El data mining invade México, a costa de los usuarios

Una mujer navega por Internet a través de su celular. Foto: AP Una mujer navega por Internet a través de su celular. Foto: AP

MÉXICO, D.F. (apro).- Gobiernos y empresas recurren con más frecuencia al análisis masivo de datos o data mining y suelen aliarse en función de sus intereses específicos, práctica que puede suponer amenazas para la privacidad de las personas.

Uno de esos casos es la aplicación Tesorería CDMX, embozada en la marca “Mobile Card” y diseñada por Adcel, S.A. de C.V. para la Secretaría de Finanzas del Distrito Federal, cuyo propósito es que los usuarios realicen trámites o pagos.

El reportero analizó la política de privacidad de esta app. Los lineamientos de Mobile Card indican que es responsable de la obtención, divulgación, almacenamiento, uso, incluido acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

La marca “recaba información proporcionada por sus clientes o cualquier tercero que pueda tener acceso a sus productos, de diferentes maneras, desde diferentes áreas o desde su sitio Web, donde el usuario las ingresa voluntariamente”.

La información solicitada es el pan diario de este tipo de corporaciones: nombre completo, correo electrónico, teléfono, ciudad y código postal, horarios de contacto, tipo de tarjeta, número de tarjeta de débito o crédito para registrar en el sistema y su fecha de expiración.

El receptor de esos datos puede usarlos para atender requerimientos legales de autoridades competentes, anunciar nuevos productos y servicios, así como beneficios, descuentos, promociones, estudios de mercado, concursos, sorteos, notificaciones sobre cambio en condiciones, “toda la publicidad derivada de los servicios que ofrecemos”.

Además, el análisis de uso de los productos y/o servicios y el cumplimiento de los términos y condiciones de la marca en la prestación de esos servicios.

Luego viene el postre: la marca podrá utilizar y divulgar los datos personales a “algún tercero que, a consecuencia de un contrato con el cual se tenga una relación comercial o, agentes o patrocinadores que sean necesarios para administrar o proveer, de forma eficaz” sus servicios.

El fondo de esas disposiciones es que Mobile Card o “algún tercero” pueden hacer data mining.

Esta minería sólo requiere de una gran cantidad de datos -la calidad no es indispensable- y un software para analizarlos. Ambos componentes están disponibles en el mercado.

De hecho, las empresas son bastante exitosas al hacer minería de datos para dirigir mejor la publicidad, detectar fraudes financieros y realizas otras labores.

Además, universidades y organizaciones de la sociedad civil tienden a recurrir a esa metodología para desarrollar mejores investigaciones o descubrir vertientes ocultas detrás de las estadísticas.

Pero la recolección y manejo de información o de big data –volumen masivo de datos– está en el centro de las operaciones de empresas publicitarias, de mercadotecnia y de data mining o explotación de datos, así como de gobiernos, sobre quién es la persona, qué hace y qué compra.

En su libro “Datos y Goliath: las batallas ocultas para recolectar tus datos y controlar tu mundo”, publicado en febrero pasado, Bruce Schneier, experto estadunidense en seguridad informática, detalla cómo los gobiernos y corporaciones amasan, guardan y analizan en forma masiva datos prohijados por la existencia digital, a menudo sin conocimiento ni consentimiento de los usuarios.

El experto identifica una convergencia de intereses entre la vigilancia gubernamental y la corporativa, con motivaciones diferentes pero métodos similares.

Luis Fernando García, abogado de la Red en Defensa de los Derechos Digitales, alerta de los riesgos derivados del data mining.

“Es necesario tomar conciencia de la información que se puede revelar con esas prácticas, la cantidad de información que las personas dejamos cada vez que consumimos o contratamos algún servicio y las formas con las que consentimos dejar esos datos, sin que sean claras las condiciones en las que damos el consentimiento, provocan que los datos sean concedidos a otras personas para otros fines”, indica a Apro.

García plantea uno de los mayores peligros: esos datos pueden revelar cuestiones privadas, como lo exhibe Schneier en su libro. Esa información puede ser usada para adivinar edad, género, raza, preferencias sexuales, estados maritales y muchas otras cosas.

El bando corporativo y su aliado gubernamental prueban el punto de Schneier: trabajo conjunto y complicidad.

Es en este contexto en el cual se celebra este 17 de mayo el Día Mundial de Internet, con el lema “Telecomunicaciones y las TIC: manejadores de la innovación”.

Ojo acosador

La red social Facebook diseñó un algoritmo para llevar a cabo publicidad personalizada para las mayores tiendas departamentales o retailers mexicanas. El pasado 25 de marzo en un hotel de Polanco, esa red social presentó el proyecto que ha aplicado en diversas variantes en Estados Unidos y otros países. La empresa anunciará publicidad de los almacenes, para que el usuario haga click sobre el banner e ingrese en la web de la tienda.

Conforme el cibernauta navegue, Facebook almacenará información sobre los productos que adquiera y que, al analizarla con los datos que ya tiene de sus usuarios, podrá diseñar publicidad personalizada. Además, usará el concepto “personas similares” para ofrecer las mercancías a clientes con gustos semejantes al comprador inicial. Así, los almacenes no desperdiciarán recursos en enviar publicidad de productos que los clientes no consumen.

El 22 de febrero de 2013, la revista estadunidense Advertising Age reveló que Facebook se había aliado con los agentes de datos Acxiom, Epsilon y Datalogix para cotejar los perfiles virtuales de los usuarios con las compras en tiendas.

El plan se basaba en el emparejamiento anonimizado de los miembros de programas de lealtad con usuarios de la red social vía direcciones de correo electrónico y números telefónicos. A los poseedores de tarjetas de descuento se les pide su correo o su número de teléfono al registrarse, mientras que los usuarios de Facebook ingresan en el sitio con uno u otro, por lo que es necesaria una comparación entre dos datos correspondientes entre sí para ser detectada y permitir el envío de un anuncio.

La empresa recopila datos de rastreo sobre miembros que se han inscrito en la web y usan sus cuentas, los individuos que están desconectados y aquellos que no pertenecen a la red social. Ese proceso inicia cuando una persona visita el sitio y, si opta por crear una cuenta, Facebook inserta dos tipos diferentes de cookies –pequeños pedazos de datos enviados desde una página web para rastrear la actividad del cibernauta– en el buscador, una de inicio de sesión y otra de navegación. Si una persona elige no inscribirse, sólo recibe la cookie para el navegador.

Entonces, cada vez que una persona visita la página de un tercero que tiene un botón de Like de Facebook u otro complemento, éste trabaja junto con la cookie para avisarle a la red social de la fecha, la hora y la dirección del sitio al que entra. El sistema graba también la dirección IP, la resolución de la pantalla, el sistema operador y el tipo de navegador.

Si el cibernauta entra en Facebook y navega en la red, el cookie de sesión capta esos datos, además del nombre, correo electrónico, amigos y toda la información ligada al perfil en esa red social.

A las empresas no les cuesta un céntimo la obtención de datos y su análisis masivo, pero lucran con ese manejo. Además, el costo del almacenamiento de datos en la nube se ha contraído en los últimos años, lo cual permite a las empresas guardar volúmenes cada vez mayores a precios cada vez más bajos.

El flujo de datos a través de la ciberautopista podría totalizar este año 76 exabytes, uno de ellos equivale a 10 bytes seguido de 18 ceros.

El almacenamiento en la nube de un petabyte -10 bytes seguido de 15 ceros- cuesta este año unos 100 mil dólares, 90% más barato del millón de dólares que costaba en 2011.

Como lo expone Jacob Silverman en su libro “Términos de servicio”, las políticas de privacidad, cuya lectura consumiría 180 horas al año, están elaboradas para no ser consultadas. Esa es la trampa para que el usuario consienta la entrega dócil de sus datos.

Pero el esquema va más allá de descargar una app que parecería inocua.

Buscadores y redes sociales han recurrido a herramientas similares para enriquecerse a costa de la información de los usuarios, quienes a medida que oprimen teclas dejan jirones de su privacidad en manos de los corpogobiernos.

México se convierte poco a poco en un mercado generoso para data mining, catapultado por el segmento financiero, de telecomunicaciones y el comercio al menudeo.

Estimaciones de la consultora estadunidense International Data Corporation (IDC) indican que el valor de ese rubro totalizó 190 millones de dólares en 2014, con un crecimiento de 62% con respecto a 2013. Este año ese salto sería de un porcentaje similar y a partir de 2016, superior a 65%.

Terrorismo fiscal

El Servicio de Administración Tributaria (SAT) también recurre al data mining para combatir la evasión fiscal.

La dependencia diseñó un algoritmo que considera 44 parámetros sobre los contribuyentes, como fecha de pago, medio de desembolso, periodicidad y montos, a la manera como lo hace el estadunidense Servicio de Impuestos Internos desde 2007.

Si un tributador incumple menos de 42 factores, se le cataloga como cuenta de riesgo y pasa a un listado de observación.

No hay nada de malo en luchar contra el impago de gravámenes, pero los críticos de estos métodos observan un riesgo: el usar esta información para realizar terrorismo fiscal.

Como bien ilustra Schneier, una computadora diseña y aplica la fórmula, pero es una persona la que administra la información.

El SAT construyó la plataforma tecnológica desde 2013 y actualmente ejecuta un proyecto piloto en varios departamentos, con miras a extender el data mining a toda la dependencia.

En diciembre de 2014, el jefe del SAT, Aristóteles Núñez, adelantó que la introducción de la contabilidad electrónica a partir del enero siguiente extendería en 25% la fiscalización mediante las bondades de la tecnología para tener auditorías más eficientes y detección de inconsistencias en las declaraciones impositivas.

Las estadísticas del SAT dan fe del nuevo credo tecnológico. En 2014, el órgano tributario llevó a cabo más de 111 mil 170 actos de fiscalización, con los cuales recaudó 156 mil 399 millones de pesos, el monto mayor alcanzado desde 2006.

Para Luis Fernando García, abogado de la Red en Defensa de los Derechos Digitales, faltan estándares y mecanismos para que las personas tengan protección y regulaciones para evitar que los datos sean usados para perjudicar a las personas.

“El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales no ejercita frecuentemente sus facultades de oficio. La gente no se entera y no denuncia, el INAI no investiga y esas prácticas son problemáticas”, señala el activista.

Por ello, propone mayor transparencia en la utilización de data mining, un lenguaje más accesible en las políticas de privacidad, un mejor diseño del consentimiento de entrega de información y más regulación tanto sobre la recopilación de datos y su uso posterior.

En su libro, Schneier plantea que una forma de fortalecer la seguridad de los datos reunidos es responsabilizar a las compañías por violaciones a la privacidad, pues el costo de la inseguridad de los datos resguardados es bajo.

“Al aumentar el costo de las violaciones a la privacidad, podemos hacer que las empresas acepten los costos de la externalidad y obligarlas a invertir más en la protección de la privacidad de aquellos cuyos datos han obtenido”, sugiere el especialista.

Michael Froomkin, profesor de la Escuela de Leyes en la Universidad de Miami, ha propuesto una idea novedosa: que los gobiernos y las compañías que reúnen datos presenten Avisos de Impacto sobre la Privacidad, a la manera de los reportes de impacto ambiental.

Ese aviso debe abarcar lo que se recopila, por qué y cómo se almacena y utiliza.

Comentarios

Load More