vigilancia-internet-privacidad

Tendencias de privacidad en línea para observar

De las cookies de terceros a la regulación emergente.

La privacidad en línea no va muy bien. “Muchas compañías están constantemente tratando de acechar todo lo que haces y ganar dinero con ti”, explicó Don Vaughn, jefe de producto en la plataforma de conocimiento del consumidor Invisibility.

Por «acechar todo lo que haces», Vaughn podría estar refiriéndose a las empresas que rastrean tu ubicación, analizan tu historial de navegación, examinan la forma en que te desplazas, pasan información personal a terceros o te siguen por Internet con anuncios dirigidos.

Tendencias de privacidad en línea a tener en cuenta en 2021

  • No más cookies de terceros
  • Posibles nuevas regulaciones
  • Procesos alternativos de recopilación de datos
  • Más conversaciones sobre la privacidad de IoT

A algunas personas, denominadas » nihilistas de la privacidad » o «nihilistas de los datos», en realidad no les importa. El único resultado notable de todo ese seguimiento es contenido y experiencias más personalizados. Y además, ¿el pánico realmente cambiaría la forma en que las empresas tratan a los usuarios y sus datos ?

Pero a otras personas les importa mucho. El ochenta y uno por ciento de los estadounidenses cree que los riesgos de la recopilación de datos corporativos son mayores que los beneficios, según el Centro de Investigación Pew, y las búsquedas en Google de «privacidad de datos» han aumentado constantemente en los últimos cinco años.

No importa dónde se encuentre, así es como lo afectarán las preguntas más importantes sobre privacidad de datos de la actualidad.

Las cookies de terceros van a desaparecer

Las cookies de terceros, o los fragmentos de código que usan los sitios web para seguirlo en Internet, se han ganado la reputación de ser una tecnología de vigilancia espeluznante. (Si son tan malos en comparación con otras tecnologías invasivas es otra cuestión ). Firefox y Safari han eliminado gradualmente las cookies de terceros y, pronto, Chrome también lo hará.

En su lugar, Google presentó Privacy Sandbox, un conjunto de soluciones para una experiencia de navegación sin cookies, pero en la que los anunciantes aún pueden realizar una orientación por comportamiento. Hasta ahora, parece que la piedra angular de Privacy Sandbox será un modelo gigante de aprendizaje automático llamado Aprendizaje federado de cohortes (FLoC).

Los expertos en datos y los aficionados a la privacidad estarán familiarizados con el «aprendizaje federado»: es una de las dos formas de anonimizar los datos para los sistemas de inteligencia artificial. FLoC de Google lo hará agrupando a los usuarios en cohortes según la demografía o los intereses. En lugar de un gran modelo de IA que ingiere los datos individuales de todos, cada usuario tendrá un pequeño modelo que procesa los datos localmente, en el dispositivo que está usando para navegar. Una vez que ese modelo está «entrenado», pasa sus conocimientos a modelos más grandes a nivel de cohorte que ayudan con la publicación de anuncios, pero los datos del usuario permanecen en su dispositivo.

En la práctica, es probable que los especialistas en marketing aún puedan orientar los anuncios con cierta precisión, mostrando anuncios de bebidas energéticas a miles de personas en una cohorte como «entusiastas de los videojuegos», por ejemplo, sin saber qué sitios vieron los usuarios individuales y cuándo.

Podría decirse que esto es mejor para la privacidad. Pero FLoC todavía tiene sus críticos. La falta de visibilidad de las opciones de los usuarios individuales haría que las conversiones de marketing fueran más difíciles de medir para los editores y las marcas. Los profesionales de la tecnología publicitaria dudaban de la afirmación de Google de que FLoC produciría básicamente la misma cantidad de conversiones por dólar gastado en anuncios. Otros especularon que las limitaciones de FLoC conducirían a una mayor confianza en la publicidad contextual y se preguntaron cómo trataría el sistema a los usuarios que navegan en varios dispositivos.

Por último, a muchos les preocupaba que FLoC condujera a un marketing discriminatorio o depredador al agrupar a los usuarios según categorías como raza, sexualidad, estado de salud o intereses políticos. (Google  ha declarado  que no creará cohortes basadas en «temas sensibles», que incluyen las preocupaciones antes mencionadas. Esto era parte de la  política de publicidad personalizada de Google  antes de la introducción de FLoC).

Google no abordó directamente las preguntas de Built In sobre el tratamiento de la identidad por parte de FLoC y el impacto potencial en los usuarios, editores y marcas.

Apple y Facebook están peleando

En una próxima actualización de Apple iOS, las aplicaciones tendrán que pedir permiso a los usuarios para rastrearlos en la web y otras aplicaciones.

Esas son malas noticias para empresas como Facebook, que ganan dinero aprendiendo lo que hacen sus usuarios en línea y luego publicando anuncios personalizados. El CEO de Facebook, Mark Zuckerberg , criticó el cambio y sugirió que Apple, que compite con Facebook en el espacio de la mensajería, tiene motivos ocultos. Facebook también publicó varios anuncios en los principales periódicos argumentando que los anuncios personalizados ayudan a las pequeñas empresas ya los usuarios .

privacidad de datos
A medida que más estados consideran la legislación de privacidad, qué facturas respaldan las grandes tecnologías, y cuáles no, dice mucho. | Imagen: Shutterstock

La regulación de privacidad de datos es un lanzamiento

A medida que las grandes tecnológicas analizan (y discuten) las soluciones de privacidad, el gobierno también está interviniendo, más o menos .

La llegada de leyes como la Ley de Privacidad del Consumidor de California , el Reglamento General de Protección de Datos de la Unión Europea y la nueva Ley de Protección de Datos del Consumidor de Virginia fueron buenas señales para algunos defensores de la privacidad. Cuando ciertas regiones promulgan pautas de privacidad más estrictas, las empresas se ven obligadas a crear nuevas soluciones de privacidad, incluso si son solo para un subconjunto de clientes.

Y otros estados de EE. UU. se están sumando. Actualmente, hay 15 estados con proyectos de ley de privacidad en proceso y, debido a que una mezcla de leyes locales dificultaría increíblemente la gestión de datos para las empresas, es probable que haya una regulación federal de privacidad de datos.

Todas esas son buenas noticias, ¿verdad?

No si la nueva legislación atiende a las grandes empresas de tecnología en lugar de a los consumidores, me dijo Hayley Tsukayama, activista legislativa de Electronic Frontier Foundation.

“Ciertamente no queremos ver que los estados aprueben leyes que reduzcan el nivel, particularmente cuando nos dirigimos a una conversación a largo plazo sobre cómo sería la legislación federal”.

“En este momento, tenemos un modelo de California que estableció un estándar”, dijo. “No es una ley perfecta; hay mejoras que nos gustaría ver allí también. Pero ciertamente no queremos que los estados aprueben leyes que bajen el listón, particularmente cuando nos dirigimos a una conversación a largo plazo sobre cómo sería la legislación federal”.

“Bajar el listón” puede parecer una aplicación débil. Las leyes que otorgan a los consumidores el derecho de limitar los datos que comparten con las empresas no significan mucho si las empresas pueden violar la ley sin consecuencias inmediatas.

La nueva ley de Virginia, por ejemplo, no permite ningún derecho privado de acción, lo que significa que los consumidores no pueden demandar a las empresas que la violen. La ley de California permite a los consumidores demandar a las empresas solo si se violan los datos, pero, de lo contrario, la aplicación recae en la oficina del fiscal general del estado. La aplicación en Washington también recaería en el fiscal general, aunque la cámara de representantes del estado revisó el proyecto de ley el 1 de abril para incluir un derecho de acción privado limitado, por lo que los consumidores individuales podrían demandar a las empresas que no cumplen para evitar futuras violaciones, pero no para cobrar daños y perjuicios.

Según Tsukuyama, la mayoría de las oficinas del fiscal general del estado no están equipadas para manejar la aplicación. Un análisis fiscal del proyecto de ley de Washington indicó que el fiscal general tendría solo 3,6 empleados adicionales para manejar las quejas de los consumidores, dijo. Probablemente no sea suficiente gente, y la oficina podría verse abrumada tratando de abordar las violaciones. En una carta a los legisladores estatales hace dos años, el fiscal general de California, Xavier Becerra, dijo que la aplicación de la CCPA impone “obligaciones impracticables” y “serios desafíos operativos”. Mientras tanto, el nuevo proyecto de ley de Virginia asignó solo $ 400,000 anuales para la aplicación en todo el estado.

EFF también ha criticado la ley de Virginia y el proyecto de ley de Washington por no permitir que los consumidores opten globalmente por no compartir datos personales con empresas, entre otros puntos.

«Los legisladores no deberían dejarse convencer por la legislación presentada como ‘GDPR-lite’: proyectos de ley que otorgan muchos ‘derechos’ sin definiciones exhaustivas o una aplicación estricta», escribió la organización en una publicación de blog de 2020.

Pero los modelos de privacidad como los de Washington y Virginia han recibido un fuerte apoyo de la industria tecnológica. De hecho, «cuando vemos oposición a un proyecto de ley [de las grandes empresas de tecnología], a menudo es cuando las disposiciones de cumplimiento son fuertes», dijo Tsukuyama.

Tanto Microsoft como Amazon testificaron en apoyo de la ley de Virginia. Microsoft y la Asociación de la Industria de Tecnología de Washington dejaron constancia de su respaldo al proyecto de ley de Washington en enero, y Amazon envió una carta a uno de los patrocinadores del proyecto de ley expresando su apoyo.

A medida que la perspectiva de la regulación federal se avecina, la tendencia de las grandes tecnológicas a apoyar la legislación que organizaciones como EFF consideran «milquetoast» podría ser motivo de preocupación, al menos para los consumidores que piensan que las empresas no deberían poder beneficiarse de sus datos sin consentimiento.

La economía de datos está cambiando

Algunas personas quieren que las empresas de tecnología le paguen por sus datos…

En el centro del debate sobre la regulación de la privacidad se encuentra un debate más amplio sobre la llamada economía de datos. ¿Deberían los datos servir como moneda, permitiendo a los usuarios visitar sitios web y plataformas de redes sociales sin costo alguno?

En este momento, muchos editores en línea, como los periódicos, trabajan con plataformas publicitarias para mostrar anuncios dirigidos a los visitantes. Eso, en teoría, paga las operaciones de los editores. Mientras tanto, las empresas recopilan y analizan los datos de los usuarios, como el comportamiento de navegación, el género o la ubicación, para orientar mejor los anuncios u ofertas de productos. A menudo, también venden esos datos a otras empresas a cambio de dinero o tecnología y servicios. Y todo eso, según se piensa, permite a los visitantes disfrutar de la mayoría del contenido en línea de forma gratuita.

La única parte que no gana dinero con los datos de los usuarios son los usuarios.

Algunas personas piensan que eso debería cambiar. En 2018, los autores Jaron Lanier y Glen Weyl argumentaron que los usuarios deberían recibir un pago por sus datos y propusieron un nuevo tipo de organización llamada MID, o mediador de datos individuales. Los MID serían como los sindicatos, ya que abogan por los pagos de datos y manejan los requisitos técnicos. El excandidato presidencial demócrata Andrew Yang incluso lanzó una organización, Data Dividend Project , dedicada a la negociación colectiva para pagos de datos.

La recepción fue mixta. Según las pautas de CCPA para la valoración de datos, los pagos de dividendos de datos serían demasiado pequeños para marcar una diferencia para los consumidores y demasiado grandes para que las empresas los administren, argumentó Will Rinehart en Wired . (Un pago anual de $ 20 a cada usuario de EE. UU. hundiría a Facebook, escribió ).

Por lo tanto, es poco probable un enfoque a gran escala de los dividendos de datos, al menos en el futuro cercano. Pero, ¿qué pasa con uno a pequeña escala?

Eso es exactamente lo que la plataforma de gestión de datos Invisiblemente afirma que está haciendo. Invisiblemente aún no se ha lanzado, pero cuando lo haga, los usuarios podrán registrarse para obtener acceso gratuito a paneles de datos personales que muestran sus historiales de búsqueda, información de tarjetas de crédito y actividad en las redes sociales. Luego, pueden elegir qué datos compartir con las empresas a cambio de algo de dinero (entre $30 y $100 al año, dijo un portavoz de Invisiblely a Built In).

“El problema no es que haya datos sobre ti. El problema es que no tienes control sobre eso”.

Los socios de marca de Invisiblely utilizarán esos datos para dirigirse a los usuarios con anuncios o cuestionarios relevantes. Eventualmente, dijo Vaughn, los usuarios podrán proporcionar comentarios inmediatos, como «Sí, me gustó esta experiencia publicitaria», y esos comentarios afectarán los tipos de anuncios que ven.

Vaughn, quien tiene un Ph.D. de la Universidad de California-Los Ángeles y se describe a sí mismo en LinkedIn como un «neurocientífico en recuperación», lo llama «IA vocacional», un término que acuñó para describir los algoritmos que ayudan a los usuarios a mejorar sus experiencias de navegación.

Por supuesto, si la experiencia de navegación ideal de un usuario fuera «una en la que mis datos no se recopilan sin mi consentimiento», no tendría suerte. En este momento, los consumidores no pueden optar por no participar en la economía de datos, por lo que es difícil discernir si los anuncios mejor dirigidos son un servicio para los usuarios y las marcas, o solo para las marcas.

Pero la posición de Invisiblemente es una que Vaughn llama «datos positivos»: la economía de datos no va a ninguna parte, así que démosles a los usuarios algo de dinero y más agencia.

“El problema no es que haya datos sobre ti”, dijo. “El problema es que no tienes control sobre eso”.

Al conectar a los consumidores y las marcas directamente, Invisiblely brinda a los consumidores más visibilidad sobre el destino de sus datos. También brinda mejores perspectivas publicitarias a las marcas, afirma. Vaughn dijo que, hasta ahora, las marcas han estado “muy interesadas”.

En lugar de obligar legalmente a las empresas a pagar a los usuarios por sus datos, el modelo de Invisibility es voluntario. Las empresas pagan para usar la plataforma y convertirse en clientes invisibles. Mientras tanto, los usuarios de Invisiblely seguirán viendo muchos anuncios dirigidos a los que no se suscribieron de marcas que no trabajan con la startup.

Pero, si el modelo invisible tiene éxito, podría impulsar a más marcas a pagar por los datos compartidos de forma consensuada.

…pero los ‘dividendos de datos’ podrían conducir a un privilegio de privacidad

Para las personas a las que realmente les vendría bien un poco de dinero extra, los dividendos de datos son especialmente atractivos.

“Creo que pensar en la privacidad de los datos es un lujo del que podemos hablar, cuando la mayoría de la gente dice: ‘Me vendrían bien 100 dólares más al año’”, dijo Vaughn.

Esa distinción (personas que pueden darse el lujo de preocuparse por la privacidad de los datos y personas que no) abre las puertas a una economía de datos jerárquica, en la que las personas con mayores ingresos pueden permitirse mantener su información personal privada, pero otros no.

La EFF, por ejemplo, se refiere a los dividendos de datos como «esquemas de pago por privacidad». Al renunciar al dividendo de datos, argumentó la organización , algunos consumidores estarían pagando un precio más alto por los mismos productos o servicios en línea.

Al mismo tiempo, si los consumidores ya no pudieran “intercambiar” sus datos personales por acceso gratuito a productos y servicios en línea, algunos no podrían pagar con dinero. Eso podría limitar el acceso a contenido en línea como el periodismo. (Sin embargo, tenga en cuenta que los anuncios dirigidos también cuestan dinero a los consumidores, en forma de más gastos ) .

Es un dilema, y ​​uno sin respuestas inmediatas.

Si los datos de usuario granulares no están disponibles en los navegadores, las marcas podrían buscar en otra parte

Eyeo, la empresa que mantiene el software de código abierto Adblock, también ha lanzado lo que llama un «nuevo trato» entre usuarios y anunciantes. El próximo producto, una extensión del navegador llamada Crumbs, brinda a los usuarios un tablero de datos personales (como Invisiblely) y les permite elegir qué compartir. Procesa datos en navegadores locales y los anonimiza agrupando a los usuarios en categorías más grandes (como FLoC). Crumbs también viene con herramientas de privacidad que bloquean las cookies de terceros y protegen las direcciones IP y de correo electrónico de los usuarios del software de marketing.

Al igual que FLoC e Invisably, Crumbs opera bajo la suposición de que una Internet respaldada por publicidad, y el contenido gratuito que la acompaña, está aquí para quedarse.

“Realmente creemos que podemos llegar a algún tipo de juego justo al proporcionar a la economía web todas las herramientas que necesita para lograr una monetización significativa del contenido, al mismo tiempo que preservamos los derechos del usuario y la elección del usuario en el camino”, Rotem Dar, director de operaciones de medios en eyeo, me dijo.

“El resultado de eso sería la desmonetización del periodismo y el contenido”.

Esta no es una nueva línea de pensamiento para eyeo, dijo el director de defensa, Ben Williams. En 2011, la compañía lanzó la controvertida actualización de Anuncios aceptables, que ajustó la configuración predeterminada de Adblock para permitir que aparecieran ciertos anuncios. Solo alrededor del 8 por ciento de los usuarios de Adblock optaron por deshabilitar los anuncios aceptables y regresar a una experiencia sin publicidad, según Williams. Eso sugiere que los anuncios de mayor calidad realmente representan un valor para los usuarios. (O eso, o los clientes no entendieron cómo deshabilitar la configuración).

“Nos tomó mucho tiempo hasta que los anuncios aceptables y el filtrado de anuncios fueran el estándar y fueran aceptados por la industria”, agregó. “Nosotros [como industria] no queremos hacer lo mismo con la privacidad. Queremos que los usuarios se involucren desde el primer día, porque si no, se van a rebelar de nuevo y van a bloquear todo”.

«Bloquear todo» podría significar que los usuarios presionan por el tipo de exclusión voluntaria de intercambio de datos global que mencionó Tsukuyama. Y eso, para bien o para mal, amenazaría la economía en línea en la que se han asentado los editores, las marcas y la industria publicitaria.

“Mi temor es que si los datos no estarán disponibles en el navegador, entonces los presupuestos de los anunciantes simplemente se trasladarán a los jardines amurallados o a otros medios, ya sea televisión conectada o básicamente cualquier entorno donde se obtengan datos granulares sobre los usuarios. disponibles”, dijo Dar. “Y el resultado de eso sería la desmonetización del periodismo y el contenido”.

Leer esto a continuación: ¿Todavía es posible una Web abierta?

privacidad de dispositivos conectados iot
Los dispositivos conectados de marca son los más seguros, pero eso no significa que sean los más privados. | Imagen: Shutterstock

Los dispositivos conectados plantean un nuevo conjunto de preguntas

¿Qué pasa con el Internet de las cosas? ¿Cómo va la privacidad en el ámbito de los dispositivos conectados a Internet?

«IoT es un desastre», dijo Chet Wisniewski, científico investigador principal de la firma de seguridad empresarial Sophos. “Ha sido durante mucho tiempo, y no estoy seguro de que alguna vez vayamos a verlo mejorar tanto”.

Esas son malas noticias, porque cualquier dispositivo inseguro con una cámara o un micrófono podría ser accedido por personas que no desea que accedan a él.

«IoT es un desastre».

Hace unos años, Wisniewski reunió alrededor de una docena de diferentes dispositivos conectados (cámaras para niñeras, bombillas, parlantes) y los hackeó en busca de vulnerabilidades de seguridad. Si hubiera algún hilo común, Sophos podría publicar algunas pautas generales para los fabricantes de IoT, pensó.

“Desafortunadamente, no había nada en común”, dijo Wisniewski. “Todos eran basura. Todos eran súper fáciles de hackear. Pero todos se rompieron de una manera diferente donde no había un consejo uniforme que pudiéramos dar a las empresas”.

En general, las marcas conocidas tienden a hacer un trabajo mucho mejor con la seguridad de IoT, según Wisniewski. Apple, por ejemplo, tiene altos estándares para los artículos comercializados como parte de su «equipo para el hogar». Y si los piratas informáticos abusan de un producto de consumo de marca, es probable que la empresa arregle la vulnerabilidad o se enfrente a un recurso de la Comisión Federal de Comercio.

Los productos de IoT sin marca, por otro lado, son el salvaje oeste de la ciberseguridad. Muchas «marcas» son solo etiquetas blancas de un solo lote de fábricas en el extranjero, por lo que los reguladores o investigadores como Wisniewski no tienen forma de responsabilizar a los fabricantes.

“Cuando estaba haciendo mis pruebas de IoT, no creo que una sola de las marcas existiera el tiempo suficiente para que yo las encontrara después de comprar [el producto]”, dijo.

Peor aún, esos fabricantes a menudo buscan la forma más económica y rápida de comercializar productos, incluido el software que contienen. La mayoría ejecuta versiones obsoletas del sistema operativo de código abierto Linux con errores conocidos y vulnerabilidades aún en el código.

Hay potencial para que esto mejore. Alan Friedman, director de iniciativas de seguridad cibernética del Departamento de Comercio de EE. UU., ha propuesto algo llamado «lista de materiales de software», que obligaría a los fabricantes de tecnología de consumo a divulgar los componentes de software de un producto. De esa manera, los terceros útiles podrían asignar puntajes de riesgo amigables para el consumidor, casi como las etiquetas de ingredientes en los alimentos.

Las VPN, o conexiones de Internet encriptadas inaccesibles desde el exterior, son otra posible solución de seguridad de IoT.

«IoT es un área en la que creo que las VPN pueden marcar una gran diferencia», dijo James Yonan, CTO de OpenVPN y creador del proyecto original de código abierto del mismo nombre. “Si tiene una cámara web que está diseñada para conectarse a Internet a través de una VPN, eso realmente puede ser la diferencia entre que sea segura o no lo sea”.

Muchos clientes de OpenVPN son proveedores de IoT, agregó Yonan, y OpenVPN ha trabajado con “muchas” empresas para integrar la funcionalidad de VPN en los dispositivos conectados.

“No creo que a nadie le importe la mayoría de los dispositivos IoT en tu casa. ¿Qué voy a hacer, apagar las luces sin tu permiso? Quiero decir, aterrador. Pero como, ¿por qué me molestaría?

Pero hasta que el gobierno regule el IoT, lo que Wisniewski cree que es poco probable, los consumidores preocupados pueden cruzar los dedos para obtener una mejor transparencia o encriptación, o simplemente optar por productos de marca más caros. Es muy poco probable, por ejemplo, que su Amazon Alexa sea pirateada.

Pero eso no significa que no venga con grandes preocupaciones de privacidad. Alexa graba conversaciones , incluso cuando no se lo pides. Apple tuvo que disculparse después de permitir que los contratistas escucharan grabaciones de voz privadas de Siri de los usuarios.

“[Las grandes empresas de tecnología] están recopilando información de usted para usarla con cualquier propósito, y nunca lo sabrá, sin importar cuánto lea el acuerdo de privacidad”, dijo Wisniewski.

Al final, podría tener sentido preocuparse menos por los piratas informáticos en la sombra y más por las empresas que acceden a nuestros datos de manera perfectamente legal.

“No creo que a nadie le importe tu refrigerador [conectado], para ser honesto”, dijo Wisniewski. “Y no creo que a nadie le importe la mayoría de los dispositivos IoT en tu casa. ¿Qué voy a hacer, apagar las luces sin tu permiso? Quiero decir, aterrador. Pero como, ¿por qué me molestaría?