You are on page 1of 11

Universitat Oberta de Catalunya

http://idp.uoc.edu

Monogrfico V Congreso Internet, Derecho y Poltica (IDP). Cara y cruz de las redes sociales

ARTCULO

E-privacidad y redes sociales


Antoni Roig
Fecha de presentacin: octubre de 2009
Fecha de aceptacin: noviembre de 2009
Fecha de publicacin: diciembre de 2009

Resumen
Los riesgos tecnolgicos para la intimidad o la privacidad no se limitan a la problemtica de las bases de
datos. Las redes sociales, las etiquetas RFID, la computacin ubicua y la robtica, por ejemplo, son otros
ejemplos de riesgo para la privacidad. Las redes sociales tambin poseen valor econmico y por ello cada
vez se crean ms ingenios que buscan la informacin personal de sus usuarios. En cambio, el estudio de la
privacidad en las redes sociales es slo una nueva rea de estudio. A menudo, los expertos en tecnologa
de la informacin consideran la privacidad como un atributo cuantificable que se puede negociar y, proba-
blemente, intercambiar entre individuos a cambio de ciertos beneficios. Nosotros creemos, en cambio, que
la regulacin debe favorecer las denominadas privacy enhancing technologies (PET) o tecnologas garan-
tes de la privacidad. Esta garanta tecnolgica de la privacidad es especialmente necesaria en las redes
sociales. Los derechos fundamentales no pueden quedar reducidos slo a opciones individuales que es
preciso activar. Su componente de poltica pblica podra estar garantizado si se incorporaran versiones
favorables a la privacidad en el mismo diseo de las tecnologas de la informacin, como la privacidad por
defecto. Otra va interesante es conseguir que las empresas encuentren tambin un provecho econmico
en la previsin de tecnologa garante de la privacidad

Palabras clave
redes sociales, privacy-enhancing technologies, privacidad, e-privacidad, anlisis de redes sociales,
privacidad en el diseo

Tema
Proteccin de datos

e-Privacy and Social Networks

Abstract
The technological risks for privacy and anonymity are not limited to the problems of databases. Social net-
works, RFID tags, ubiquitous data processing and robotics, for example, are other examples of risk. Social
networks have an economic value and search engines increasingly try to access their users' personal infor-
mation. In contrast, the study of privacy in social networks is a new area. Experts in information technology
generally consider privacy as a quantifiable attribute which can be negotiated and probably exchanged
between individuals for certain benefits. We believe, on the other hand, that regulation should favour the so-
called Privacy Enhancing Technologies (PET) to guarantee privacy, and that these are particularly necessary

IDP Nmero 9 (2009) I ISSN 1699-8154 42 Revista de los Estudios de Derecho y Ciencia Poltica de la UOC

Antoni Roig
Ttulo original: E-privadesa i xarxes socials
Universitat Oberta de Catalunya

http://idp.uoc.edu E-privacidad y redes sociales

in social networks. Fundamental rights cannot be reduced to individual options which need to be activated.
The public component of public policy could be guaranteed if versions favourable to privacy were incorpo-
rated in the design of information technologies themselves, such as privacy by default. Another way may be
for businesses to see economic benefits in planning technological measures guaranteeing privacy.

Keywords
social networks, privacy-enhancing technologies, privacy, e-privacy, analysis of social networks, privacy in
design

Subject
Data protection

1. La reduccin de la privacidad en la actuacin de otro particular, y no slo de los poderes


pblicos. Hasta la STC 292/2000 el Tribunal Constitu-
proteccin de datos personales en cional no configurar el derecho a la proteccin de
bases de datos automatizadas datos con ms precisin, y de manera separada del
derecho a la intimidad.
En Espaa, como en el resto de Europa, la e-privacidad o
privacidad electrnica ha quedado, en buena medida, Pero qu efectos tiene esta evolucin jurisprudencial
reducida al derecho a la proteccin de datos personales sobre la privacidad, en general, y sobre la e-privacidad,
en bases de datos automatizadas. Veamos rpidamente el en particular? Resumidamente, la decisin sobre el
proceso.1 El punto de partida en nuestro pas es el artculo artculo 18.4 CE ha reducido los efectos de las nuevas
18.4 CE, en el que se puede leer: La ley limitar el uso de tecnologas sobre los derechos fundamentales en la
la informtica con el fin de garantizar el honor y la intimi- problemtica de las bases de datos. Para entenderlo, es
dad personal y familiar de los ciudadanos y el pleno ejerci- preciso saber que la Constitucin espaola, a diferencia
cio de sus derechos. de la portuguesa o la americana, por ejemplo, no con-
tiene ninguna clusula de actualizacin de derechos fun-
Pues bien, en un primer momento, hasta el ao 2000, damentales. Por lo tanto, los posibles nuevos derechos
el Tribunal Constitucional no reconocer un derecho que aparezcan como consecuencia de la extensin de las
autnomo a la proteccin de datos. La jurisprudencia nuevas tecnologas de la informacin y la comunicacin
constitucional, basndose en el leading case de la STC no pueden ser descubiertos autnomamente por el Tri-
254/1993, partir del derecho a la intimidad (artculo bunal Constitucional. El artculo 18.4 CE es la nica refe-
18.1 CE), al que aadir una vertiente informtica. Esta rencia a la informtica en la Constitucin de 1978,
construccin era claramente artificial, ya que el dere- anterior al crecimiento exponencial de Internet en los
cho a la intimidad es un derecho de libertad clsico que aos noventa. Por lo tanto, si hemos acotado los proble-
slo pretende preservar de los poderes pblicos una mas informticos al derecho a la proteccin de datos, las
esfera personal de libertad. La abstencin de actuacin otras garantas debern provenir de los derechos funda-
del Estado es suficiente para garantizar el derecho. En mentales tradicionales: la libertad de expresin y de
cambio, el derecho a la proteccin de datos debe ser informacin, el derecho al honor, a la intimidad personal
garantizado junto a una serie de facultades de actua- y familiar y a la propia imagen, y el derecho al secreto de
cin por parte de la persona y, a menudo, contra la las comunicaciones.

1. Para ms detalles, podis leer el trabajo: ROIG, Antoni (2002). La protecci de les bases de dades personals. Anlisi de la juris-
prudencia del Tribunal Constitucional. Revista Jurdica de Catalunya, n. 2, pg. 141-156.

IDP Nmero 9 (2009) I ISSN 1699-8154 43 Revista de los Estudios de Derecho y Ciencia Poltica de la UOC

Antoni Roig
Universitat Oberta de Catalunya

http://idp.uoc.edu E-privacidad y redes sociales

En nuestra opinin, desde el ao 2000 estamos en una 2. Hacia una regulacin estndar
etapa transitoria, en la que se ha resuelto la precisa deli-
mitacin del derecho a la proteccin de datos, pero en la internacional de principios
que quedan por resolver otras posibles manifestaciones basados en la proteccin
de restricciones tecnolgicas de derechos fundamenta-
les. Cuando aparezca una pretensin de garantizar un de datos
derecho que no se pueda reconducir claramente a la inti-
midad, a la libertad de expresin y al secreto de las No es extrao que el marco regulador para la privaci-
comunicaciones, ser necesario reabrir el debate sobre el dad en las redes sociales se base en principios genera-
artculo 18.4 CE, o sobre la clusula de actualizacin de les de proteccin de datos. De hecho, incluso la
derechos, quiz a partir del derecho a la dignidad Administracin Obama parece considerar conveniente
humana, como propona el magistrado Jimnez de Parga el modelo de la Directiva europea de Proteccin de
en su voto particular en la STC 290/2000. La e-privaci- Datos, frente a la miscelnea legislativa y a los cdigos
dad quiz ser tan difcil de proteger desde el derecho de conducta voluntarios que menudean en Estados Uni-
tradicional a la intimidad como lo ha sido el derecho a la dos. As pues, el marco regulador lo constituirn las
proteccin de datos. Tngase en cuenta, por ejemplo, leyes nacionales de proteccin de datos que incorpora
que el derecho a la intimidad est pensado para posibles la Directiva europea. Si se desea tener un conocimiento
infracciones por parte de poderes pblicos. En cambio, detallado y actualizado de la interpretacin de la nor-
la privacidad en las redes sociales la ponen en peligro, mativa de proteccin de datos, es necesario acudir a
preferentemente los particulares que ofrecen este servi- los dictmenes y estudios jurdicos de la Agencia de
cio en Internet. La posibilidad de infraccin de derechos proteccin de datos. En un mbito internacional, el
fundamentales por particulares ya ha sido reconocida en grupo del artculo 29 de la Directiva europea rene a
un mbito tan importante como el laboral, en el que los las principales agencias de proteccin de datos euro-
trabajadores no renuncian a sus derechos fundamenta- peos y emite informes de gran inters y novedad. Ya
les cuando entran en la empresa. disponemos de un marco general de informes que per-
mite anticipar el contenido principal de los principios
La posicin dominante en Europa, como se ha indicado, reguladores del futuro estndar internacional.
la tiene la Directiva 95/46/CE, de Proteccin de Datos.2
Parece que los esfuerzos por obtener un estndar inter- As, en primer lugar, el Memorndum de Roma del
nacional sobre privacidad en las redes sociales se basa- 2008 es el marco principal de referencia sobre redes
rn en principios generales de la proteccin de datos sociales y privacidad.3 El informe intenta explicar por
personales. A pesar de la importancia de este eventual qu hay tan poca regulacin sobre la publicacin de
reconocimiento internacional, pensamos que no se evi- datos personales a iniciativa de los propios particula-
tarn as todos los riesgos tecnolgicos para la privaci- res. La explicacin sera doble: no ha sido sta una
dad. Precisamente, en las redes sociales no todos los cuestin relevante fuera de la Red, y slo ha empezado
riesgos provienen de posibles bases de datos persona- a destacar en sta a partir de la aparicin de las redes
les, como veremos. sociales; otra consideracin sera sociolgica, en este
caso la existencia de una nueva generacin, los deno-
minados digital natives o nativos digitales, que se
caracterizaran por sentirse cmodos a pesar de publi-
car detalles, algunas veces incluso ntimos, de su vida

2. Diario Oficial, n. L281 de 23/11/1995, pg. 31.


http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
3. INTERNATIONAL WORKING GROUP ON DATA PROTECTION IN TELECOMMUNICATIONS (2008). Report and Guidance on Privacy
in Social Network Services (Memorandum de Roma). En: 43. reunin (3-4 de marzo del 2008: Roma) [informe en lnea]. Informe
n. 675.36.5. IWGDPT.
http://www.datenschutz-berlin.de/attachments/461/WP_social_network_services.pdf?1208438491

IDP Nmero 9 (2009) I ISSN 1699-8154 44 Revista de los Estudios de Derecho y Ciencia Poltica de la UOC

Antoni Roig
Universitat Oberta de Catalunya

http://idp.uoc.edu E-privacidad y redes sociales

en la Red. Las recomendaciones del Memorndum de Qu sucede con el contenido de un usuario que
Roma a los legisladores seran: el proveedor de servicios borra porque lo consi-
dera spam?
Introducir la opcin de un derecho al uso de seudni- Qu sucede con las etiquetas o comentarios en
mos. las imgenes (image-tagging) colocados por ter-
Asegurarse de que los proveedores de servicios sean ceros?
honestos y transparentes en cuanto a la informacin Quin es responsable de los problemas de segu-
requerida por el servicio bsico. El consentimiento de ridad derivados de la actividad de los usuarios?
los menores tambin demandar una solucin especfi- Cmo se deberan comunicar a los usuarios las
ca. polticas de privacidad de terceros incluidos en la
Obligacin de notificacin de cualquier riesgo para los Red?
datos personales que se haya podido producir. Qu es un dato personal en una red social?
Posiblemente ser necesario atribuir ms responsabili- Cul es la posicin legal del que suplanta un per-
dad a los proveedores sobre los datos personales en la fil?
Red. Se deberan proteger algunos datos de meno-
Introducir en la escuela la temtica de la privacidad y res, como la localizacin?
de las herramientas protectoras. Se debera informar a los usuarios de lo que se hace
con sus datos antes y despus de cerrar la cuenta.
En el ao 2008 tambin se adopt una resolucin El fenmeno de las redes se debera tratar de manera
sobre la proteccin de la privacidad en los servicios de controlada y transparente, sin prohibir o desaconsejar,
las redes sociales por parte de las agencias de protec- con campaas dirigidas a los menores, a los profesores
cin de datos.4 De todas maneras, nos parece ms rele- y a los padres.
vante la Posicin nmero 1 de ENISA del ao 2007
(European Network and Information Security Agency).5 El tercer documento relevante es el Working Paper
Algunas de las recomendaciones que parecen ms des- (n. 163) del grupo de trabajo del artculo 29, sobre redes
tacadas son: en lnea, del 12 de junio del 2009.6 Este documento
avanza en la aplicacin de la Directiva de Bases de Datos
Las redes sociales deberan usar, siempre que sea posi- Personales en el mbito de las redes sociales.
ble, una informacin adaptada al contexto, con el obje-
tivo de educar en tiempo real. Obligacin de los proveedores de cumplir con la
Las campaas de concienciacin deberan ir dirigidas Directiva de proteccin de datos, e incluso la Direc-
tambin a los programadores de software, con el fin de tiva de e-privacidad, si ofrecen servicios de comuni-
favorecer prcticas y polticas de empresa que respe- caciones electrnicas.
ten la privacidad. Obligacin de los proveedores de informar de su identi-
Es necesario realizar un estudio atento de la regula- dad e indicar las diferentes finalidades con las que se
cin que pueda aplicarse a las redes y revisar o dar res- tratan los datos personales de los usuarios.
puesta adecuada, como mnimo, a las siguientes Se recomienda que slo se puedan colgar imgenes e
cuestiones: informacin de terceros con el consentimiento de los
individuos en cuestin.

4. Adoptada en la XXXII Conferencia Internacional de Agencias de Proteccin de Datos y Privacidad en Estrasburgo, el 17 de octubre
del 2008.
http://www.privacyconference2008.org/adopted_resolutions/STRASBOURG2008/resolution_social_networks_en.pdf.
5. HOGBEN, G. (ed.) (octubre, 2007). Security Issues and Recommendations for Online Social Networks. Enisa Position Paper, n. 1.
http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_social_networks.pdf
6. GRUPO DE TRABAJO SOBRE PROTECCIN DE DATOS DEL ARTCULO 29 (2009). Dictamen 5/2009 sobre las redes sociales en
lnea [informe en lnea].
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp163_es.pdf

IDP Nmero 9 (2009) I ISSN 1699-8154 45 Revista de los Estudios de Derecho y Ciencia Poltica de la UOC

Antoni Roig
Universitat Oberta de Catalunya

http://idp.uoc.edu E-privacidad y redes sociales

Los proveedores tendran la obligacin de advertir del El acceso restringido a los perfiles no debera ser posi-
derecho a la privacidad de los terceros. ble con motores de bsqueda internos, con parmetros
En el caso de datos sensibles, el consentimiento debe- como la edad o la direccin. Adems, las decisiones
ra ser explcito, a menos que fuera un dato pblico. Si para extender el acceso no deberan estar implcitas.
la red social incluye algn dato sensible en el perfil,
debera hacer constar que es voluntario contestar. Las Finalmente, destacamos la solucin propuesta para el
imgenes no sern un dato sensible, a menos que cla- caso especial de los menores: la inclusin de medidas tec-
ramente sean usadas para revelar datos sensibles de nolgicas o privacy enhancing technologies:
los individuos.
En cuanto a los datos de terceros, si los responsables Educacin escolar.
de la Red informan a ese tercer no usuario acerca de la No solicitar datos sensibles en el formulario de suscrip-
existencia de datos personales sobre l, un hipottico cin; no dirigir el marketing directo a los menores;
correo electrnico en el que se le invitara a ser usuario obtener el consentimiento previo de los padres o tuto-
de la aqulla tambin podra vulnerar la prohibicin del res; y separar la comunidad de menores de la de adul-
artculo 13.4 de la Directiva de e-privacidad, cuando se tos.
refiere al envo de mensajes electrnicos no solicitados Desarrollar privacy enhancing technologies (PET), por
para finalidades comerciales. ejemplo, avisos en forma de pop-up o ventanas en cier-
Los socios terceros de la Red, que ofrecen servicios tos momentos determinantes, o software de verifica-
adicionales y que utilizan los datos personales en aqu- cin de la edad.
lla, deberan estar advertidos de que deben cumplir Cdigo de conducta de los proveedores.
tambin las directivas mencionadas.

Incluso encontramos aqu una novedad interesante, ms 3. Riesgos no cubiertos por


latente en las recomendaciones anteriores: la herra-
mienta preferida para garantizar la privacidad es una
la proteccin de datos: el anlisis
buena seguridad y un funcionamiento garante de la priva- de las redes sociales
cidad (privacy-friendly) por defecto.

Las redes sociales deberan prever estas caractersti- 3.1. Anlisis de redes sociales (social network
cas favorables a la privacidad sin coste aadido y res- analysis)
tringiendo el acceso a los contactos seleccionados por
el propio usuario. Cuando el acceso al perfil de infor- El inters econmico que genera la informacin personal
macin va ms all de los contactos seleccionados por contenida en las redes sociales ha provocado que crezcan
el usuario, por ejemplo a todos los usuarios de la red proyectos comerciales a partir de la direccin de la Red,
social, o cuando el usuario debe aceptar contactos, con socios terceros, y que aparezcan cada vez ms herra-
independientemente de la relacin que tengan con l, o mientas de anlisis de redes para particulares no asocia-
si el dato no se puede indexar mediante un motor de dos a la Red. Inicialmente, eran herramientas matemticas
bsqueda, nos encontraramos con un acceso equiva- sencillas ligadas a la teora de grafos y a tcnicas bsicas
lente a pblico. Esto podra suponer la aplicacin al sociolgicas. En la actualidad se han vuelto cada vez ms
usuario de la Directiva de proteccin de datos, por la complejas, e incluyen interaccin social y sistemas de
que se le asimilara a las responsabilidades que reputacin. Sus usuarios ya no son slo los socilogos o
adquiere un responsable de una base de datos. Puesto los estudiosos de las comunidades en lnea, sino tambin
que no se tratara ya de un mbito domstico, sino particulares o profesionales que buscan colaboradores.
pblico, incluso la libertad de expresin debera ser Herramientas como VisoLink estn, pues, centradas en el
matizada con el debido respeto al derecho a la privaci- usuario y plantean retos para la privacidad.7 Actualmente,
dad. En esta lnea, puesto que no concurre la excepcin las redes sirven tanto para el entretenimiento como para
de uso domstico, sera necesario proteger los dere- los profesionales, que participan en ellas. En el campo de
chos de terceros, sobre todo con relacin a sus datos la ciencia mdica, por ejemplo, es vital poder intercambiar
sensibles. informacin sobre casos clnicos y metodologas en el

IDP Nmero 9 (2009) I ISSN 1699-8154 46 Revista de los Estudios de Derecho y Ciencia Poltica de la UOC

Antoni Roig
Universitat Oberta de Catalunya

http://idp.uoc.edu E-privacidad y redes sociales

tiempo ms corto posible, as como crear bases de datos inclusin de la IP en el grupo de los datos personales sor-
histricas.8 prendi en su momento. Ahora nos enfrentamos al riesgo
de que la capacidad de transformar en personal (identifi-
Pero el riesgo no proviene slo de motores de bsqueda cable) un conjunto de datos aparentemente inocuos
externos de alcance cada vez ms universal e incluso per- alcance niveles todava ms inverosmiles.
sonalizado, el peligro para la privacidad radica tambin en
la captura de informacin personal que el usuario invo-
luntariamente ha puesto en la Red. Aqu no existe nin- 4. Las privacy enhancing technologies
guna base de datos, ni siquiera una fuente estructurada o
un dato personal explcito. A pesar de todo, una investiga-
(PET) o tecnologas garantes
cin llevada a cabo en una red social concreta ha reve- de la privacidad
lado que el nombre del 72% de los usuarios y su nombre
completo en un 30% de los casos podan deducirse fcil- Un jurista suele considerar la tecnologa como un riesgo
mente de los perfiles con tcnicas estadsticas y heursti- para la privacidad. Esto puede ser efectivamente as,
cas. Asimismo, la edad del 15% de los usuarios y, al como se ha indicado antes. Ahora bien, estamos llegando
menos, una escuela del 42% de los usuarios podan tam- a un nivel de posibilidades tcnicas tan alto que se hace
bin deducirse de los datos colgados en la red social.9 difcil incluso defender algunos derechos, como el de la
privacidad, sin recurrir a contramedidas tcnicas. sta es
la idea de las PET o tcnicas garantes: no slo la tecnolo-
3.2. La web 3.0, con los servicios de la web
ga no es el riesgo aqu, sino que tambin puede ser, si se
semntica, aumenta este riesgo para
dan las circunstancias propicias, una manera de proteger
la privacidad
efectivamente el derecho. Los principios o recomendacio-
nes a los legisladores apuntan tmidamente a esta posibi-
De hecho, con la creciente implantacin de la tecnologa
lidad. Los ingenieros, a base de subvenciones pblicas en
de la web semntica, en la que los motores de bsqueda
proyectos de investigacin europeos, ya han empezado a
ya no se limitarn a las palabras clave sino tambin a sus
proponer prototipos que pronto sern adoptados por las
significados, estos riesgos para la privacidad todava
redes sociales.11 Vemos algunas de las posibilidades y
sern ms importantes. De hecho, las aplicaciones de web
capacidades de estos ingenios protectores.
semntica aadirn al anlisis de las redes sociales la
posibilidad de extraer ontologas, es decir, mapas de sig-
nificado, de las pginas web. De este modo, se obtendr 4.1. La proteccin tecnolgica contra los
no slo la ontologa de conocimiento tcnico elaborada motores de bsqueda o minera de datos:
por un experto, sino tambin una nueva estructura de sig- el privacy-preserving data mining (P2DM)
nificado basada en las relaciones en la comunidad en red,
una semntica emergente.10 La propia nocin de dato per- La proteccin tecnolgica de la privacidad es un rea
sonal queda aqu mortalmente debilitada, ya que la tecno- nueva, con menos de 10 aos y con un planteamiento
loga permite extraer datos personales, cada vez con ms todava muy terico. En cambio, el privacy-preserving
precisin y complejidad, de contextos desestructurados y data mining (P2DM) es la excepcin. El objetivo del P2DM
sin capacidad, aparentemente, para identificar a nadie. La es evitar, en la medida de lo posible, que se haga pblica

7. FAN, L.; LI, B. (2008). VisoLink: A User-Centric Social Relationship Mining. En: G. WANG [et al.] (eds.). Lecture Notes in Artificial
Intelligence, n. 5009, pg. 668-675.
8. VERAGO, R; CEDRATI, F. C.; DALESSI, F; ZANETTE, A. (2008). Eye Knowledge Network: A Social Network for the Eye Care Com-
munity. En: M. D. LYTRAS [et al.] (eds.). WSKS 2008. Lecture Notes in Artificial Intelligence, n. 5288, pg. 22-30.
9. LAM, I.-F.; CHEN, K.-T.; CHEN, L.-J. (2008). Involuntary Information Leakage in Social Network Services. En: K. MATSUURA; E.
FUJISAKI (eds.). IWSEC (2008). Lecture Notes in Computer Science, n. 5312, pg. 167-183.
10. MIKA, P. (2007), Social Networks and the Semantic Web. Nueva York: Springer.
11. Workshop on Privacy and Protection in Web-based Social Networks, 8 de junio del 2009, en el marco de la International Confe-
rence on Artificial Intelligence and Law. Barcelona, en prensa.

IDP Nmero 9 (2009) I ISSN 1699-8154 47 Revista de los Estudios de Derecho y Ciencia Poltica de la UOC

Antoni Roig
Universitat Oberta de Catalunya

http://idp.uoc.edu E-privacidad y redes sociales

informacin personal de los usuarios de la Red cuando se Como hemos indicado, las redes adoptan sistemas de
analicen sus datos con finalidades estadsticas. Una reputacin para garantizar la confianza. Ahora bien, los
herramienta de proteccin de la privacidad en las redes actuales sistemas de reputacin generan perfiles del
debe tener en cuenta no slo los atributos de los usuarios, usuario que incluyen todos los contextos en los que ste
sino tambin sus relaciones.12 ha estado interviniendo. Eso es frecuente en las redes de
compraventa electrnica, en las que el tiempo, la fre-
cuencia de la participacin, la evaluacin y el inters
4.2. La proteccin tecnolgica del acceso, por ciertos productos pueden ser controlados. Adems,
de la identificacin y de los sistemas los actores econmicos suelen tener su seudnimo vincu-
de reputacin lado a un nombre real, lo que provoca que el perfil sea
plenamente identificado. Otro riesgo en los sistemas de
Las redes se basan en la confianza. Normalmente, la con- reputacin se debe a los diferentes tipos de relaciones
fianza se obtiene con el conocimiento del otro. Esto pro- entre usuarios, como amigo de. En el ao 2006,
voca que se considere habitualmente que cuanta ms miles de usuarios de Facebook protestaron por una utili-
confianza hay, ms datos personales identificables (PII, dad denominada News Feed, que daba cuenta de la ltima
en ingls) del otro se desea tener y, por lo tanto, ms informacin personal de los usuarios catalogados como
riesgo para la privacidad. amigos.15 Para detener la avalancha de crticas, Facebook
permiti a los usuarios disponer de algunas preferencias
Para romper esta lgica perversa, se ha pensado en primer de privacidad. Ms adelante, en noviembre del 2007,
lugar en mecanismos de autoidentificacin o de reconoci- otro servicio de Facebook gener controversia: Beacon.16
miento, sin identificacin. La idea es tener, al mismo tiempo, Beacon forma parte del sistema de alertas de Facebook,
privacidad y confianza. Un modo de lograrlo es mediante el que sigue las actividades de los usuarios en la navegacin
uso de seudnimos, que es una de las recomendaciones a los por las pginas web de sus partners. Esta navegacin era
legisladores ms habituales por parte de las agencias de pro- puesta a disposicin de los amigos del usuario sin su con-
teccin de datos y grupos de expertos. Ahora bien, sta tam- sentimiento. De nuevo, las redes sociales han reaccionado
poco es una solucin definitiva: el anlisis de la red social y la ante las crticas, y han ofrecido a los usuarios mecanis-
minera de datos pueden conseguir asociar estadsticamente mos opcionales que permiten o no el acceso a su informa-
un seudnimo a un usuario real. Por ello, los expertos reco- cin personal (www.facebook.com, http://videntity.org).
miendan el uso de mltiples seudnimos. Existen soluciones
tcnicas para evitar el mal uso de los mltiples seudnimos.13 Ahora bien, son necesarias estrategias ms flexibles que
En la misma lnea, el proyecto europeo PRIME (Privacy and permitan al usuario definir su poltica privada personal.
Identity Management for Europe) emplea credenciales priva- La idea es que los usuarios indiquen quines estn autori-
das. Estas credenciales sirven de prueba de las autorizacio- zados a acceder a su pgina personal, incluso si no son
nes, por ejemplo, ser mayor de edad, sin identificar al usuario. usuarios conectados con una relacin de amistad.17 Una
Slo en caso de mal uso el anonimato podr ser revocado.14 opcin es mediante un control de acceso por parte del

12. WANG, D.-W.; LIAU, C.-L.; HSU, T.-S. (2006). A GrC-Based Approach to Social Network Data Protection. En: S. GRECO [et al.]
(eds.). RSCTC 2006. Lecture Notes in Artificial Intelligence, n. 4259, pg. 438-447.
13. SEIGNEUR, J. M. (2009). Social Trust of Virtual Identities. En: J. GOLBECK (ed.). Computing with Social Trust, Londres: Springer.
Human-Computer Interaction Series.
14. HANSEN, M. (2008). Marrying Transparency Tools with User-Controlled Identity Management. En: S. FISCHER-HBNER; P. DU-
QUENOY; A. ZUCCATO; L. MARTUCCI. The Future of Identity in the Information Society. IFIP International Federation for Informa-
tion Processing. Vol. 262, pg. 199-200. Boston: Springer.
15. CHEN, L. (octubre, 2006). Facebook's feeds cause privacy concerns. The amherst student.
http://halogen.note.amherst.edu/astudent/2006-2007/issue02/news/01.html
16. BERTEAU, S. (2007). Facebook's misrepresentation of beacon threats to privacy: Tracking users who opt out or are not logged in.
http://community.ca.com/blogs/securityadvisor/archive/2007/11/29/facebook-s-misrepresentation-of-beacon-s-threat-to-pri-
vacy-trackingusers-who-opt-out-or-are-not-logged-in.aspx

IDP Nmero 9 (2009) I ISSN 1699-8154 48 Revista de los Estudios de Derecho y Ciencia Poltica de la UOC

Antoni Roig
Universitat Oberta de Catalunya

http://idp.uoc.edu E-privacidad y redes sociales

propio usuario,18 o mediante la colaboracin de un grupo Las tecnologas de la transparencia deben garantizar que
de usuarios seleccionados, o sin un ndulo central.19 Dicho el flujo de informacin sea visible y deje rastro. Y se pre-
esto, el control de acceso no es la nica manera de pre- tende que lo hagan de una manera amplia, que afecten
servar la privacidad en las redes sociales. Es necesario tanto a las polticas de privacidad como al procesamiento
plantear otros sistemas de reputacin garantes de la pri- de los datos, a los servicios ofrecidos, al software utili-
vacidad desde una ptica ms general. zado, a los colaboradores y a la confianza, as como a
posibles problemas de seguridad. Las herramientas de
transparencia, por s solas, no solucionan los riesgos para
4.3. Sistemas de reputacin garantes la privacidad. Slo su combinacin con la gestin de la
de la privacidad no basados en el acceso identidad y los sistemas de reputacin puede ofrecer
garantas para la privacidad.
Ya hemos indicado que las recomendaciones de las
agencias de proteccin de datos, en el sentido de usar
Una posibilidad extrema es la de las TET (transparency
seudnimos, deberan traducirse en una multiplicidad
enhancing technologies), que pretende anticipar un posi-
de seudnimos. Tambin hemos sealado que es nece-
ble perfil que se pueda deducir de los datos de un particu-
sario evitar el mal uso de stos. Ahora debemos aadir
lar. La idea central es disponer de suficiente informacin
que se puede obtener un sistema de reputacin fiable
para ser capaz de construir un perfil contrario a lo que se
con valoraciones de los seudnimos en diferentes con-
deduce de la informacin disponible. El uso ms habitual
textos. Este esquema ha sido, incluso, propuesto para
de la tecnologa de la transparencia, sin embargo, es
redes de P2P con seudnimos.20 Se dispone de unos
poder saber en todo momento qu dato personal se ha
puntos de reputacin (e-cash). Un usuario honesto
proporcionado al sistema, con el fin de acceder a l, alte-
puede cambiar su seudnimo conservando su reputa-
rarlo o borrarlo. En el proyecto europeo PRIME, el busca-
cin. En cambio, un usuario deshonesto no podr
dor de datos o Data Track cumple esta funcin. Antes de
borrar su cuenta de puntos, ni siquiera cambiando de
dar informacin personal se puede consultar la actividad
seudnimo.
de los colaboradores y la poltica de privacidad. Esta
informacin sirve tambin para pedir a los responsables
4.4. Tecnologa para la transparencia, de los datos si han actuado correctamente o para investi-
el contexto y la finalidad gar riesgos detectados en anteriores utilizaciones del
buscador de datos.
Las tecnologas tradicionales garantes de la privacidad
han buscado la anonimizacin, la seudoanonimizacin
y la autenticacin. Parece existir una tendencia que Conclusiones
favorece actualmente las PET ms centradas en la
transparencia. En todo caso, son estrategias comple- La proteccin de la privacidad en las redes sociales no es
mentarias. Seguramente, la implantacin progresiva de la adecuada. Hay varias razones que coinciden en esta
la normativa europea sobre proteccin de datos, muy situacin delicada:
centrada en el control de la informacin y en la finali-
dad, puede explicar, cuando menos, parcialmente, este El marco regulador es inexistente o muy limitado. Slo
nuevo enfoque. la regulacin sobre la proteccin de las bases de datos

17. CARMINATI B.; FERRARI, E. (2008). Privacy-Aware Collaborative Access Control in Web-Based Social Networks. En: V. ATLURI
(ed.). Lecture Notes in Computer Science, n. 5094, pg. 81-96.
18. CARMINATI B.; FERRARI, E.; PEREGO, A. (2007). Private relationships in social networks. En: ICDE 2007 Workshops Proceedings.
Los Alamitos: IEEE CS Press. Pg. 163-171.
19. DOMINGO-FERRER, J. (2007). A Public-Key Protocol for Social Networks with Private Relationships. En: V. TORRA, Y. NA-
RUKAWA; Y. YOSHIDA (eds.). MDAI 2007. Lecture Notes in Artificial Intelligence, n. 4617, pg. 373-379.
20. ANDROULAKI, E.; CHOI, S. G.; BELLOVIN, S. M.; MALKIN, T. Reputation Systems for Anonymous Networks. En: N. BORISOV; I.
GOLDBERG (eds.). PETS 2008. Lecture Notes in Computer Science, n. 5134, pg. 202-218.

IDP Nmero 9 (2009) I ISSN 1699-8154 49 Revista de los Estudios de Derecho y Ciencia Poltica de la UOC

Antoni Roig
Universitat Oberta de Catalunya

http://idp.uoc.edu E-privacidad y redes sociales

personales configura un cuerpo destacado. Ahora bien, bin retos muy difciles. Una posible aproximacin,
su plena vigencia se centra en los pases europeos. ms anglosajona, consiste en hacer que la industria
Existe, no obstante, una tarea muy notable de las agen- tenga inters econmico en desarrollar herramientas
cias de proteccin de datos, y de los grupos de trabajo que incorporen una versin amiga de la privaci-
prximos a stas, que va concretando medidas y reco- dad. El inters de esta propuesta consiste en que
mendaciones tiles. En este sentido, se est inten- las soluciones son ms sencillas y ms baratas si se
tando llegar a un estndar internacional de privacidad incorporan ya en el diseo del sistema o programa
en las redes sociales que podra resultar un primer que si se intenta aadir a posteriori un paquete
marco regulador de referencia en la materia. Ahora adicional de PET. Quiz por ello, las propias PET van
bien, la reduccin de toda la problemtica a la protec- incorporando otras opciones adems de las tradicio-
cin de las bases de datos excluye aspectos relevantes nales basadas en el anonimato, los seudnimos y las
de la proteccin de la privacidad en las redes sociales autenticaciones. Parece dibujarse, no obstante, un
que sera preciso no olvidar. riesgo: la negociacin de las facultades o derechos
La tecnologa de proteccin de la privacidad aparece entre el usuario y la red social, o entre usuarios, a
por primera vez, tmidamente, en algunas recomen- cambio de beneficios, transforma los derechos fun-
daciones. La fragilidad es doble: por un lado, existe damentales en opciones individuales. Tal vez la priva-
una fundamentacin jurdica de la tecnologa como cidad puede acabar de diluirse en este mercado de
garante de derechos. Ms bien al contrario, la tecno- intercambios o de concesiones. Por esta razn que-
loga es vista como fuente de riesgos para los dere- remos destacar el dictamen, en el marco de las eti-
chos. Una posible fundamentacin podra derivar del quetas RFID, del supervisor europeo de proteccin
principio de proporcionalidad, que rige las limitacio- de datos que, por desgracia, todava no parece haber
nes de derechos. En resumen, la necesidad de una llegado a las propuestas de las agencias sobre redes
restriccin de derechos se valora por la imposibilidad sociales: la previsin de las medidas tecnolgicas
de llevar a cabo una finalidad legtima, como podra garantes de la privacidad en el mismo momento del
ser la gestin de una red social, con una menor afec- diseo de la herramienta.21 ste es un reto no slo
tacin a los derechos. Pues bien, si las PET o tecnolo- para los ingenieros de las PET, que debern pensar
gas garantes de la privacidad fueran de alcance en tiempo real y en el contexto especfico de un
pblico, se podran cuestionar las restricciones de la producto comercial; tambin lo es para el derecho, si
privacidad como medidas desproporcionadas, por no nos queremos quedar, en el mejor de los casos,
innecesarias. Por otro lado, las PET tienen muchas con un listado de principios generales. La previsin
dificultades para pasar del aspecto terico de los pro- de estndares tcnicos protectores de la privacidad
yectos europeos, que es en el que aparecen, al poste- podra ser la ltima oportunidad para la regulacin,
rior desarrollo y aplicacin comercial. No parece entendida sta como una competicin entre los intere-
existir impulso pblico ni conciencia particular de ses comerciales particulares y los intereses generales,
esta delicada situacin y, por ahora, son considerados como es el caso de la privacidad. La redefinicin de la
por la industria como un gasto extra no impuesto por privacidad se realizar, presumiblemente, no en
ninguna ley, ni sancionado por ninguna agencia. grandes definiciones, sino en pequeas y constantes
Las redes sociales son un campo especialmente vul- redefiniciones de tcnicas garantes en mbitos como
nerable para la privacidad. Pero no son el nico: la las redes sociales. Si no estamos atentos, el derecho
computacin ubicua, las etiquetas RFID y la robtica, a la privacidad puede acabar siendo slo un dere-
segn nuestros limitados conocimientos, son tam- cho ficcin.

21. Dictamen del Supervisor Europeo de Proteccin de Datos relativo a la Comunicacin de la Comisin al Parlamento Europeo, al
Consejo, al Comit Econmico y Social Europeo y al Comit de las Regiones La identificacin por radiofrecuencia (RFID) en Eu-
ropa: Pasos hacia un marco poltico, documento COM (2007) 96, (2008/C101/01), donde habla de la necesidad de intimidad me-
diante el diseo.

IDP Nmero 9 (2009) I ISSN 1699-8154 50 Revista de los Estudios de Derecho y Ciencia Poltica de la UOC

Antoni Roig
Universitat Oberta de Catalunya

http://idp.uoc.edu E-privacidad y redes sociales

Referencias

ANDROULAKI, E.; CHOI, S. G.; BELLOVIN, S. M.; MALKIN, T. Reputation Systems for Anonymous
Networks. En: N. BORISOV; I. GOLDBERG (eds.). PETS 2008, Lecture Notes in Computer
Science. N. 5134, pg. 202-218.
BERTEAU, S. (2007). Facebook's misrepresentation of beacon threats to privacy: Tracking users who
opt out or are not logged in.
<http://community.ca.com/blogs/securityadvisor/archive/2007/11/29/facebook-s-misrepresenta-
tion-of-beacon-s-threat-to-privacy-trackingusers-who-opt-out-or-are-not-logged-in.aspx>
CARMINATI B.; FERRARI, E. (2008). Privacy-Aware Collaborative Access Control in Web-Based Social
Networks. En: V. ATLURI (ed.). Lecture Notes in Computer Science. N. 5094, pg. 81-96.
CARMINATI B.; FERRARI, E.; PEREGO, A. (2007). Private relationships in social networks. En: ICDE
2007 Workshops Proceedings. Los Alamitos: IEEE CS Press. Pg. 163-171.
CHEN, L. (octubre, 2006). Facebook's feeds cause privacy concerns. The amherst student.
<http://halogen.note.amherst.edu/astudent/2006-2007/issue02/news/01.html>
DOMINGO-FERRER, J. (2007). A Public-Key Protocol for Social Networks with Private Relationships.
En: V. TORRA, Y. NARUKAWA; Y. YOSHIDA (eds.). MDAI 2007, Lecture Notes in Artificial Intelli-
gence. N. 4617, pg. 373-379.
FAN, L.; LI, B. (2008). VisoLink: A User-Centric Social Relationship Mining. En: G. WANG [et al.]
(eds.). Lecture Notes in Artificial Intelligence. N. 5009, pg. 668-675.
GRUPO DE TRABAJO SOBRE PROTECCIN DE DATOS DEL ARTCULO 29 (2009). Dictamen 5/2009
sobre las redes sociales en lnea. [informe en lnea].
<http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp163_es.pdf>
HANSEN, M. (2008). Marrying Transparency Tools with User-Controlled Identity Management. En:
S. FISCHER-HBNER; P. DUQUENOY; A. ZUCCATO; L. MARTUCCI. The Future of Identity in the
Information Society. IFIP International Federation for Information Processing. Vol. 262, pg. 199-
200. Boston: Springer
HOGBEN, G. (ed.) (octubre, 2007). Security Issues and Recommendations for Online Social Net-
works. Enisa Position Paper. N. 1.
<http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_social_networks.pdf>
INTERNATIONAL WORKING GROUP ON DATA PROTECTION IN TELECOMMUNICATIONS (2008).
Report and Guidance on Privacy in Social Network Services (Memorandum de Roma). En: 43.
reunin (3-4 de marzo del 2008: Roma) [informe en lnea]. Informe n. 675.36.5. IWGDPT.
<http://www.datenschutz-berlin.de/attachments/461/
WP_social_network_services.pdf?1208438491>
LAM, I.-F., CHEN, K.-T. y CHEN, L.-J. (2008). Involuntary Information Leakage in Social Network Ser-
vices. En: K. MATSUURA; E. FUJISAKI (eds.). IWSEC (2008). Lecture Notes in Computer Science.
N. 5312, pg. 167-183.
MIKA, P. (2007). Social Networks and the Semantic Web. Nueva York: Springer.
SEIGNEUR, J. M. (2009). Social Trust of Virtual Identities. En: J. GOLBECK (ed.). Computing with
Social Trust. Londres: Springer. Human-Computer Interaction Series.
VERAGO, R; CEDRATI, F. C.; DALESSI, F; ZANETTE, A. (2008). Eye Knowledge Network: A Social Net-
work for the Eye Care Community. En: M. D. LYTRAS [et al.] (eds.). WSKS 2008, Lecture Notes in
Artificial Intelligence. N.. 5288, pg. 22-30.

IDP Nmero 9 (2009) I ISSN 1699-8154 51 Revista de los Estudios de Derecho y Ciencia Poltica de la UOC

Antoni Roig
Universitat Oberta de Catalunya

http://idp.uoc.edu E-privacidad y redes sociales

WANG, D.-W.; LIAU, C.-L.; HSU, T.-S. (2006). A GrC-Based Approach to Social Network Data Protec-
tion. En: S. GRECO [et al.] (eds.). RSCTC 2006, Lecture Notes in Artificial Intelligence. N. 4259,
pg. 438-447.

Cita recomendada

ROIG, Antoni (2009). E-privacidad y redes sociales. En: V Congreso Internet, Derecho y Poltica
(IDP). Cara y cruz de las redes sociales [monogrfico en lnea]. IDP. Revista de Internet, Derecho y
Poltica. N. 9. UOC. [Fecha de consulta: dd/mm/aa].
<http://idp.uoc.edu/ojs/index.php/idp/article/view/n9_roig/n9_roig_esp>
ISSN 1699-8154

Esta obra est bajo la licencia Reconocimiento-NoComercial-SinObraDerivada 3.0 Espaa


de Creative Commons. As pues, se permite la copia, distribucin y comunicacin pblica
siempre y cuando se cite el autor de esta obra y la fuente (IDP. Revista de Internet, Derecho
y Poltica) y el uso concreto no tenga finalidad comercial. No se pueden hacer usos comer-
ciales ni obras derivadas. La licencia completa se puede consultar en: <http://creativecom-
mons.org/licenses/by-nc-nd/3.0/es/deed.es>

Sobre el autor

Antoni Roig
antoni.roig@uab.cat

El Dr. Antoni Roig es profesor de Derecho constitucional en la Facultad de Derecho de la UAB. Ha sido
investigador en proyectos nacionales y europeos. Cuenta con publicaciones en las reas de fuentes
del derecho, derecho europeo, bases de datos, tecnologa y libertad de expresin y privacidad de ciu-
dadanos y trabajadores. Sus ltimas publicaciones se han centrado en la privacidad y el gobierno elec-
trnico.
Cuenta con un doctorado en Derecho por la UAB y ha realizado estudios post-doctorales en las Uni-
versidades Cattolica di Milano (Miln, 1996-1997) y Universit degli Studi di Firenze (Florencia, 1997).
En la actualidad, participa en un curso de ingeniera tcnica informtica en la Universitat Oberta de
Catalunya.

IDT, Instituto de Derecho y Tecnologa


Universidad Autnoma de Barcelona
08193 Bellaterra (Barcelona), Espaa

IDP Nmero 9 (2009) I ISSN 1699-8154 52 Revista de los Estudios de Derecho y Ciencia Poltica de la UOC

Antoni Roig