"Jo no tinc res a amagar": els riscos d'acceptar sempre totes les cookies
Diverses universitats europees, entre les quals la UAB, investiguen sobre la privadesa i la protecció de dades per conscienciar els usuaris de la importància d'acceptar o no les galetes informàtiques
"Dona la motxilla amb totes les teves pertinences al teu company de classe." I els alumnes queden descol·locats. És un exercici recurrent en les formacions que fa el CSI-COP a les escoles per conscienciar els joves de la necessitat de protegir la seva privadesa a la xarxa.
Ens ho explica Eva Jove, tècnica de la Universitat Autònoma de Barcelona del CSI-COP, un projecte europeu d'investigació sobre privadesa i protecció de dades liderat per la Coventry University i en el qual la UAB és un dels nou membres de l'equip de recerca. Fa uns dies, coincidint amb el cinquè aniversari de l'aplicació a la pràctica del Reglament General de Protecció de Dades, presentaven el projecte a la seu que aquesta universitat britànica té a Brussel·les.
Des de fa cinc anys, doncs, és obligat que totes les pàgines web i aplicacions adverteixin els usuaris de la utilització de galetes (cookies) i els facilitin la possibilitat d'acceptar-les, rebutjar-les totes o algunes. Però qui, durant tot aquest temps, s'ha aturat un momentet a pensar què implica aquell consentiment?
Els riscos de les cookies
Probablement, molt pocs usuaris ho fan i, ja sigui per desconeixement o per pressa, s'accepten les cookies sense ser conscients que estan permetent que moltes de les seves dades personals s'escapin del seu control. És un avís seriós, però potser no en som prou conscients. Impera aquella actitud del "jo no tinc res a amagar", diu Jove.
Però resulta que per haver premut alegrement el botó "ho accepto tot" es poden estar aixecant barreres que ni sabem que existeixen. Per exemple, "hi ha hagut casos d'encreuament de dades d'aplicacions de cites amb dades d'aplicacions de seguiment i gestió de la menstruació. I es relacionen els cicles menstruals amb els algoritmes d'aplicacions de cites", explica Eva Jove.
És a les mans dels usuaris evitar que les seves dades serveixin per a finalitats que desconeixen. Podem barrar la transferència de dades a tercers més enllà de la pàgina web o l'aplicació que estem utilitzant perquè poden ser dades sensibles sobre la salut d'una persona (mental o física, per exemple); dades sobre la seva vida sexual o orientació sexual; dades genètiques; dades biomètriques (utilitzades per identificar de forma única algú), i dades relacionades amb condemnes i delictes penals.
Aprendre a rebutjar cookies
Tota aquesta informació és la motxilla dels alumnes d'una classe, dels joves que, seduïts per les aplicacions, donen la seva cartera a desconeguts. Els joves són un dels sectors de la població més vulnerable quan parlem de protecció de dades, però no només els joves.
"Quan busques un restaurant a Google i el servei et proporciona una llista de restaurants propers, és perquè el motor de cerca sap on et trobes". "Quan una botiga de comerç electrònic et mostra una llista de productes recomanats, sap el que t'agrada perquè ha fet un rastreig dels ítems que has mirat o comprat prèviament".
Són exemples que cita la mànager Eliza Crawford, que recull el curs obert del CSI-COP per donar petites píndoles de coneixements sobre drets i riscos de fuita de dades i oferir eines de protecció dels nostres dispositius per guanyar privadesa.
Són eines a l'abast dels usuaris si, quan els apareix el missatge sobre les cookies, frenen les ànsies de treure's el tràmit de sobre i, en lloc d'acceptar-ho tot, prem el botó de "preferències", "configuració", "més opcions"...
Potser no cal que totes les aplicacions o pàgines web coneguin la nostra ubicació, o tampoc que les nostres dades serveixin per afinar estratègies de màrqueting; potser n'hi ha prou d'acceptar les galetes essencials per fer funcionar aquella determinada pàgina o aplicació. El curs ofereix eines per jugar amb aquest quadre de diàleg, que se sol apartar tan ràpidament quan ens demana el consentiment.
I també ens ofereix altres eines que dibuixen el viatge de les dades i en fan una traçabilitat per prendre consciència de la protecció que una determinada pàgina web ens garanteix.
Per a què serveix la informació que l'usuari cedeix?
És sorprenent constatar com moltes pàgines web transfereixen les dades que l'usuari ha permès a terceres parts o a quartes o a cinquenes; o com les dades viatgen cap a servidors a milers de quilòmetres d'on es troba l'usuari i de quina és l'àrea geogràfica d'una pàgina determinada.
Moltes dades viatgen als Estats Units i això, a vegades, s'ha fet vulnerant el reglament europeu de protecció de dades, que prohibeix la transferència de dades personals d'usuaris europeus a servidors dels Estats Units. L'exemple més cridaner i recent és de Meta, la matriu de Facebook, que ha estat multada a instàncies de l'Organisme Europeu de Protecció de Dades amb una sanció exemplar i la més alta de la història (1.200 milions d'euros).
El missatge amagat
Les empreses tecnològiques tenen obligacions i els usuaris tenen drets. El projecte del CSI-COP analitza a través de la ciència ciutadana, que reuneix investigadors voluntaris per monitoritzar el compliment del reglament de protecció de dades, si s'avança prou respecte a aquests drets i obligacions.
La premissa és simple: "Primer ens han d'informar que les dades viatjaran i, des d'aquest coneixement, donar o no donar permís", diu Eva Jove. A partir d'aquí depèn de cadascú saber si les seves dades estan prou protegides o si la seva motxilla és massa accessible. També hi ha eines per avaluar el grau de protecció dels navegadors web, que poden ajudar a l'hora d'ajustar la configuració de les cookies, de les galetes que, pel seu nom, poden semblar inofensives, però amaguen alguns imponderables.
Eva Jove ho explica d'aquesta manera: "El nom ve de les galetes orientals que s'obren i que a dins porten un missatge amagat. En programació informàtica, les cookies són aquest missatge amagat. Es van inventar a mitjans dels 90 amb una idea molt bona: recordar què fas en una web per no haver-ho de repetir. Estava pensat perquè, quan fas una compra, puguis anar endavant i endarrere sense haver de buidar el carret. Però ha evolucionat i es fan servir per a altres usos."
Una vegada més, un bon invent, una solució pensada per fer-nos la vida més fàcil, obre la porta a funcionalitats que poden amagar riscos. Passa amb les galetes, que ens poden garantir una navegació segura si es revisen bé abans d'ingerir-les emportats per la gana de seguir navegant. I també passa amb la intel·ligència artificial, una eina amb un horitzó inabastable de possibilitats de fer-nos la vida més fàcil; i tan inabastable com els riscos i perills que se'n poden derivar si cau en males mans o no es regula prou bé.
El Reglament General de Protecció de Dades ha complert cinc anys amb la intenció de minimitzar els riscos de la xarxa i la primera llei d'intel·ligència artificial de tot el món està a punt de néixer al Parlament Europeu. La feina dels reguladors és necessària, però només serà efectiva si els usuaris l'aprofiten per protegir-se.
- ARXIVAT A:
- Protecció de dadesTecnologia