatro chicas juguetean en su cuadra. Una de ellas armada de un teléfono móvil, se encarga de tomar imágenes de sus compañeras desnudas y en ropa interior. Nada de extraordinario, lo hacen millones de jóvenes hoy en día y nadie debe escandalizarse por eso. Seguro que después del relajo natural, alguna de las suboficiales filmadas vídeo recordó a la camarógrafa aficionada que borrara las imágenes. Pero ésta no tuvo la prudencia de hacerlo.

Qué pasó después. No está muy claro. Parece evidente que la propietaria del equipo celular no fue quien colgó las imágenes en Hard Sex Tube. Supongamos que la propietaria del celular  enrumbó rutinariamente a casa en su combi después del trabajo, y es en ese tránsito donde le fue robado el equipo. Siguiendo el derrotero acostumbrado por estos equipos robados, el aparato de marras va a parar al campo ferial Las Malvinas, donde se vende a otro usuario al que le han robado también su equipo. ¿Y el contenido? Los propios reducidores se encargan de colgarlo.

El vídeo con las imágenes en calzones de las cuatro suboficiales estuvo durante meses embebida en la página de Hard Sex Tube, hasta que para mala suerte de estas chicas algún aficionado criollo a imágenes pornográficas caseras lo vio y lo enlazó en Cholotube. El escándalo se convirtió en tal cuando las imágenes fueron reproducidas en el programa “Enemigos íntimos” de Frecuencia Latina.

La reacción. Desproporcionada, equivocada e ilegal. La flamante Ministra del Interior, Mercedes Cabanillas, ordenó la suspensión sin goce de haber de las cuatro policías. Algunas de las declaraciones de la Ministra no tienen desperdicio: “Eso no se puede permitir en una institución como la Policía Nacional y menos dentro del centro del trabajo; (…), estamos relajando la disciplina que tenemos que recuperar”, la ministra subrayó “(…) se va a ser drástico en las sanciones; con este hecho, el régimen lo vamos a cambiar, va ser mas drástico; el reglamento de la policía va variar, es muy blandengue”.

Nos encontramos ante varias conductas antijurídicas. La primera de ellas, la vulneración al derecho a la intimidad personal, Derecho Fundamental cuya vulneración esta castigada por el Código Penal peruano. Por otro lado la intención declarada por la Ministra Cabanillas de sancionar a las cuatro policías sin que las normas internas de la institución lo permitan.

Con relación a la vulneración al derecho a la intimidad, reconocida en el numeral 2 del artículo 7 de la Constitución peruana, el Código Penal tipifica en su artículo 154° el delito contra la intimidad personal. Tal como ha señalado nuestro Tribunal Constitucional (Exp. N° 6712-2005-HC/TC, Magaly Medina Medina Vela y Ney Guerrero Orellana), el delito no sólo se restringe a la responsabilidad por captar imágenes, sino que avanza hasta la difusión de las mismas. Por lo tanto, bien harían nuestras autoridades en identificar, y de ser el caso sancionar, a los responsables de vulnerar la intimidad de las cuatro policías. Es en este extremo, donde la posible responsabilidad de Cholotube adquiere relevancia. ¿Se asimila el caso Cholotube con el de las Prostivedettes?

Pero como hemos visto, este caso tiene tintes kafkianos desde que la Ministra en lugar de hacer cuerpo con las agraviadas, las sanciona, sin contar para ello con el amparo de norma legal alguna base fundamental del derecho sancionador. Y es tanto que no existe ningún dispositivo que habilite a la Ministra que ésta reconoce la necesidad de reformar el reglamento de la policía por blandengue, seguro con la idea de militarizar aún más a la Policía Nacional.

Bonito caso, si acaso fuera visto por nuestro Tribunal Constitucional que gusta tanto de dar la razón a obreros borrachines y empleados felones.

La responsabilidad de Cholotube

Cuatro suboficiales de la Policía Nacional del Perú se han visto involucradas la semana pasada en un escándalo mediático y cuasi político a raíz de un video difundido a través de Internet en el que aparecen desnudas. En concreto, el video fue subido a los servidores de Hard Sex Tube, una página de Estados Unidos que brinda el servicio de alojamiento de videos pornográficos no profesionales (amateur). Luego, el link del video fue propuesto por un usuario para ser embebido en la página Cholotube. En pocas horas, la aparición del video trascendió en diversos blogs y motivó que la recien juramentada Ministra del Interior tome la decisión de separarlas del cuerpo policial. A propósito del tema, resulta interesante el debate propuesto por Marco Sifuentes sobre qué puede hacerse con Cholotube. La pregunta que subyace a ello es, nuevamente, si es que resulta posible controlar Internet. Adelanto que no tengo una respuesta tajante a la cuestión, pero me parece importante tener en cuenta ciertos elementos sobre este caso.

En primer lugar, Cholotube solo embebe los videos alojados en los servidores de terceros. Esto significa que no los aloja en sus propios servidores, sino que a través de su página otorga a sus usuarios la posibilidad de publicar los links a videos que han sido alojados en otras páginas (que van desde Youtube o Megavideo hasta el referido Hard Sex Tube). Esto implica que por cada video que aparece en la página podríamos reconocer hasta cinco sujetos involucrados: (1) la persona que graba el video, (2) la persona que sube el video a Internet, (3) la persona o compañía que accede a alojar el video en sus servidores, (4) la persona que provee de la metadata necesaria a Cholotube para poder embeber el video; y, (5) Cholotube, que acepta embeber el video en su propia página e indexarlo en sus directorios. Visto así, ¿desaparecer Cholotube soluciona algo? No, porque Cholotube es el último eslabón de la cadena. Para estos efectos, la situación de Cholotube no es distinta a la del blog Doctor Monique o la de cualquier otra página que podría embeber el mismo video.

Sin embargo, ¿el que Cholotube solo embeba los videos no significa que esté exento de responsabilidad? Si alguno de los videos embebidos viola el derecho a la intimidad de las personas (como es el caso del video en controversia) o contiene pornografía infantil, por ejemplo, al embeberlo en su página web está realizando una comunicación pública del video a través de un medio social. Este extremo, sin embargo, es largamente discutido por académicos y tribunales. Embeber un video no es más que colocar un retazo de código HTML que contiene un hipervínculo a un video. Es decir, desde un punto de vista técnico, es igual que vincular una página web a través de un link. En casos relacionados a violaciones de derechos de autor, se ha resuelto en otra sede que hacer un link es tan solo una colaboración indirecta a la comisión de la falta. En el caso del delito de Violación de la Intimidad a través de un medio de comunicación social (artículo 154 del Código Penal Peruano), creo que debería apreciarse con cuidado la responsabilidad de Cholotube. ¿Acaso los blogs y los periódicos que han reproducido la noticia no han jugado un papel similar? Creo que el problema reside en que estamos atacando el brote en lugar de combatir la infección. El esfuerzo de la Policía debe enfocarse en rastrear a los responsables de la grabación y publicación del video, que viola el derecho a la intimidad de las personas que aparecen en él. La forma mediante la cual hayan sido difundidos masivamente es importante pero no es el tema central en el debate.

Ahora, frente a la propuesta del representante de la Red Peruana Contra la Pornografía Infantil de que sean los Proveedores de Internet (ISP, por sus siglas en inglés) quienes controlen el acceso a páginas que realicen la difusión de material ilegal, creo que sí es necesario pensar con mayor detenimiento el asunto. Dada la dinámica propia de la Internet, es altamente posible que frente a un panorama en el que se controle el acceso a ciertas páginas web desde los proveedores de Internet, se logre encriptar el contenido o la velocidad con la que aparezcan páginas espejo sea superior a la de la censura. Además, como lo han sostenido Brown y Adams, limitar la posibilidad de que los usuarios utilicen programas de encriptación es algo que vienen intentando las autoridades de Estados Unidos desde hace años y ha fallado espectacularmente. Peor aún, desde el punto de vista de la libertades informativas, es una decisión bastante sensible otorgar el poder de censura de la Internet a una entidad pública o privada. Finalmente, en el soñado supuesto en el que mediante estas medidas pueda detenerse la aparición de videos como estos, ello no significaría que éstos dejen de ser difundidos en centros comerciales populares en discos compactos o a través de correo electrónico, dado el progresivo abaratamiento del hardware de almacenamiento de datos.

No digo que la violación de normas sobre privacidad o que prohiben la pornografía infantil esté bien. Dichos hechos acarrean responsabilidad penal y el Estado debe preocuparse por perseguirlos, investigarlos y condenarlos. Esta labor, sin embargo, debe realizarse procurando la mínima interferencia a la libertad de los particulares no involucrados. Como decía Albert Camus, si el hombre fracasa en conciliar justicia y libertad, fracasa en todo.

Viva l’Italia

Un par de noticias difundidas en el último meses nos dicen mucho acerca de lo que bien podríamos llamar Net nutrality a la italiana.

Las autoridad de competencia italianas (Autorita´ garante della concorrenza e del mercato) ha impuesto una multa de 60 mil euros a la operadora de origen sueco Tele2 por filtrar el tráfico p2p de sus clientes sin advertir contractualmente de la realización de la práctica. La resolución -en Italiano- está colgada en la página de la AGCM.

La denuncia fue iniciada por la asociación de usuarios ADUC (Associazione per i diritti degli utenti e consumatori) que acusó a Tele2 de realizar publicidad engañosa, mientras que la web de Tele2 mencionaba expresamente que su ADSL no tenía límites de tráfico, la velocidad de los programas p2p se reducía drásticamente durante determinadas horas.

La autoridad de competencia consideró que Tele2 ocultó intencionalmente su política con relación al tráfico p2p.

La otra información es más importante. El Gobierno italiano preve adoptar un modelo similar al francés para bloquear el acceso a Internet de quienes descarguen cierto tipo de contenidos. Este modelo sancionará a aquellos usuarios que descargan música y películas sin tener los correspondientes derechos de autor. Una que el usuario infractor reciba determinado número de comunicaciones de advertencia por parte de la autoridad en las que se le recomendará dejar de realizar esta acción se procederá al corte del servicio de Internet.

Es curioso pero aún cuando se declara la relación de estas noticias con la Net neutrality, no parece en el fondo que nos los italianos estén discutiendo en realidad la introducción de este principio. Como veremos estamos ante dos situaciones completamente distintas.

El primer caso, nos encontramos claramente ante una situación de publicidad engañosa y de protección al consumidor. En un mundo donde el p2p está permitido lo mínimo que se le debe exigir a las empresas operadoras es que informen a sus abonados que van a restringir el uso de este tipo de conexiones  Este hecho, no informar debidamente un aspecto importante del servicio, es una conducta reprochable con Net neutrality o sin ella. Por el contrario la sanción pareciera que plantea que en Italia si es permitido realizar este tipo de prácticas contra las redes p2p por parte de las empresas operadoras, a diferencia de lo ocurrido en los Estados Unidos, cuando la FCC ordenó a Comcast (Comcast incumplió las políticas de la FCC, pero no será multada) que cesara de gestionar el tráfico hacia ciertas redes en la medida que estaba violando los principios de Powell.

La otra decisión pone en entredicho la figura tradicional y neutral de los operadores de telecomunicaciones con relación al tráfico que circula por la red. En lo particular es una iniciativa peligrosa  en la medida que obliga a que alguien realice determinado monitoreo y husmeo de las actividades de los internautas, lo cual puede considerarse como una vulneración de derechos fundamentales. Lo importante aquí no es si detecto algunas violaciones de los derechos de autor, sino, cuántas veces restringí el derecho a la intimidad o al secreto de las telecomunicaciones para saberlo.