- El Consejo para la Transparencia (CPLT) puso bajo la lupa las políticas de privacidad de algunas de las plataformas de ocio que han incrementado su uso en el contexto de la emergencia sanitaria y el encierro para prevenir contagios por Coronavirus.
- Entre los resultados destaca que no informan sobre medidas de ciberseguridad como el cifrado "punto a punto", lo que impide descartar que pueda haber accesos a la información personal que se comparte al usar algunas de estas plataformas.
El aislamiento, autoimpuesto u obligatorio, está llevando a las personas a modificar sus rutinas. Desde las formas de abastecerse, las actividades de ocio y las formas de comunicarse están cambiando. “La gente busca nuevas formas de socializar, de reunirse, de compartir actividades conjuntas que sean lo más parecido a las interacciones cotidianas y por ello este tipo de plataformas, que permiten crear comunidades, se están masificando. Tienen una serie de funcionalidades que permiten interactuar como lo hacemos presencialmente”, comenta el presidente del Consejo para la Transparencia (CPLT), Jorge Jaraquemada.
Dicha entidad analizó las políticas de privacidad y términos de uso de algunas aplicaciones que han registrado un alza importante en el número de usuarios con la pandemia por Covid-19, destacando entre ellas las que permiten crear grupos virtuales o comunidades para desarrollar actividades sincronizadas, como ver una película, como es el caso de Discord y Netflix-Party.
En el caso de la primera, permite crear y gestionar servidores –privados, semi-privados- en los que se puede intercambiar información con uno o más integrantes de la comunidad, las que pueden ser pequeñas o estar integradas por muchas personas que se conectan y comunican al mismo tiempo. La app opera a partir de la tecnología VoIP – o Voice Over IP, es decir, voz sobre IP, que posibilita conversaciones telefónicas en una red IP-.
Si bien tuvo mucho éxito en los circuitos de gammers en sus inicios, hoy se masifica dado que cualquier grupo que requiera canales de conversación puede usarla, lo que ha llevado a la compañía a ampliar la capacidad de los canales de 10 a 50 personas. “Puede usarse, por ejemplo, para ver el mismo contenido en línea mientras uno de los integrantes de la comunidad transmite vía streaming, y comentarlo”, explica el presidente del Consejo.
Sin embargo, subraya Jaraquemada “a partir de la revisión de las políticas de privacidad de esta aplicación pudimos establecer que recopilan información personal sobre los usuarios –nombre, correo electrónico- y además podrían acceder a cualquier mensaje, imagen u otro tipo de contenidos que las personas envíen a través del chat”. Pese a que el análisis permitió establecer que es una política que informa dónde y cómo procesan la información, éstas no establecen expresamente sobre el uso de tecnologías de cifrado end-to-end que impida el acceso a datos que son personales y sensibles, por ejemplo, los asociados a prácticas habituales de los usuarios o a sus preferencias y gustos.
A juicio del CPLT esto podría implicar “una afectación importante de la privacidad de los usuarios”. Lo anterior, dado que para la empresa no habría comunicación privada propiamente tal.
Lo antes dicho adquiere especial relevancia si se piensa que en el caso de Discord, la app tiene una función de chat que puede estar activa todo el tiempo y cuyos canales de voz permiten a los usuarios hablar con otros en tiempo real. “Los contenidos de esas conversaciones podrían ser eventualmente recopilados y no ser considerados parte de una conversación privada”, precisa el titular del CPLT. “Esto puede generar inconvenientes importantes en el caso de las comunicaciones de menores de edad, quienes podrían verse expuestos a ciberataques o podrían ser víctimas de delitos relacionados a pornografía infantil”, precisó Jaraquemada.
Medios de comunicación han informado respecto de ataques a comunidades, casos de violencia en línea, promoción de contenidos ilegales o nocivos y, también, el uso de esta plataforma por parte de organizaciones criminales como medio de intercambio de información ilegal, en términos muy parecidos a los realizados en sitios de la deep web, aprovechando la masividad de la plataforma y la facilidad de uso.
En el caso de Netflix-Party al ser un complemento del navegador Chrome, usado para chatear mientras comparten sincronizadamente un mismo contenido audiovisual en el sitio de Netflix, la plataforma no exige demasiados datos personales para poder usarla.
Sin embargo, al igual que Discord tampoco explicita en sus políticas de privacidad si cuenta con cifrado punto a punto (end-to-end) en su chat. Por ende, no hay forma de garantizar que las comunicaciones privadas que ahí se desarrollan no sean compartidas con terceros. Asimismo, lamentablemente las referencias a la seguridad de los datos son insuficientes y se limitan a señalar que no ofrecen garantía sobre el adecuado resguardo de la información de los usuarios.
“La pandemia ha evidenciado muchas falencias, una de ellas es la falta de protección en la que están nuestros datos personales y sensibles, como pueden ser preferencias, hábitos o gustos”, afirmó el abogado del CPLT. En este contexto y con el importante aumento que han registrado las descargas de estas plataformas “no hacemos más que amplificar los riesgos de que nuestros datos sean compartidos sin tener conciencia de que lo autorizamos. Como usuarios, si no se moderniza la ley de protección de datos, no nos queda más que ser cuidadosos con la información que entregamos al usar cualquier aplicación”, finalizó Jaraquemada.
¿Cómo evaluar las condiciones de apps para pasar el rato?
El Consejo para la Transparencia hace un llamado a poner especial atención en:
- Las políticas de privacidad con el fin de tener claro qué uso pueden darle las compañías a la información que se comparte y cuáles son las autorizaciones que se están entregando al descargar y utilizar dicha red.
- Qué datos personales recolecta la herramienta o software, sea directamente (por ejemplo, al crear una cuenta de usuario) o a través del uso de la aplicación. En este caso debe evaluarse tanto la recopilación pasiva y automática de datos de la cual muchas veces no se es consciente y que puede estar vinculada al seguimiento de la actividad del usuario, por ejemplo ubicación, preferencias, hábitos alimentarios.
- Las posible comunicación de los datos recabados a terceros, es decir, a otras empresas o prestadores de servicios y los fines que se persiguen con dicha transferencia. Una aplicación práctica de esto es verificar si se mencionan fines de publicidad directa, puesto que esto último autoriza a la empresa a enviar información comercial no sólo de la aplicación sino de otras compañías, filiales o no.
- Criterios de ciberseguridad como los permisos que solicita la herramienta para operar en un determinado dispositivo y las medidas de seguridad que contempla (por ejemplo si cuenta con cifrado de extremo a extremo).
- Considerar que por intermedio de los cookies de Internet se puede acceder al historial de navegación. Las páginas web y las aplicaciones usan esta información, las que pueden ser utilizadas, entre otros fines, para publicidad dirigida en base a los sitios que visita con más frecuencia.
- La posibilidad que tienen los titulares de los datos de ejercer los derechos ARCO, conjunto de derechos que permiten al titular mantener el control sobre ellos.: Acceso, Rectificación, Cancelación, Oposición., y la indicación del mecanismo cómo poder ejercerlos.