Protección de datos¿Quién nos protege de nuestros metadatos?

Abro mi teléfono y me encuentro en mi aplicación de Instagram publicidad de una oferta de bañadores en pleno mes de enero. Yo nado casi todos los días, pero nunca lo he comentado en redes sociales. ¿Cómo es posible que me llegue una publicidad al móvil que tiene relación con mi día a día, si yo nunca digo nada que me delate hasta ese punto? No se trata de que mi móvil espíe mis conversaciones, sencillamente porque no es necesario: la 'culpa' es de los metadatos.

Los metadatos son los "datos que describen datos". Es decir, en un entorno digital, son los datos que se generan en cualquier acción que realizamos con un sitio web, una aplicación, un programa o un archivo multimedia. No son visibles y los ciudadanos solemos ignorar su existencia, pero son un alto porcentaje de la gasolina de los gigantes de la red para conocernos mejor que nosotros mismos. Son importantes.

Estos datos son necesarios y útiles para el funcionamiento de internet tal y como lo conocemos hoy en día. Refinan las búsquedas en la red y permiten que encontremos información relevante entre tanto ruido. Pero tratados masivamente y con técnicas de big data son también una fuente extraordinaria —e involuntaria— de información personal. La publicidad segmentada, la que aparece en Facebook o en Google, depende de estos metadatos. Y deberían estar en el centro del debate sobre cualquier problema de privacidad.

Cuando uno abre Twitter o Facebook en el móvil, la aplicación registra y envía múltiples datos tales como cuándo, desde dónde o con quién interactuamos. Por ejemplo, si voy a la piscina casi todos los días y subo una bonita foto del amanecer en Instagram desde mi teléfono, esta red social sabe dónde estoy si está habilitada la geolocalización en la cámara. Además, sabe a qué hora estoy allí. Si lo hago varias veces, ya existe un patrón. Un análisis sencillo permite deducir que me gusta nadar. E Instagram me enseñará una bonita oferta de 'Speedos' (que no uso porque me aprietan).

Además, si uno escribe un documento de texto en el archivo se registra la fecha de su creación y las modificaciones, la versión del programa y el sistema operativo del ordenador, entre otras cosas. Cuando uno dispara con su cámara digital, queda grabada en la misma foto sus características (ISO o tiempo de exposición), marca y modelo de la cámara o móvil, etc.

Casi siempre se pueden editar e incluso borrar, pero al requerir una herramienta específica según el tipo de archivo, y teniendo en cuenta la inmediatez de las redes sociales, ¿quién se va a parar a eliminar esos datos ocultos de cada archivo?

La valiosa informacion que no vemos

Llevamos mucho tiempo hablando de la protección de datos y la privacidad, aunque quizá no de los metadatos. Curiosamente, ni en el Reglamento General de Protección de Datos (RGPD), de aplicación directa desde el 25 de mayo de 2018 en toda la UE, ni en la nueva Ley Orgánica de Protección de Datos (LOPD), ni en el reglamento que la desarrolla, aparece la palabra "metadato".

El propio Tribunal de Justicia de la UE ha reconocido que "los metadatos derivados de las comunicaciones electrónicas pueden también revelar información muy delicada y de carácter personal", en tanto que pueden revelar los números a los que se ha llamado, los sitios web visitados, nuestra localización geográfica o la hora, la fecha y la duración de una llamada o de una sesión.

TJUE: "Los metadatos pueden también revelar información muy delicada y de carácter personal"

Para determinados datos, y entre otras normas, en España es de aplicación la Ley de Conservación de Datos Electrónicos (Ley 25/2007), cuyo objeto principal es establecer una normas para la conservación de estos 'datos invisibles' y su cesión a las autoridades públicas —siempre mediante autorizacion judicial— en el caso de la comisión de delitos graves para identificar a posibles criminales.

"La clave de los metadatos es cómo se asocian al documento más que su propia naturaleza: un conjunto de metadatos puede servirme a mí para identificar a una persona, e incluso uno solo, como el autor del documento, serviría para este fin", comenta el abogado especializado en tecnología e ingeniero Sergio Carrasco, que apunta: "En ese caso estamos hablando de un dato de carácter personal".

Existe un proyecto de Reglamento General de 'e-Privacy' para la UE que promete regular en profundidad estos 'datos fantasma' que no tienen carácter personal, con medidas tales como la necesidad de un consentimiento para el tratamiento de estos metadatos o el derecho a bloquearlos. Iba a entrar en funcionamiento junto con el RGPD el año pasado. No obstante, su tramitación está atascada y, probablemente, no verá la luz antes de 2022.

Por su parte, la Agencia Española de Protección de Datos (AEPD) tiene una guía de buenas prácticas en la que habla de ellos: aborda cómo cada vez más se hace un tratamiento masivo de estos datos y sus inconvenientes, y da una serie de recomendaciones para tratarlos con responsabilidad.

Protección frente al uso de metadatos

Para todo lo demás, sale al rescate de los ciudadanos el RGPD, gracias a dos principios que pueden obligar a las compañías de internet a portarse bien con nuestros datos no visibles: la transparencia y la privacidad por diseño y por defecto.

Para Verónica Alarcón, abogada especializada en protección de datos y responsable de ePrivacidad, "es innecesaria una regulación sobre metadatos porque ya disponemos de un régimen jurídico plenamente aplicable a los mismos". "La legislación vigente en materia de protección de datos (RGPD y LOPD) se aplica a todos los datos personales con independencia de que sean visibles o invisibles", recuerda.

Pero lo cierto es que yo sigo recibiendo publicidad de escuetos bañadores de competición (que no pienso comprar) en mis perfiles de redes sociales, lo que me indica que igual han logrado deducir con metadatos una información que yo no he proporcionado ni he enviado con consentimiento. Verónica Calderón reconoce que "quizá por la falta de concienciación o ignorancia sobre su existencia no se haya generado un debate abierto ni planteado si su uso requerirá un desarrollo legislativo específico".

Al final, si no sabes que algo está ahí, ¿cómo puedes defenderte? "A la gente lo que le importa al final es su dato de la cuenta corriente, dónde vive, las fotos... es decir, lo que afectan a la cartera, a la imagen propia y, en general, a lo que te hace visible", comenta Jorge Campanillas, letrado especializado en protección de datos.

"La gente se sorprende cuando consulta su localización de Google o Facebook y ven cómo le han rastreado; eso son los metadatos"

"La gente luego se sorprende cuando consulta su localización de Google o la geolocalización de Facebook y ven cómo le han rastreado; es que eso son los metadatos", afirma, y añade: "Pero como son invisibles, no te das cuentas de que vas dejando esas migas digitales, tan codiciadas para elaborar perfiles publicitarios".

Campanillas también considera que el Reglamento europeo puede ayudar a controlar de alguna forma el uso que se hacen de los metadatos, aunque el ciudadano tiene que saber que el problema existe. "Si no lo conoces, no lo exiges, y a veces el que maneja esos datos tampoco quiere que te enteres, se enredan en que son identificadores anonimizados o datos técnicos", comenta este experto, "así que por la vía de la transparencia deberían informarte". "Además", añade, "por defecto y por diseño, las aplicaciones deberían dejar al usuario aceptar o rechazar este tipo de situaciones".

Sergio Carrasco también piensa que "si los metadatos van asociados a un contenido y permiten identificar a una persona, se podría aplicar el reglamento europeo plenamente". Es decir, si publico un documento y no he borrado los metadatos, y éstos recogen el nombre del autor, por ejemplo, podría estar realizando un tratamiento no adecuado. Y las multas previstas, que pueden llegar a los 20 millones de euros, no son para tomarse este asunto a broma.

No lo sabemos pero están ahí

Porque al final, saber que existen esos datos ocultos es el primer paso para poder tener control sobre ellos. Jorge Morell, también letrado y también experto en derechos digitales —responsable de Términos y Condiciones—, recuerda que si bien "existen herramientas y filtros para eliminar los metadatos, el problema es que la gente no tiene concepción de qué son".

"Ya suele costar concienciar de que la dirección de correo electrónico es un dato personal, así que imagínate si les dices que el tamaño de la pantalla del ordenador (metadato), sumado a la marca (otro) y el modelo (otro) de la cámara con la que has hecho esa foto que has subido al PC, más su geolocalización (otro), y un montón de 'bobaditas' así suman y generan un perfil muy concreto de un usuario", remarca. "La gran mayoría de la gente no es consciente de que eso existe, o bien no le ve una utilidad inmediata porque no se imagina para qué se usa".

Morell asegura que "en los términos y condiciones de los principales servicios de internet sí vienen descritos qué tipo de datos y metadatos manejan, se encuentran definiciones y qué implican; aún así, no siempre puedes controlar esos metadatos o eliminarlos del todo". Es decir, igual puedes seleccionar en una aplicación que no geolocalice tu dispositivo, pero recogerá la información de cuándo se conecta uno al servicio y durante cuánto tiempo.

"La gente se piensa que el perfilado para publicidad tiene en cuenta lo que contamos en público, pero eso no es así"

En un solo tuit hay decenas de metadatos, y con un puñado de ellos se puede identificar a alguien con un porcentaje de acierto altísimo. "Es algo complejo para que la gente lo entienda, porque esos datos están ahí pero no se ven", dice este experto.

"Parece que la gente se piensa que el perfilado para publicidad tiene en cuenta lo que escribimos y compartimos en público, pero eso no es así, va mucho más allá", recuerda por su parte Sergio Carrasco, que indica que "de hecho, en el caso de las bicicletas compartidas que proliferan en casi todas las ciudades, el modelo de negocio a futuro se basa más en los metadatos que se van enviando (geolocalizaciones, rutas, etc, meclados con perfiles de usuarios y medios de pago) que en el mero alquiler, porque es parte del propio servicio".

"Los metadatos dan muchísima información", recuerda Carrasco. "Hay que tener en cuenta que mediante el análisis de metadatos puedes llegar a realizar un perfilado muy grande, con unos datos que no estás dando de modo consciente; una cosa es una aplicación que te pide expresamente que le des el GPS con el móvil, y otra que estés en una red social subiendo fotos y que éstas lleven metadatos asociados, como la geolocalización y, a partir de ahí, se puede saber a qué tiendas vas, el tipo de comercio, con quién vas... y a lo mejor no eres consciente de que se te está haciendo este perfilado".

"El problema es que detectar esto para un ciudadano normal es complejo porque hay que pararse a leer los términos y condiciones de cada servicio y aplicación, empezando por los del propio dispositivo, pero no suele haber una pestaña que diga 'borrar todos los metadatos de los contenidos que yo suba'", concluye Carrasco.

¿Seguiré recibiendo publicidad de productos que pudiese necesitar en mis perfiles sociales, aunque nunca lo haya dicho por allí? Probablemente sí, a menos que me ponga a editar como un loco los metadatos de cada información que comparto por la red. Y ni siquiera depende de lo que haga cada uno. No como la elección de un traje de baño más pequeño. Por cierto, prefiero quedarme con el que uso.