El servicio bit.ly para cortar direcciones web no pueden usarlo las Administraciones Públicas

Hoy he encontrado una Administración que usa el servicio para acortar urls de bit.ly. Me ha llevado a preguntar ¿de qué vive bit.ly? Y a suponer, del uso de los datos de los usuarios... pero... fui a comprobarlo a su política de privacidad y, efectivamente. Tratan los datos para asociarlos a otros, generan perfiles... Así que si uso la sede electrónica de Justicia provista pro la Comunidad Autónoma de Canarias puedo terminar cediendo datos para que otros generen perfiles sobre mi y cedan datos a otros terceros, que es de donde la empresa que provee el servicio obtiene sus ingresos. Esa práctica es ilegal para todo el mundo sin consentimiento del interesado, pero si lo hace una Administración Pública entonces ni con el consentimiento puede hacerlo, pues viene obligada a prestar el servicio sin que el interesado pase por esas cesiones. Aquí lo que les escribí y mandé como sugerencia (también he registrado una reclamación ante la AEPD, porque ya uno está cansadito de decirle a los técnicos, que te dicen que sin no lo manda el político... y de decirle al político y que te digan que lo que le digan los técnicos...
- Señores técnicos (sí, uso una expresión genérica del español consciente de que existen muy buenas profesionales, si no fueran tan buenas, pueden -deben- también sentirse aludidas por la mención): hay que tener ganas de hacer las cosas mal cuando no consultan al DPD (que a poco que haya sido bien elegido y sepa les dirá que no pueden usarlo), y cuando no examinan las soluciones que ya están desarrolladas por la Administración Pública para el uso por las Administraciones Públicas, como es el caso de "RUN", un reductor de URLs para el uso de las AA.PP..
- Señores políticos (y digo aquí otro tanto de lo mismo): ¿para cuando una política tecnológica que garantice la calidad democrática, que impida que sea necesario un plan de salud mental en las escuelas, que no secuestre la voluntad de la gente, que genere desarrollo local, que promueva la ciencia frente a la histeria y la segregación, que tienda puentes en lugar de segmentar a la población...? Es uno de los grandes problemas de la sociedad actual. ¿Cuándo se van a dar cuenta?

Texto de la sugerencia (también presentada como reclamación ante la AEPD):

CESIÓN DE DATOS SIN CONSENTIMIENTO EN https://sede.justiciaencanarias.es/sede/

Al poner un enlace al servicio de Apud acta que apunta a un sistema de tracking y monitorización que capta datos personales (https://bit.ly/2BxjTbb), como puede observarse en la política de privacidad (en inglés) del proveedor. [extractado en el siguiente epígrafe]
Además, [1] no aparece reflejado dicho tratamiento en el registro de actividades de tratamiento de esa Administración, y [2] cabe sospechar que no existe acuerdo con el encargado de tratamiento exigido por el art. 28 RGPD, [3] ni que se haya hecho la evaluación a que obliga el art. 35 RGPD, pese a que el servicio elegido supone un tratamiento de los del art. 35.3.a), lo que [4] lleva de nuevo a suponer que la elección del encargado no se ha hecho ponderando las exigencias a que obliga el art. 28 RGPD.

Extracto de la política de privacidad de bit.ly:

enlace a la [versión original]
[Este extracto no formó parte del escrito que comuniqué a la Administración, que la juzgo capaz de leer la política de privacidad y sacar sus conclusiones. Por facilidad de lectura y claridad, he decidido incorporarlo aquí]
"This Privacy Policy covers the treatment of the personal information gathered by Bitly when you [...] view or interact with a Bitly link
[...]
Bitly may collect personal information about you as described in this Privacy Policy when you [...] (iii) view or interact with a Bitly link [...]. We collect the following types of information from you, some of which might be considered personal information under applicable law.
.[...]
When You Interact With a Bitly Link
Bitly automatically collects personal information about the interaction (such as clicks or views) with every Bitly Link created through the Services (either our bit.ly links or one of our branded domains) on a third-party website. This information includes, but is not limited to: (i) the IP address and location derived from the IP address; (ii) the referring websites or services; (iii) the time and date of each access; (iv) device settings, such as browser type, operating system, and language; (v) cookies, as described below, and mobile advertising identifiers and (v) information about sharing of the Bitly Link on Third Party Services such as Twitter and Facebook (collectively, “Bitly Link Metrics”). As described in this policy, we use Bitly Link Metrics to provide the Services, to understand and analyze how our Services are used [...]
[...]
How We Use Information
We use the personal information we collect for a variety of administrative and business purposes to:
[...]
- ...provide the Services
[...]
- ...develop new products and services
- measure interest and engagement in our Site and Services,
- monitor and analyze usage and trends of the Site and Services,
- provide services to our customers to allow them to understand how you interact with our Services [...]
[...]
Usage Across Devices
We may use the information we collect to make inferences that a unique individual has created or interacted with Bitly links on different devices so that we can to detect, deter and prevent malicious, fraudulent or unlawful activity and analyze how users use our Services [...]
Information We Share
The Services are designed to help you share information with others. In addition, we provide Services to our Customers that use Bitly Link Metrics. As a result, some of the personal information generated through your use of the Services is shared publicly or with third parties as described below.
[...]
Information We Share With Customers
We may share the personal information we collect as described in this Privacy Policy with our customers. When you create a Bitly Link of one of our enterprise customer’s sites, the enterprise customer is able to view the unshortened original URL, the date and time the Bitly Link was created, the location where it was created as derived from your IP address, and aggregated information about clicks and views of the Bitly Links, including the number of times the Bitly Link was shared, whether or not it was viewed, comparison of that Bitly Links performance to that of all Bitly Links pointing to the same content, whether others are sharing a Bitly Link to the same content, geographic regions where the content is being viewed, and identification of social networks on which the Bitly Links appear. In addition, we may share Bitly Link Metrics with customers [...]
Information Shared with Service Providers
We may employ and contract with third parties to perform certain tasks on our behalf and under our direction (our “Service Providers”). We may need to share information about you with our Service Providers in order to provide our product with research and analytics on user behavior and to provide advertising products and services to users, to process payments, and to provide email marketing and support services. Our agreements with these Service Providers authorize them to use your information only as necessary to provide services to us. Transfers to subsequent third parties are covered by the service agreements with our Clients.

#RGPD #AAPP #AdministracionPublica #MalasPracticas #TICs #TICs #CapitalismoSalvajeVigilancia #FeudalismoDigital

Educación y feudalismo tecnológico en tiempo de coronavirus.

Eli y Pedro son maestros, no sabían en qué lío metían a sus alumnos.

Eli es maestra. Está feliz de la vuelta al cole, y siente que esta vez si pasa algo con el covid está más preparada para que sus niños no pierdan clase. El cole ha optado por usar Google Classroom, GMail y el resto de soluciones de dicho entorno. No sabe que cada error que cometan sus niños en clase le está cerrando puertas. Su inteligencia artificial (IA) analiza sin cesar el comportamiento actual, y los comportamientos archivados, para deducir el futuro. Acierte o no, ha condicionado el devenir de sus niños. Lo mismo ocurre con otras soluciones que siguen el modelo de uso por datos.

Pedro, el director del CEIP, había acogido la idea con entusiasmo. Por fin alguien le daba soluciones, y sólo por 20 euros al año. No se dio cuenta de que por ese precio no se puede prestar ese servicio, que es una práctica monopolística para eliminar la competencia, porque lo que interesa son los datos de los niños. Él no está en esas cosas, es normal. En su escuela al Delegado de Protección de Datos ni está ni se le espera, aunque sea obligatorio. Nadie le ha dicho que esas decisiones hay que tomarlas asesorado por este tipo de profesionales. Eso es una de las cosas que quiere el Derecho de la Unión Europea para proteger a sus ciudadanos de la lacra de este mercado de los datos (“protección de datos desde el diseño y por defecto” lo llaman). Es por eso que nadie le ha explicado que el responsable de los datos (su colegio) cuando pide ayuda para su gestión a un tercero (encargado del tratamiento) tiene que tener un contrato que garantice que el centro pueda dar instrucciones sobre la forma de uso de los datos. Él no se ve dándole instrucciones a Google... ni le harán caso, ni el contrato lo dice. No, claro que no ha hecho la evaluación de impacto en derechos y libertades requerido por la normativa, pero sí ha pedido el consentimiento de los padres, siguiendo una plantilla que la empresa tiene disponible en su web... Sí, también eso lo ha hecho mal. El colegio es un servicio público, todos lo tenemos que usar, un padre no puede decidir no llevar a su hijo... y tampoco discriminarlo y marcarlo en la comunidad educativa haciendo que sea el bicho raro que no usa la tecnología elegida por el Colegio. La legitimación de las Administraciones Públicas para usar los datos de los ciudadanos para prestar el servicio no les viene del consentimiento del ciudadano (artículo 6.1.a del RGPD), sino de su competencia para la gestión del servicio (letra e del mismo ordinal y artículo). No tienen que preguntar, lo que tienen es que hacerlo legalmente, fundamentalmente informar de qué tipo de tratamientos realizan con los datos, cómo los gestionan. Los padres no pueden contestar que no, no se les puede hacer correr con ese peso. No les corresponde, y su autorización no exime al responsable del servicio de su correcta elección.

Pedro es víctima de la falta de políticas públicas para implementar nuestras normas. Es consciente de que muy bueno no puede ser. Ha intentado en otros años montar grupos de Telegram en lugar de WhatsApp, informar a los padres con un canal de Twitter… pero no se ha dado cuenta de que con eso ha descuidado el único canal en el que no se reutilizan por terceros los datos de los usuarios: el blog del que les dotó la Consejería de Educación. Sabiendo como saben que hay otros mecanismos modernos, no se explica cómo no le ofrecen una solución rápida de comunicación con los padres. Los medios que ofrece la Consejería son viejos e insuficiente, inutilizables.

Pedro hizo lo mismo que ve hacer a sus políticos, a las Administraciones Públicas, volcados en “irse a la nube”. Precisamente el Cabildo de su isla está con un proyecto piloto para migrar el correo corporativo a una nube pública… Nadie les ha dicho que cuando se envíe información de un expediente proponiendo una sanción a un ciudadano, será leído… e igual que al Consejero le sale en su móvil cuando compra un billete el mensaje de “Veo que vas a volar el día 27 ¿quieres que te lo guarde en la agenda?”, a las entidades de crédito le sale un “yo no recomendaría dar crédito a...” a ese ciudadano… porque ya saben que podría ser objeto de una sanción… Es un ejemplo simple, pero Dani, que trabaja en servicios sociales, ha comenzado a comprender ahora porqué la sociedad parece haber marcado a las víctimas de violencia… él ya no quiere mandar los informes sobre su situación por el correo corporativo, y si lo hace exige cifrarlo… sus compañeros lo miran como un loco… él es consciente de que está protegiendo a personas que ya lo han pasado bastante mal, y tienen derecho a que les dejen rehacer su vida. Dani no sabe cómo hacérselo ver a los que él llama "los de arriba". Tiene un amigo informático que le ha ayudado a comprender el problema, un compañero de trabajo que además le dice que se da la paradoja de que el Cabildo tiene una envidiable nube privada… Vamos, que además es innecesario el viaje.

Estas historias son reflejo de lo que está pasando, de cómo las grandes corporaciones con fortísima influencia en la configuración de nuestras sociedades están atenazando aún más nuestra sociedad, aprovechando la circunstancia, aunque nos hayamos dado normas que no se cumplen. Es fácil darse cuenta, pero es que hay mucho mequetrefe justificando lo injustificable. Hay tecnología alternativa, para hacer lo mismo, y mejor… pero no hay (o no suficientes) políticas públicas impulsándolas. Un ejemplo: el pasado fin de semana fui invitado a impartir una conferencia que titulé “El feudalismo de los datos” [Archive.Org], conectando con una valoración de quien fuera Director de la Agencia Española de Protección de Datos, que hablaba de los señores de los datos, y del capitalismo salvaje de la vigilancia permanente (algo sabrá cuando dice que acoge como buena la definición de nuestro modelo económico como “surveillance capitalism” mantenida por la profesora Zuboff, de la Universidad de Hardvard, y gran número de relevantes especialistas) (pude ampliar el concepto en el taller sobre la App Radar COVID [Archive.Org]). Lo interesante fue que en ese congreso, EsLibre-2020 [Archive.Org], acogido por la Universidad Rey Juan Carlos, se utilizaron programas de fuentes abiertas, plenamente disponibles para los colegios, que no deja rastro a las grandes corporaciones: fue totalmente on-line, grabado al mismo tiempo, con cinco salas en paralelo gestionadas en un único ordenador (ciertamente potente) para unas 300 personas, vídeo, audio, pizarra, escritorio, vídeos pregrabados... todo fue posible fácil. Nadie echó en falta ningún recurso de los ofrecidos por los todopoderosos señores de los datos. Sirva como ejemplo de los proyectos que están tardando en implementarse...

El TJUE una y otra vez tumba dicho modelo de neocapitalismo con el que Estados Unidos protege a sus empresas, por incompatible con los valores europeos (anuló el acuerdo de puerto seguro en 2016 [Archive.Org], y ahora, en julio de 2020, declara inválido el escudo de privacidad [Archive.Org] que pretendía sustituirlo), pero el mercado impone otra cosa, y vuelven a la carga. El mismo Alto Tribunal europeo aclara que las Administraciones Públicas no pueden (o sólo bajo unos muy estrictos requisitos) usar redes sociales, y ahí está el Gobierno habilitando canales de WhatsApp, o la RTVE poniéndolo como forma principal de participar en sus programas... A los poderes públicos, a los políticos, cumplan las leyes, atiendan las actuales emergencias, y creen canales públicos libres para la relación con la ciudadanía, no acrecienten nuestro vasallaje. A la ciudadanía ¿qué tal si nos organizamos? Propongo crear una Fundación que forme, gestione proyectos alternativos, de servicios de red básicos, y formación a la tan necesitada Administración Pública. La tenemos que salvar entre todos, porque ella es la que nos puede salvar a nosotros de este modelo de sociedad al que estamos, hoy por hoy, abocados.
–
Luis Fajardo López es doctor en Derecho por la Universidad Autónoma de Madrid, ha sido Juez, abogado especializado en TICs, y Delegado de Protección de Datos de la Universidad de la Laguna. Es profesor de Derecho civil de dicha Universidad. @lfajardo@silba.me

[ Versiones de este artículo: PDF | Prensa ]
Este artículo fue publicado originalmente en ElDiario.es, sección Opinión de Canarias Ahora, del 23 de septiembre de 2020: ver

#RGPD #Google #Facebool #AAPP #Administracion #AdministracionPublica #educacion #Classroom #GoogleClassroom #consentimiento #privacidad #legitimacion #EvaluacionDeImpacto #WhatsApp #Telegram #Twitter #surveillance #Capitalism #capitalismo #vigilancia #feudalismo #FeudalismoDeLosDatos #SeñoresDeLosDatos #TJUE #PuertoSeguro #EscudoDePrivacidad #PrivacyShield #SafeHarbour