Huellas digitales
Un marco de referencia de la Internet Society

ENERO DE 2014

 
  

Índice

Estructura y uso del documento ............................................................................................................... 3

Guía de temas y secciones ....................................................................................................................... 3

¿Qué es una huella digital? ...................................................................................................................... 5

¿Por qué empezamos a dejar huellas tan grandes? ................................................................................ 5

¿Es “monetizado” la nueva versión de “gratuito”? .................................................................................... 8

¿Quiénes me están siguiendo y cómo lo hacen? ..................................................................................... 10

¿Qué problemas pueden ocasionar las huellas digitales? ....................................................................... 14

Diferentes servicios, diferentes rastros... .................................................................................................. 16

¿Qué dinámicas operan en el mundo de las huellas digitales? ................................................................ 19

¿Cómo afecta la legislación a las huellas digitales? ................................................................................. 20

¿Cómo puedo gestionar mis huellas digitales? ........................................................................................ 24

2 WWW.INTERNETSOCIETY.COM
 
  

Estructura y uso del documento

Este documento marco se estructuró de manera que sea fácil para el lector comprender y gestionar sus
huellas digitales. Cada sección se ocupa de un tema particular: cómo se crean las huellas digitales; por qué
hay terceros a quienes le interesan nuestras huellas digitales; cómo interactúan la privacidad, la economía y
la legislación; y así sucesivamente.

Cada sección se ha escrito de modo que sea autocontenida, es decir que cada sección ofrece una
descripción del tema o problema, explica por qué es de interés para el usuario, e indica qué podemos hacer
al respecto.

Hemos agrupado las secciones en tres temas generales (aspectos económicos, riesgos y contexto), de
modo que se puede tratar a todo el material como un único documento, se puede escoger una sola sección
que sea de mayor interés, o se pueden leer las secciones que se relacionan con un tema común.

Al final incluimos una guía en la cual se ofrecen ejemplos de cuatro tipos de acciones que el lector puede
tomar para desarrollar su comprensión y controlar su huella digital. Si esa es su principal preocupación,
diríjase directamente a “¿Cómo puedo gestionar mis huellas digitales?” Sin embargo, la primera
recomendación que encontrará allí será “Mejore su comprensión de los problemas básicos”... que es
exactamente lo que esperamos que logre a partir del resto del documento.

Guía de temas y secciones

Introducción: ¿Qué es una huella digital?

Tema 1 – Aspectos económicos

1. ¿Por qué empezamos a dejar huellas tan grandes? (La función de las cookies y los
efectos de la enlazabilidad)

2. ¿Es “monetizado” la nueva versión de “gratuito”? (La publicidad y el intercambio

económico implícito en los servicios “gratuitos”)

3. ¿Quiénes me están siguiendo y cómo lo hacen? (El ecosistema comercial del

rastreo en línea)

Tema 2 – Riesgos

1. ¿Qué problemas pueden ocasionar las huellas digitales? (Equilibrio de los

beneficios sociales y económicos; enlazabilidad e integridad contextual)

2. Diferentes servicios, diferentes rastros... (Aplicaciones, teléfonos inteligentes, y

hacia dónde vamos)

3 WWW.INTERNETSOCIETY.COM
 
  

Tema 3 – Contexto

1. ¿Qué dinámicas operan en el mundo de las huellas digitales? (Comodidad,

mercados y la falta de opciones para el usuario)

2. ¿Cómo afecta la legislación a las huellas digitales? (El tema del consentimiento y
las transferencias de datos transfronterizas)

Guía: ¿Qué puedo hacer para gestionar mis huellas digitales?

4 WWW.INTERNETSOCIETY.COM
 
  

¿Qué es una huella digital?

Las huellas digitales son los registros y rastros que dejamos al utilizar Internet. Las huellas digitales pueden
representar un riesgo o un beneficio para cada usuario... pero nunca son irrelevantes. Se trata de
información que otras personas utilizan para ganar dinero, para averiguar cuáles son nuestras preferencias
y con quién almorzaremos el próximo martes.

Nuestra huella digital puede afectar nuestra reputación en línea e incluso nuestra calificación crediticia.
Gracias a nuestra huella digital, puede que no sea necesario iniciar una sesión o ingresar repetidamente
nuestros datos personales en un sitio web. Pero las huellas digitales son visibles incluso para
organizaciones con las que no tenemos ninguna relación, cuyos intereses están en conflicto con los
nuestros, y sobre las cuales muchas veces no tenemos ningún control.

La mayoría de las personas sabe que al compartir información personal a través de Internet (como por
ejemplo a través de las redes sociales) y al utilizar servicios en línea (como por ejemplo servicios de correo
electrónico, mensajería instantánea o llamadas de voz) está renunciando a un cierto grado de control sobre
su privacidad. Como dejaron en claro recientes controversias en Estados Unidos y otros países, la
información que confiamos a otros –incluso cuando pensamos que es privada– está fuera de nuestro
control.

Muchas veces esta pérdida de control se da como resultado de acciones explícitas: realizar una llamada a
través de Skype, compartir algo en Facebook, subir fotos a Tumblr, enviar un correo electrónico a un
usuario de Hotmail. En estos casos, aunque podamos esperar algo de privacidad, sabemos que cada vez
que usamos estos servicios estamos dejando un rastro.

Pero, ¿qué pasa con el rastro que dejamos implícitamente, mientras recorremos Internet? ¿Es posible que
alguien siga nuestros pasos por el mundo virtual de Internet, que siga nuestras huellas digitales, que rastree
las impresiones que vamos dejando a nuestro paso? La respuesta es “sí”. Nuestras huellas digitales son
quizás más grandes de lo que pensamos, y están siendo utilizadas –generalmente con fines comerciales,
aunque a veces por otros motivos– para rastrearnos, personalizar productos o servicios a nuestra medida o
vendernos algún producto o servicio. En resumen, nuestra huella digital es un activo que se puede
monetizar... pero rara vez las ganancias serán para nosotros.

Tema 1 – Aspectos económicos

1. ¿Por qué empezamos a dejar huellas tan grandes?

“Seños Holmes, ¡eran las huellas de un mastín gigantesco!”

~ A. C. Doyle, El Mastín de los Baskerville

5 WWW.INTERNETSOCIETY.COM
 
  

Los usuarios de Internet deberían estar preocupados por los problemas de privacidad relacionados con sus
huellas digitales: estas huellas se pueden usar para rastrear sus acciones y sirven de base para que
proveedores de servicios en línea y otros interesados puedan crear “perfiles” de usuarios. Con el tiempo, la
tecnología para crear perfiles de los usuarios de Internet se ha vuelto cada vez más sofisticada. Pocos
usuarios se dan cuenta de la verdadera magnitud de sus huellas digitales y de la frecuencia con la cual los
1
datos resultantes son compartidos por terceros.

Si prestamos atención, las huellas explícitas que dejamos cada vez que participamos en una conversación
en Internet saltan a la vista. Por ejemplo, si tuiteamos que acabamos de llegar a Sídney y que la puesta de
sol es espectacular, ambas afirmaciones revelan de forma bastante explícita dónde estamos y qué hora es
(suponiendo que los tuits digan la verdad). Pero, ¿qué pasa con las huellas implícitas? Cada vez que
visitamos un sitio web, revelamos información personal al dueño del sitio: nuestra dirección IP, que puede
incluir nuestra información geográfica; el tipo de navegador y el sistema operativo que utilizamos; y, muchas
veces, el último sitio que hemos visitado. Estos datos parecen relativamente inocuos, incluso bastante
anónimos. Cada una por separado, estas huellas son bastante superficiales.

De hecho, estas huellas pueden representar un problema para algunas personas por ser demasiado
superficiales. Muchos servicios en línea como los sitios de comercio electrónico, las redes sociales y el
webmail necesitan que un sitio web pueda vincular múltiples interacciones, como por ejemplo colocar un
libro en un carrito de compras y luego hacer clic en “Pagar”. Necesitan saber si la persona que está
haciendo algo en este momento es la misma persona que hizo algo anteriormente –muchas veces, esto
también beneficia directamente al cliente. Las direcciones IP no resuelven el problema, ya que muchas
personas podrían estar utilizando simultáneamente la misma dirección IP. Se necesita algo más. Una
solución consiste en utilizar cookies. Una cookie es una forma de conectar múltiples acciones realizadas por
un mismo usuario para formar un hilo conectado. Cuantas más acciones se puedan vincular, mayor será el
potencial impacto sobre la privacidad de la persona, incluso si cada uno de los puntos de datos individuales
no es particularmente revelador.

Las huellas digitales en forma de cookie se utilizan para aumentar la usabilidad de Internet. También
pueden ayudar a que las transacciones individuales sean más seguras. Una gran cantidad de servicios
actualmente disponibles en Internet están diseñados de modo que dependen de la disponibilidad de las
cookies, y pueden no funcionar –o no funcionar de la manera que se pretende– si las cookies están
bloqueadas. En otros casos, las cookies se utilizan exclusivamente para comodidad del sitio web y no
aportan ningún beneficio real a los usuarios.

El lado positivo de las huellas digitales es un factor importante en nuestra consideración de la privacidad.
Sin embargo, las cookies no son el único mecanismo que ofrece seguridad y persistencia. Las decisiones
de seguridad de una transacción dependen de una combinación de factores, entre ellos las cookies, pero
también de otros mecanismos como por ejemplo las “URL decoradas”, cadenas que identifican al navegador
(conocidas como la cadena “agente de usuario”) y la dirección IP, entre otros. Los desarrolladores web
                                                                                                           
1     El  Wall  Street  Journal  publicó  una  serie  de  documentos  titulada  “What  They  Know”  que  exploran  este  tema  en  mayor  profundidad.  Los  
lectores  interesados  pueden  comenzar  a  partir  de  http://online.wsj.com/public/page/what-­‐they-­‐know-­‐2010.html  para  aprender  más  de  esta  
serie.
 

6 WWW.INTERNETSOCIETY.COM
 
  

utilizan cookies como una de las formas más convenientes de agregar persistencia y seguridad a la
experiencia web del usuario. Este es el motivo por el cual hay cookies por todas partes. Ahora analicemos
las cookies un poco más detalladamente.

Una cookie es una cadena arbitraria de letras y números, sin ningún significado intrínseco, que un sitio web
envía a su navegador web. Este es un ejemplo de una cookie:

JSESSIONID=0000e7B1glDiG4yqQy4Rivr5rCf:17q9uijvp

Nuestro navegador web guarda la cookie cuando se le pide que lo haga y, cada vez que volvemos a visitar
el sitio, el navegador envía la cookie al servidor web nuevamente. Aunque por lo general una cookie no
tiene ningún significado especial para el usuario, el sitio web puede almacenar en ella información de perfil y
preferencias, usar la cookie para enviar la información de perfil y las preferencias almacenadas a otro sitio,
o usarla para registrar cosas como la última vez que se autenticó.

Las cookies trabajan tras bastidores para proveer continuidad y persistencia. Por ejemplo, en ausencia de
cookies, quizás tendríamos que ingresar nuestro usuario y contraseña una y otra vez para leer nuestro
correo, navegar por un sitio de comercio electrónico o participar en una red social. No solo una vez en cada
sitio, sino una y otra vez para cada una de las páginas.

En general, los sitios web colocan una cookie en su navegador apenas visitamos el sitio por primera vez. El
navegador guarda la cookie internamente y luego la envía otra vez al servidor cada vez que hacemos clic.
Una consecuencia es que el sitio web puede relacionar todas nuestras acciones para mejorar nuestra
experiencia de usuario –sin importar si estas acciones ocurren con una diferencia de días, semanas o
meses. La mayoría de los usuarios no piensan en ello, pero por defecto los navegadores web contienen
miles de cookies que han sido colocadas allí por cada sitio web visitado. Sin embargo, esto también significa
que las huellas que dejamos son cada vez más grandes. Las cookies no solo vinculan transacciones, sino
que también permiten que los sitios web lleven un registro de cada una de nuestras visitas.

La mayoría de los proveedores de servicios de colocación de cookies explican esto en términos de

'optimizar su relación con el cliente'. Pero si el proveedor tiene todos los datos –a menudo sin que el usuario
sepa ni pueda ver de qué datos se trata– la relación resultante es más bien como observar a alguien a
través de un espejo de dos caras. Y esto puede ser desconcertante.

“Every step you take,

Every click you make,
I’ll be watching you...
Oh, can't you see? You belong to me...”

~ Con nuestras disculpas para Sting y The Police

A medida que utilizamos Internet, nuestro deambular por diferentes sitios web, buscadores, redes sociales y
servicios de correo electrónico va dejando información acerca de nuestras tareas profesionales y
personales, de nuestras actividades comerciales, y de lo mucho que nos gustan los gatos y los videos de
Justin Bieber. Si un proveedor de servicio guarda información de nuestra cuenta, como por ejemplo nuestra

7 WWW.INTERNETSOCIETY.COM
 
  

dirección de correo electrónico, nuestros detalles de pago, nuestro historial de compras u otros datos
personales, la cookie relaciona cualquier otra cosa que hagamos con esta información. El concepto de
enlazabilidad –lo que en inglés se llama linkability–es fundamental para cualquier análisis de la privacidad
en Internet, ya que contribuye más que casi cualquier otra cosa a erosionar la capacidad de los usuarios de
mantener sus datos personales dentro de un único contexto y, por consiguiente, de gestionar su propia
privacidad.

Individualmente, cada huella es pequeña, pero juntas pueden formar un perfil sorprendentemente completo.
Cuando varios sitios web deciden compartir entre sí esta información, surge la posibilidad de crear el perfil
del usuario, utilizando datos como los sitios que ha visitado, los productos que ha comprado o buscado, su
dirección y cualquier otro dato que haya proporcionado a cualquiera de los sitios: su edad, sexo, salud,
estado civil, empleo, información financiera… la lista incluye todo lo que alguna vez se haya compartido en
Internet. De hecho, es más larga todavía, ya que, a partir de los datos sin procesar, las empresas de
profiling hacen inferencias sobre sus hábitos, preferencias, valores, aspiraciones e incluso sus intenciones y
comportamiento futuro.

Más adelante discutimos cómo minimizar las huellas digitales en este documento marco para aquellos
usuarios de Internet que deseen tener mayor control.

2. ¿Es “monetizado” la nueva versión de “gratuito”?

“There is one thing
I mean everything has a price
I really hate to repeat myself
But nothing’s free”

~ Alice Cooper, “Gimme”

El uso intensivo de las huellas que dejan los usuarios en Internet para rastrearlos y personalizar el
contenido es el resultado del intercambio económico básico detrás de Internet. Dado que, de una forma u
otra, es el mercado quien financia la mayor parte de la infraestructura de Internet, los editores y
comerciantes utilizan las huellas digitales para dirigirse al público más adecuado.

Las huellas digitales existirían incluso si no sirvieran ningún propósito comercial, pero el lado comercial de
Internet está aprovechando la oportunidad que estas huellas representan. Los anunciantes y comerciantes
ahora dependen del poder que las huellas digitales les han otorgado para observar, vincular y minar datos
sobre los usuarios de Internet.

Los servicios en línea no son realmente gratuitos y nunca lo han sido. Una gran parte del contenido y los
servicios disponibles parecen ser gratuitos, en el sentido de que no pagamos por ellos en forma directa.
Aunque hay algunas excepciones –ciertos periódicos y revistas, distribuciones de video en modalidad pay-
per-view, y servicios de información pagos como informes de analistas de la industria–ver información en un

8 WWW.INTERNETSOCIETY.COM
 
  

sitio web, leer un blog, mirar un video, subir una fotografía o unirse a una red social son acciones que
generalmente no tienen ningún costo aparente.

Aquí la palabra “aparente” es significativa: incluso si no pagamos directamente. Alguien tiene que financiar
los servidores, los datacenters y las redes necesarias para proveer los servicios en línea. Inicialmente
financiada mediante becas de investigación del gobierno, hoy en día Internet se financia gracias a una
poderosa fuerza económica: el marketing. De los 100 sitios web más populares (en cuanto a su tráfico), solo
uno de ellos –wikipedia.org– está totalmente libre de publicidad.

La frase que se utiliza para describir esta situación es la siguiente: “Si usted no está pagando por el
producto, usted ES el producto.” No es una idea nueva, tampoco es una distinción en blanco y negro, pero
resume a la mayoría de los recursos en línea "gratuitos" de manera muy sucinta. Si usted no paga una
cuota de suscripción por un servicio o aplicación, dicho servicio se financia monetizando la información que
obtiene sobre usted, sobre su círculo social y sobre sus intereses y preferencias colectivas.
Lamentablemente, no ocurre lo contrario: el hecho de pagar una suscripción por un servicio o un plus para
acceder a una versión "sin publicidad" de un servicio no garantiza que nuestros datos personales no serán
recogidos y monetizados.

En casi todos los casos, cada vez que miramos una página en Internet, a alguien le interesa mostrarnos un
2
anuncio. El costo de entregar un anuncio en Internet es muy bajo en comparación con otros mecanismos
como los carteles publicitarios, los diarios y las revistas. Esto significa que los consumidores y los
anunciantes que desean llegar a los mismos pagan por la mayor parte del contenido “gratuito” disponible en
Internet –y dejan un buen margen de ganancia... para alguien. Por ejemplo, en 2012 Google tuvo ganancias
de casi USD $11,000 millones, la enorme mayoría en concepto de colocación de anuncios.

Este trueque de ojos a cambio de servidores, redes y contenido es el intercambio económico sobre el cual
se sustenta la mayor parte de Internet. Esto no es ningún secreto; sin embargo, pocos usuarios de Internet
se concentran en el intercambio, antes que en la comodidad de los servicios que desean. Menos todavía
modifican su conducta en línea debido a las preocupaciones que le genera el intercambio.

Pero desde el punto de visa de los comerciantes, Internet ofrece tanto oportunidades como desafíos. La
oportunidad es que Internet permite acceder de forma directa y barata a consumidores receptivos. El
desafío es que hay tanta información en Internet que puede ser difícil separar a los consumidores receptivos
del resto. Antes, los anunciantes tenían una buena idea de quiénes leían la revista “Novia Moderna” y de lo
que iban a comprar durante los meses siguientes. Pero para maximizar el retorno de Internet se requiere
una visión más holística del consumidor, que ahora se encuentra en un mercado global mucho más diverso.
Cuando Facebook vende a un anunciante un lugar en una de sus páginas, el valor de ese lugar puede ser
tremendamente alto o prácticamente inexistente –todo según quiénes estén mirando la página, sus
intereses y si están predispuestos o no a comprar lo que se ofrece. Para los anunciantes y los editores que
colocan sus anuncios, esto representa un fuerte incentivo para averiguar tanto como sea posible sobre su
público. Esto les ayuda a identificar las características demográficas, el idioma, el producto y el momento

                                                                                                           
2     Si  en  este  momento  no  le  están  mostrando  un  anuncio,  puede  que  estén  recogiendo  información  sobre  usted  y  sus  intereses  para  alguien  
más...  que  desea  mostrarle  un  anuncio  o  venderle  un  producto  o  servicio.
 

9 WWW.INTERNETSOCIETY.COM
 
  

apropiados, además de todos los demás factores que determinan si un presupuesto de marketing se gastó
con éxito o si simplemente se desperdició.

Como ya mencionamos, incluso si un usuario paga por un servicio, esto no significa que no lo rastrearán.
Algunos servicios web lo hacen para todos los usuarios, simplemente por costumbre o porque resulta más
barato rastrear a todos antes que buscar la forma de hacerlo selectivamente. Otros están intentando ganar
incluso más dinero, igual que una revista o un canal de televisión por los cuales pagamos pero de todos
modos incluyen publicidad. Puede que un sitio no nos esté mostrando ningún anuncio, pero aun así puede
que esté vendiendo información sobre lo que estamos haciendo a otra persona –y ese tercero podría querer
mostrarnos un anuncio.

Se trata de fuerzas poderosas: el deseo de los anunciantes de personalizar los anuncios según el público, el
deseo de los editores de cobrar el monto más alto posible por mostrar a alguien un anuncio, y el incentivo
de rastrear al comprador y maximizar la rentabilidad. Estas fuerzas crean un enorme incentivo para recoger,
minar, revender y monetizar los datos sobre los consumidores, y alimentan un motor comercial sobre el cual
el consumidor individual tiene poca o ninguna influencia.

3. ¿Quiénes me están siguiendo y cómo lo hacen?

“Hay datos por todas partes. Los datos existen.

Simplemente estamos colocándolos a todos en un mismo lugar…”

~ Fahad Hassan de “Always Prepped”, noviembre de 2012

Para comprender mejor el tema de las huellas digitales, es útil conocer quiénes son los principales actores
que están recogiendo datos de nuestras huellas y siguiéndonos por Internet. En este trabajo nos
limitaremos al caso de uso comercial.

En el mundo de la publicidad y el rastreo en línea hay tres actores principales que trabajan juntos para
3
rastrear a los usuarios y crear perfiles compuestos: los anunciantes, los agregadores y los editores.

Aquí, “editores” se refiere a las empresas que publican anuncios en línea, para lo cual combinan anuncios
con el contenido de diferentes páginas web, juegos, etc. Todas las revistas en línea están comprendidas en
esta categoría, al igual que todos los buscadores, las plataformas para la publicación de blogs y millones de
otros sitios que ofrecen un vehículo para la publicación de anuncios junto a su contenido.

“Anunciantes” se refiere a las empresas que comercializan productos y servicios. Son quienes tienen algo
que nos quieren vender.

                                                                                                           
3  A  los  agregadores  algunas  veces  también  se  les  llama  brokers  de  datos.
 

10 WWW.INTERNETSOCIETY.COM
 
  

En muchos casos, los anunciantes trabajan directamente con los editores. Por ejemplo, sabiendo que este
es un fuerte mercado objetivo para su producto, un fabricante de automóviles podría pedir a un periódico en
línea que publique anuncios de su último modelo en el sitio de noticias para usuarios que se encuentran en
Italia. También está la parte del ecosistema que quizás nunca haya visto.

Cuando los anunciantes quieren ser incluso más específicos aparecen los agregadores y brokers de datos,
empresas con nombres que seguramente nunca haya escuchado, como BlueKai, Gravity, Rio, OutBrain y
Dataium. Los agregadores de datos (supuestamente) recopilan información anónima de sus socios y la
utilizan para dirigir los anuncios al público más apropiado.

Veamos dos ejemplos de cómo se utilizan las cookies para rastrear a los usuarios. Google News
(news.google.com) es un agregador de noticias que proporciona enlaces a las principales noticias tomadas
de miles de fuentes. Si un usuario que no tiene ninguna relación con Google abre la página, verá las
principales noticias personalizadas de acuerdo con su ubicación actual (por ejemplo, “Santiago, Chile”)
determinada sobre la base de su dirección IP. En ese momento, Google News también colocará una cookie
de seguimiento en su navegador, y el navegador guardará esa cookie en su dispositivo. El trabajo del
navegador consiste en enviar la cookie nuevamente al sitio web cada vez que el usuario regresa al sitio o
que solicita otra página de ese sitio.

Si un usuario hace clic en una noticia que se encuentra en la página de Google News pero esa noticia está
alojada en otro sitio web, su el navegador abre otra ventana para mostrarla. Luego el navegador se conecta
nuevamente a Google News y envía la cookie de seguimiento junto con la URL de la noticia solicitada. De
este modo, Google News tiene información de cada una de las noticias en las cuales hacemos clic, todas
relacionadas mediante la cookie de seguimiento original de Google News.

Las cookies están asociadas a los nombres de dominio. Cuando Google News envía una cookie a nuestro
navegador, utiliza el nombre de dominio comodín “*.google.com” y no el nombre más específico
“news.google.com”. Esto significa que la cookie de seguimiento se devuelve a cualquier sitio web que
termine en “google.com”, no solo a Google News, sino a todos los servicios de Google.

Al abrir la noticia solicitada, el sitio web del servicio de noticias sabe que la solicitud se originó en Google
News (porque su navegador también envía esta información, el origen o “Referer”). Aunque el sitio web del
servicio de noticias no recibe la cookie de seguimiento de Google News, generalmente envía sus propias
cookies de seguimiento al navegador del usuario. Y si alguna de esas páginas web tiene anuncios de uno o
más terceros, estos terceros también enviarán sus propias cookies de seguimiento.

Por ejemplo, (en el momento en de realizar la investigación para este trabajo) si un usuario hacía clic en una
noticia del sitio BBC News, su navegador recogía una docena de cookies o más de la BBC, un par de
atdmt.com y varias de doubleclick.net, mediaplex.com y revsci.net.

En teoría, cada sitio web funciona de manera independiente y el navegador solo debería devolver las
cookies al sitio web que las colocó. Esto significa que las cookies de Google News no deberían estar
disponibles para la BBC, ni las de la BBC para doubleclick.net. No obstante, los diferentes sitios web se
pueden comunicar de otras formas, tanto a través del navegador del usuario dejando pistas para otros sitios

11 WWW.INTERNETSOCIETY.COM
 
  

(como por ejemplo en la URL o cookies colocadas para otros dominios) o simplemente a través de un
proceso de intercambio de información independiente.

Hasta aquí, los sitios web que utilizamos tienen mucha información sobre nuestros intereses, o al menos
sobre las noticias que leemos, pero en realidad no tienen ninguna información sobre quiénes somos ni
sobre cuál es nuestro perfil. Pero incluso una cantidad limitada de información puede permitir que alguien
adivine nuestra edad, sexo, ingresos y otros detalles.

Hasta el momento solo hemos analizado un

ejemplo en el cual un usuario lee una noticia sin
autenticarse ante ninguno de los sitios web
involucrados. Ahora agreguemos un poco más de
profundidad. Esta vez, supongamos que lo
primero que el usuario hizo fue iniciar una
sesión en una cuenta que creó en uno de sus
sitios favoritos.

Por ejemplo, supongamos que creó una cuenta en

un sitio para fanáticos de los deportes de
motor, y que allí se identificó como una mujer de
32 años de edad que vive en Colorado, Estados Unidos. El sitio de deportes coloca una cookie en su

12 WWW.INTERNETSOCIETY.COM
 
  

navegador web –igual que en el caso anterior–, pero esta vez también deja una cookie de un tercero con
datos para el agregador. Se trata de una cookie que deja un sitio web, pero que contiene la URL (“dirección
de remitente”) de un tercero –en este caso, el agregador. En este caso, el sitio de deportes contribuye la
información que conoce a partir de su perfil: “la cookie #117555 identifica a una persona de sexo femenino,
de 32 años de edad, de Colorado, Estados Unidos, a quien le interesan los deportes de motor”. Como en el
ejemplo anterior, las cookies son apenas una de las formas en que las dos partes podrían intercambiar esta
información.

Cualquier otro sitio que inserta contenido del mismo agregador podría utilizar el mismo mecanismo: una
posterior visita a un sitio de servicios financieros podría generar información adicional, permitiendo que el
agregador ahora sepa que la cookie #117555 buscó información sobre tasas de interés, y un tercer sitio web
podría agregar que la cookie #117555 buscó el mejor precio para la comida de bebé.

El agregador reúne todos estos datos, los filtra, y asigna a los usuarios a diferentes perfiles en base a
decenas de criterios diferentes: su edad, ingresos, hábitos de compra, sexo, ubicación, intereses o cualquier
otro que desee. Los agregadores trabajan junto con los editores para clasificar a los visitantes en diferentes
categorías, y luego ofrecen a los anunciantes la posibilidad de acceder a esos “ojos”. Luego, cuando el
fabricante de un nuevo asiento infantil para automóviles deportivos desee llegar a potenciales clientes, la
próxima vez que vaya a un sitio web afiliado con el agregador, la cookie #117555 verá el anuncio
correspondiente.

Para algunos grandes editores, los trabajos de agregación y publicación son manejados por la misma
empresa. Los agregadores tienen muchos datos de muchas personas: a principios de 2013, BlueKai tenía
información sobre 85 millones de usuarios únicos, mientras que OutBrain ofrecía hasta 364 millones y Rio
decía tener casi 500 millones.

La hipótesis de que las cookies de seguimiento de terceros son anónimas es muy discutida. Aunque la
mayoría de los agregadores se esfuerza para no almacenar información que identifique directamente a una
persona, las investigaciones realizadas han demostrado que esto no ofrece demasiada protección. Para
rastrear un conjunto de eventos en Internet hasta una persona real solo se necesitan unos pocos puntos de
datos, especialmente si se incluye la ubicación –y esto permite seguir a esa persona real tanto hacia el
pasado como hacia el futuro.

Mayormente, las huellas digitales son utilizadas en un contexto comercial por empresas que desean
ofrecernos sus productos y servicios. En este contexto, el resultado visible es en general inocuo pero
levemente inquietante –la impresión de que alguien nos está siguiendo e intentando vendernos cosas que
se adaptan perfectamente a nuestros intereses. Pero las huellas digitales también pueden resultar en una
pérdida del anonimato, a través del intercambio de información entre terceros que tienen poco respeto por la
privacidad del consumidor.

13 WWW.INTERNETSOCIETY.COM
 
  

Tema 1 – Riesgos

1. ¿Qué problemas pueden ocasionar las huellas digitales?

4
“En Internet, nadie sabe que eres un perro.”

Uno de los principios fundamentales de la Internet Society consiste en maximizar el valor económico y
social de Internet. Quizás haya notado en secciones anteriores de este documento marco es un enfoque en
las huellas digitales como parte del ecosistema comercial de Internet. Uno de los efectos secundarios de las
huellas digitales es la pérdida de la privacidad y el anonimato en línea: desde la perspectiva más amplia de
la Internet Society, esto socava el valor social de Internet.

Al participar en diferentes actividades en Internet, como por ejemplo al compartir en las redes sociales, al
leer y enviar correos electrónicos y mensajes instantáneos y al hacer llamadas telefónicas a través Internet,
vamos dejando pruebas de lo que hemos hecho, de los lugares donde hemos estado, de lo que hemos
estado pensando, de quiénes son nuestros amigos y familiares, y muchas cosas más. Con el tiempo, estas
huellas crecen y pueden llegar a ser enormes.

Las huellas implícitas que vamos dejando también se pueden utilizar para rastrearnos. Además, la
información que compartimos explícitamente en un determinado contexto se puede combinar para crear un
perfil más detallado y completo que atraviese los límites contextuales de lo que hacemos en línea. La
enlazabilidad –lo que en inglés se denomina linkability– tiene implicancias profundas sobre la privacidad.
Una cosa es discutir los detalles de una enfermedad con nuestro médico (con todas las reglas contextuales
que se aplican al caso) y otra muy diferente es ver la misma información publicada en un blog de “dolencias
cómicas del mes”. La capacidad de mantener separados los diferentes contextos cuando así lo deseamos
es una parte fundamental de la privacidad personal, tanto en línea como en la vida real.

En una era de análisis de “big data”, las organizaciones –no solo los gobiernos– pueden analizar enormes
cantidades de datos obtenidos de nuestras huellas y vincularlos a través de múltiples contextos.

Cuando en una página web aparece un anuncio promocionando algo que buscamos dos días atrás en un
sitio diferente, esto indica que alguien ha compartido nuestras actividades con el anunciante. Si nuestra
expectativa era que estos dos contextos se mantuvieran independientes el uno del otro, es probable que
sintamos que nuestra privacidad ha sido violada. Estos ejemplos específicos sobre integridad contextual son
ilustrativos de un problema más amplio.

La Declaración Universal de los Derechos Humanos ofrece a todos el “derecho a la privacidad”, aunque no
5
existe un acuerdo universal sobre cómo funciona la privacidad en Internet. La privacidad y otros derechos
humanos son convenciones sociales –de hecho, son convenciones sociales sutiles y complejas– y la
                                                                                                           
4  La  historieta  de  donde  se  tomó  esta  cita  se  publicó  hace  20  años:  el  30  de  julio  de  1993.
 
5  Ni  siquiera  se  ha  podido  acordar  una  definición  de  lo  que  significa  “privacidad”.
 

14 WWW.INTERNETSOCIETY.COM
 
  

tecnología que se utiliza para entregar servicios en línea es todavía una manera inmadura y rígida de
expresar estas convenciones en nuestras vidas digitales.

Aunque Internet y los servicios comerciales asociados se han desarrollado de una manera determinada, no
debemos asumir que esta es la única manera posible, ni que representa el equilibrio más saludable entre
los beneficios comerciales y sociales. Hay lugar para mejoras –y algunos podrían decir que existe una
necesidad imperiosa de introducirlas.

Por ejemplo, además de la privacidad, las huellas digitales también pueden potencialmente poner en riesgo
los intereses de las personas en otras áreas. Unas de estas áreas es el anonimato. Hay ciertas
circunstancias bajo las cuales las personas se sienten libres de expresarse abiertamente, pero solo en tanto
y en cuanto puedan hacerlo en forma anónima o seudoanónima. Esto se puede ser debido a que lo que
desean decir es demasiado peligroso o sensible para expresarlo en forma identificable. Tal como están las
cosas, no tenemos más remedio que confiar en que los terceros respetarán nuestras preferencias en cuanto
a nuestra privacidad (incluso cuando la mayoría de las veces no tenemos herramientas que nos permitan
expresar tales preferencias).

Es muy poca la información necesaria para rasgar el velo del anonimato. Los vínculos entre las huellas
digitales, las direcciones IP, los números telefónicos, el comercio electrónico y las actividades en línea
permiten atribuir acciones “anónimas” a una identidad real. Muchas veces esta vinculación puede ser
realizada por personas cuyos intereses van en contra de los de la persona que desea permanece anónima.

Cuando los comerciantes comparten entre sí las huellas de sus usuarios con fines publicitarios, la violación
de la privacidad y la reducción del anonimato son, en general, poco más que una molestia. Sin embargo, si
alguien con intenciones oficiales o maliciosas relaciona estas huellas entre sí y las vincula con una
determinada identidad, entonces existe el riesgo real de que las actividades en línea puedan tener graves
consecuencias para la persona en cuestión.

La penetración del anonimato en línea puede ocurrir en ambos sentidos. Por ejemplo, en febrero de 2011,
Aaron Barr, CEO de HBGary Federal, dijo al periódico Financial Times que había utilizado las huellas
dejadas en las redes sociales para identificar a los miembros del grupo de hackers “Anonymous” y que
publicaría sus verdaderos nombres. Antes de que pudiera hacerlo, alguien que dijo ser un representante de
Anonymous vulneró los servidores de su empleador y publicó miles de mensajes de correo electrónico y
otros documentos, lo que provocó importantes pérdidas económicas y de reputación para la empresa matriz
HBGary.

La pérdida de la privacidad y el anonimato reduce la confianza del público en Internet y daña a la

comunidad de Internet en su conjunto.

15 WWW.INTERNETSOCIETY.COM
 
  

2. Diferentes servicios, diferentes rastros...

“Se está subestimando la revolución de los teléfonos inteligentes. Más personas tienen acceso a
teléfonos inteligentes que al agua corriente. Nunca se ha visto nada como esto en la historia del
planeta.”

~ Marc Andreessen, 1 de mayo de 2012, entrevista en Wired Business

(http://en.wikipedia.org/wiki/Marc_Andreessen)

Los rastros que dejan las computadoras portátiles o de escritorio son muy diferentes a los que dejan los
teléfonos inteligentes y las tablets. Los teléfonos modernos (y las tablets, dispositivos estrechamente
relacionados con los mismos) han evolucionado como criaturas del ecosistema de la Internet moderna y,
por lo tanto, su funcionamiento suele crear huellas más indiscretas.

Un navegador web estándar es muy diferente de las aplicaciones (“apps”) que utilizan los smartphones y
lasa tablets. Las aplicaciones se conectan directamente a los servicios en Internet (de hecho, también a
otras aplicaciones o dispositivos) usando interfaces específicas (en contraste con las interfaces mucho más
genéricas que utilizan los navegadores). El desarrollador de la aplicación controla qué información se envía
a otros servicios o dispositivos, y el usuario final solo puede acceder a
este control en la medida que el desarrollador lo permita. En particular, los
dispositivos móviles reducen la capacidad de los usuarios de conectarse
en forma anónima.

Dado que generalmente los teléfonos inteligentes pueden detectar la

ubicación, es fácil para los servicios etiquetar las actividades del usuario
con su ubicación; muchas veces los servicios de localización están
habilitados por defecto, o bien las aplicaciones solicitan autorización para
utilizarlos en el momento de su instalación. Luego los datos de
localización se pueden compartir de forma explícita, si la aplicación
obtiene sus datos y los envía al servicio de Internet, o implícitamente, por
ejemplo, si las imágenes y videos que sube fueron etiquetados con la
ubicación y la fecha en que fueron tomados.

Además, los teléfonos inteligentes fueron diseñados para ser dispositivos

muy personales, no para ser compartidos entre amigos y familiares. Con
un número de serie único dentro de cada teléfono (como por ejemplo el
6
IMEI ), los smartphones pueden vincular la identidad real que el usuario
proporcionó al operador de telefonía móvil con todas
                                                                                                           
6   Identidad  Internacional  de  Equipo  Móvil  (IMEI)  -­‐  Definido  como  una  norma  internacional,  el  IMEI  es  un  número  único  que  el  fabricante  
rd
programa  en  cada  teléfono.  Se  supone  que  el  IMEI  es  permanente  y  no  puede  ser  modificado  por  el  usuario  final.  (3  Generation  Partnership  
Project  TS  22.016,  http://www.3gpp.org/  
 

16 WWW.INTERNETSOCIETY.COM
 
  

sus actividades en Internet, acercando así el mundo físico al virtual. Dado que ahora muchos países
requieren algún tipo de identificación para registrar a los abonados a la telefonía móvil, es muy fácil que un
tercero, como por ejemplo la policía, pueda vincular la actividad en Internet a un teléfono inteligente
determinado y por lo tanto a un usuario determinado.

Obviamente, los dispositivos móviles no son los únicos que identifican a sus abonados. El mismo principio
de autenticación y registro se aplica a los pagos, a los servicios bancarios y a los servicios de Internet, por
lo que es fácil que alguien con acceso a los datos de registro pueda vincular las actividades en línea con las
actividades en el mundo real. Lo que puede diferenciar a ambas es la medida en que las leyes de cada país
controlan la conducta de los proveedores de servicios. Esto se puede hacer mediante normativa sobre
privacidad que se aplique a una industria específica (por ejemplo, a los servicios financieros), o bien al uso
de datos identificables sin importar cuál sea la industria involucrada. También se pueden aplicar ambos
tipos de normativas; por ejemplo, en el Reino Unido hay leyes generales sobre el procesamiento de los
datos personales y, además, reglamentaciones específicas para los servicios financieros.

Conscientes del potencial abuso de estas características, los proveedores de teléfonos inteligentes
generalmente implementan al menos controles para determinar si los datos de localización se comparten o
no, y para bloquear el uso de identificadores específicos del dispositivo por parte de las aplicaciones. Sin
embargo, algunos controles sobre la información sensible se basan en la configuración a nivel de
dispositivo, mientras que otros lo hacen a nivel de aplicación. Estas capacidades varían considerablemente
dependiendo de la plataforma que utiliza cada teléfono; lo mismo ocurre con la facilidad con la cual un
usuario promedio puede descubrir y gestionar estos controles.

Pero una vez que un usuario empieza a tomar fotografías con etiquetas, o que durante la instalación
autoriza a una aplicación para que acceda a la información de localización, rara vez vuelve a revisar el
permiso otorgado. Puede que una aplicación, por única vez, pregunte “puedo usar su ubicación”, pero no
nos recuerda periódicamente que le hemos dado ese permiso. Y no todas las aplicaciones se portan bien, ni
todos los sistemas operativos están libres de defectos. Incluso un cliente diligente que periódicamente
revisa sus preferencias de privacidad está compartiendo más información de la que autorizó. Por ejemplo, el
solo hecho de encender un teléfono móvil permite que el operador localice el teléfono con un cierto grado de
precisión. Además, si otra persona nos “etiqueta” en una fotografía que luego publica en una red social,
nuestro amigo acaba de compartir la ubicación donde nos encontrábamos en una determinada fecha y hora
–incluso si nuestro propio teléfono está apagado.

En algunos casos, es el proveedor del dispositivo quien puede tener acceso a información privada y
sensible que se encuentra en el teléfono. Por ejemplo, en junio de 2013 un investigador descubrió que la
plataforma de servicios “Blur” de Motorola almacenó información de perfil, credenciales, tráfico y estado de
los teléfonos Motorola que utilizaban el sistema operativo Android –con actualizaciones automáticas del
7
teléfono cada vez que el usuario modificaba una configuración.

                                                                                                           
7   Lincoln,  Ben,  “Motorola  is  Listening”,  recuperado  el  4  de  julio  de  2013,  
http://www.beneaththewaves.net/Projects/Motorola_Is_Listening.html  
 

17 WWW.INTERNETSOCIETY.COM
 
  

En la práctica, las acciones de muchas otras entidades pueden afectar la privacidad de una persona. La
lista a continuación es solo para el caso de utilizar un dispositivo móvil:

§ El proveedor del dispositivo o teléfono

§ El desarrollador de la aplicación

§ El operador de red

§ El desarrollador del sistema operativo

§ El proveedor del servicio de Internet (ISP)

§ Un proveedor de servicios en línea (por ejemplo, un minorista, una red social)

§ Un amigo/conocido... o sus aplicaciones

§ Otro dispositivo

Los usuarios de computadoras portátiles y de escritorio dejan huellas fundamentalmente a través de sus
navegadores. Los controles comparativamente maduros que ofrecen los propios navegadores o el uso de
plug-ins complementarios hacen que sea más fácil para el usuario final controlar lo que comparte y eliminar
la información que permite identificarlo, como por ejemplo las cookies, que de otra forma podrían reducir su
privacidad. Las computadoras de escritorio también dejan huellas más “sucias”, ya que a menudo los
usuarios emplean múltiples navegadores y hay una mayor tendencia a compartir los propios dispositivos.

Si bien las computadoras de escritorio tienen una ventaja sobre los teléfonos inteligentes en términos de la
privacidad, puede que esta ventaja no se mantenga por mucho tiempo. Por ejemplo, a medida que la
experiencia que ofrecen los teléfonos y las tablets va generando expectativas entre los usuarios, hay
demanda por sistemas operativos como Windows 8 que funcionan más como un teléfono inteligente que
como una computadora 'tradicional' –con el mismo potencial de pérdida de control y privacidad por parte del
usuario.

Preocupados por los rastros digitales que dejan sus teléfonos inteligentes, los usuarios de Internet deben
asumir un papel activo en la gestión de la configuración de su privacidad. La tarea de monitorear y controlar
cuidadosamente la privacidad implica un costo significativo y puede ser más compleja de lo que muchos
usuarios de teléfonos inteligentes suponen. Como consumidores y usuarios, nuestro desafío consiste en
reconocer el valor de la información personal y la privacidad: solo podremos tomar decisiones apropiadas y
sustentables si ajustamos nuestros valores y, como resultado de ello, nuestra conducta.

18 WWW.INTERNETSOCIETY.COM
 
  

Tema 1 – Contexto

1. ¿Qué dinámicas operan en el mundo de las huellas

digitales?
“Espero que usemos la red para atravesar barreras y conectar culturas”

~  Tim  Berners-­‐Lee,  (http://en.wikipedia.org/wiki/Tim_Berners-­‐Lee)  

El mundo virtual ha penetrado tanto nuestras vidas que muchas veces es difícil desenmarañar las dinámicas
que determinan su comportamiento. No obstante, hay tres temas que se destacan del resto: la dinámica
cultural, la dinámica económica y la dinámica de la comodidad.

Aunque se pueda acceder a los mismos desde cualquier lugar del mundo, todos los servicios en línea
deben originarse en algún sitio, y esto muchas veces les infunde una perspectiva cultural particular. Cada
país trae a Internet sus propias normas culturales, sus propios modelos jurídicos y regulatorios, y sus
propios marcos económicos. Como recurso global, Internet se ha convertido en un fascinante estudio de
contrastes.

Las huellas digitales, que tocan los temas de la privacidad personal, el intercambio de datos, el control por
parte del usuario final y el anonimato, produce diferentes reacciones en los diferentes grupos que forman
parte de Internet. Lo que es aceptable y habitual para un grupo, muchas veces es inaceptable e inusual
para otro. Esto forma parte de la naturaleza de Internet.

Para algunos, la respuesta parece sencilla: si no le gusta el modelo de un determinado servicio en Internet,
escoja un servicio alternativo. Los usuarios finales pueden votar con sus clics, evitando los servicios que no
satisfacen sus expectativas.

Sin embargo, este consejo solo funciona si se cumplen dos condiciones:

§ primero, los usuarios de Internet deben ser conscientes de las implicancias de la privacidad y de
la protección de los datos en todos los servicios que utilizan; y

§ segundo, realmente se debe poder escoger entre una variedad de servicios.

Nuestra experiencia colectiva indica que estas dos condiciones no siempre se cumplen. No todos los
usuarios de Internet saben cómo cada servicio comparte su información, no todos los servicios se pueden
reemplazar por otro, y algunas veces las alternativas presentan los mismos inconvenientes.

Incluso los usuarios de Internet que controlan activamente sus huellas digitales no tienen más opción que
confiar en un conocimiento imperfecto. Algunas veces es un resultado directo de las opciones del proveedor
del servicio. Por ejemplo, a una red social le conviene alentar a sus usuarios para que ignoren el hecho de
que todo lo que hacen dentro de su círculo social es inspeccionado y monetizado por un tercero. La

19 WWW.INTERNETSOCIETY.COM
 
  

dinámica económica incentiva fuertemente a los proveedores de servicios para que recopilen datos y no les
proporcionen a los usuarios toda la información sobre este aspecto de los mismos.

Y aunque Internet es increíblemente diversa, no siempre hay una variedad de servicios disponibles. En
algunas áreas como las redes sociales, incluso si hay otros servicios alternativos disponibles, puede que
estos otros servicios no sean atractivos. Por ejemplo, una red social no tendrá ningún atractivo si ninguno
de nuestros amigos la utiliza.

Por último, está la dinámica de la comodidad. La mayoría de las personas preferimos usar algo que sea
cómodo aunque erosione un poco la privacidad, antes que un producto que nos haga la vida más difícil.
Nuestra preferencia por la opción más “cómoda” se refuerza si no vemos ninguna prueba de que nuestra
privacidad está siendo socavada. Al igual que muchas otras conductas humanas (fumar, comer comidas
excesivamente grasas, una mala postura), si nuestras acciones no producen un daño visible de inmediato,
tendemos a pensar que estas acciones son inofensivas. La combinación de la comodidad y la falta de daño
aparente nos atrae hacia hábitos que socavan la privacidad. Al igual que lo que ocurre con cualquier otro
hábito, las posibilidades de modificar nuestra conducta dependen del valor que le asignemos a nuestra
privacidad con relación a las alternativas más “cómodas”.

No existe ninguna respuesta sencilla. El primer paso consiste en reconocer los diferentes modelos
culturales involucrados, y comprender que los usuarios de Internet llegan a la mesa con diferentes
antecedentes, expectativas y valores. Una discusión abierta entre todos los actores relevantes puede
ayudar a educar sobre estos temas tanto a los usuarios finales como a los proveedores de servicios. No
obstante, en última instancia, depende de nosotros como individuos el ser claros sobre nuestras elecciones,
sobre los valores que estas elecciones representan, y sobre los resultados a los cuales nos enfrentaremos
como resultado de las mismas.

2. ¿Cómo afecta la legislación a las huellas digitales?

“La gente buena no necesita leyes que les digan cómo actuar responsablemente, mientras que la
gente mala encontrará la manera de esquivar las leyes.”

~ Platón

Aunque Internet es global, las leyes sobre privacidad no lo son.

La mayoría de las leyes y normas sobre privacidad se enfocan en “los datos personales” o “la información
personal”, que muchas veces se definen como “información relacionada con una persona identificada o
identificable”. No obstante, las definiciones varían y continúan evolucionando. Por ejemplo, existe una
creciente conciencia del potencial impacto sobre la privacidad de cualquier información que se pueda utilizar
para individualizar o tratar a una persona de una manera diferente, incluso si no es posible identificarla.

20 WWW.INTERNETSOCIETY.COM
 
  

Es por ello que existen propuestas para explicitarlo, ya sea a través de la legislación sobre privacidad o
8
mediante materiales explicativos . En combinación con los avances en la vinculación, el almacenamiento, la
recuperación, la correlación y el análisis de la información, probablemente una cantidad cada vez mayor de
datos y categorías quedarán comprendidos dentro del alcance de las leyes de protección de datos.

En términos generales, las leyes de privacidad y protección de datos solo se aplican a la información sobre
personas vivas, aunque algunos países extienden el alcance de la ley a la información sobre personas
9
fallecidas . Cuanto más “digitales” y en línea sean nuestras vidas, más relevante será el tema de la gestión
del “legado digital” de una persona después de su muerte.

Algunos países tienen leyes diseñadas para proteger ciertas clases de datos predefinidas que
tradicionalmente se consideran más sensibles, entre ellas los registros médicos, los datos financieros y los
identificadores emitidos por el gobierno. Sin embargo, estas leyes fueron desarrolladas en un tiempo en que
los límites entre las clases de datos parecían ser más claros. Por ejemplo, ¿los resultados de una búsqueda
sobre “gripe” deberían ser considerados como datos médicos? ¿Y qué pasa si buscamos “¿tengo VIH?” o
“¿estoy embarazada?”

El Artículo 12 de la Declaración Universal de los Derechos Humanos, el Artículo 8 del Convenio Europeo
para la Protección de los Derechos Humanos y de las Libertades Fundamentales, y los Artículos 11 y 14 de
la Convención Americana sobre Derechos Humanos se refieren al derecho a que la privacidad o la vida
privada de las personas sean respetadas, pero no hay ninguna ley de privacidad o de protección de datos
que se aplique universalmente alrededor del mundo: no existe ningún conjunto de reglas de procesamiento
de los datos que abarque a todos los servicios y usuarios de Internet.

10
Existe un consenso internacional bastante extendido sobre un conjunto de principios básicos (limitación de
lo recogido, especificación del propósito, limitación del uso, etc.), pero los aspectos prácticos de la ley de
privacidad y su aplicación varían ampliamente según cada país. Algunos países y regiones como Europa y
el Mercosur adoptan un enfoque hacia la protección de los datos y la privacidad que se basa en los
derechos. Otros, aunque no adoptan un enfoque basado en los derechos, han adoptado un enfoque
“integral” hacia la privacidad. Todavía otros países, como por ejemplo Estados Unidos, confían más en
leyes específicas del sector, mejores prácticas autorreguladas y códigos de conducta. Por último, hay
países que no tienen ninguna ley de protección de la privacidad o, si las tienen, estas leyes son apenas
rudimentarias.

Todas estas diferencias aumentan el desafío que implica cerrar la brecha entre las leyes específicas de
cada país y la naturaleza sin fronteras de Internet.

                                                                                                           
8     Por  ejemplo,  el  Artículo  29  de  la  Opinión  WP  8/2012  propone  la  siguiente  definición  para  el  nuevo  marco  de  protección  de  datos  de  la  UE:
“cualquier  información  relativa  a  ‘…una  persona  física  o  jurídica  que  pueda  ser  identificada,  directa  o  indirectamente,  o  señalada  y  tratada  de  
manera  diferente,  por  medios  razonablemente  susceptibles  de  ser  utilizados  por  el  controlador  o  por  cualquier  otra  persona  física  o  jurídica,  
en  particular  por  referencia  a  un  número  de  identificación,  datos  de  localización,  un  identificador  en  línea  o  uno  o  más  elementos  específicos  
característicos  de  su  identidad  física,  psicológica,  genética,  psíquica,  económica,  cultural  o  social’…”    
9     Por  ejemplo,  algunas  partes  de  la  Ley  de  Protección  de  los  Datos  Personales  de  Singapur  de  2012  se  aplican  a  las  personas  que  han  estado  
muertas  por  menos  de  diez  años  (ver  http://statutes.agc.gov.sg/aol/search/display/view.w3p;page=0;query=CompId%3A32762ba6-­‐f438-­‐
412e-­‐b86d-­‐5c12bd1d4f8a;rec=0;whole=yes)    
10          http://oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm  
 

21 WWW.INTERNETSOCIETY.COM
 
  

Para habilitar los flujos transfronterizos y al mismo tiempo proteger la privacidad, algunos grupos de países
han suscrito acuerdos vinculantes o no vinculantes, entre ellos los siguientes:

§ Directrices de la OCDE que regulan la protección de la privacidad y el flujo transfronterizo

11
de datos personales , específicamente la Parte 3

§ Convenio del Consejo de Europa para la protección de las personas con respecto al
12
tratamiento automatizado de datos de carácter personal , específicamente el Capítulo 3

13 14
§ Marco de privacidad y sistema de reglas de privacidad transfronteriza de APEC (un
sistema voluntario basado en la responsabilidad)

15
§ Marcos safe harbor EE.UU-UE y EE.UU.-Suiza

16
§ Normas corporativas vinculantes de la UE (para empresas multinacionales).

Algunas leyes de protección de la privacidad y los datos personales, como la Directiva 2002/58 de la UE
sobre Privacidad y Comunicaciones Electrónicas, se ocupan específicamente de los datos asociados con el
uso de Internet. Algunos de los datos cubiertos por estas leyes pueden no estar comprendidos dentro de la
definición legal de “datos personales”, no obstante lo cual afectan la privacidad, como por ejemplo si se
monitorean nuestros hábitos de navegación.

Sin embargo, si las leyes se refieren a tecnologías muy específicas, una consecuencia involuntaria es que
podrían trasladar la actividad no deseada fuera de su alcance. Por ejemplo, el Artículo 5(3) de la Directiva
de la UE antes mencionada trató de regular las cookies HTTP y otros mecanismos similares (por ejemplo,
cookies flash, almacenamiento DOM) que habían sido identificados como amenazas a la privacidad en el
momento en que se adoptó la Directiva. Contra toda lógica, este tipo de enfoque puede ofrecer a los
proveedores de servicio un incentivo para buscar otros medios –medios no regulados– para controlar o
crear perfiles de sus usuarios, como por ejemplo la recolección de las huellas digitales de los navegadores y
el almacenamiento basado en servidores. Estos medios pueden resultar difíciles (o imposibles) de detectar
para los usuarios. La adopción de las medidas de regulación de las cookies por parte de la Unión Europea
sigue siendo escasa y, posiblemente, ineficaz. Apenas unos pocos países, entre ellos Gran Bretaña,
Francia, Bélgica, Polonia, Italia, España, Suecia y los Países Bajos, están requiriendo activamente que los
sitios web obtengan el consentimiento del usuario para utilizar cookies de seguimiento, pero, incluso en
estos países, son pocos los sitios que han implementado la regulación de una manera que realmente les
otorgue a los usuarios el nivel de control esperado.
                                                                                                           
11  http://oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm  
 
12  http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm  
 
13  http://www.apec.org/Groups/Committee-­‐on-­‐Trade-­‐and-­‐Investment/~/media/Files/Groups/ECSG/05_ecsg_privacyframewk.ashx  
 
14  http://www.cbprs.org
 
15  http://export.gov/safeharbor/  
 
16  http://ec.europa.eu/justice/data-­‐protection/document/international-­‐transfers/binding-­‐corporate-­‐rules/index_en.htm  
 

22 WWW.INTERNETSOCIETY.COM
 
  

Además, hay argumentos a favor de los usos que realmente mejoran la experiencia y/o la seguridad de los
usuarios al navegar (por ejemplo, si se utilizan cookies como parte de un protocolo de autenticación de dos
factores).

Un aspecto crítico de la regulación es el tema del consentimiento. El consentimiento del usuario desempeña
un importante papel en la ampliación de la recolección, el uso y la divulgación de “datos personales” más
allá de lo estrictamente necesario para ofrecer un producto o servicio. Un enfoque consiste en insistir que
las decisiones sean tomadas por el individuo con mayor probabilidad de ser afectado, pero en la práctica
esto puede ser bastante problemático. Los usuarios de Internet:

§ rara vez tienen la información o el nivel de comprensión necesarios para tomar una decisión
informada;

§ muchas veces deben enfrentar opciones que son binarias (es decir, diga “sí” o no obtendrá el
servicio);

§ pueden tener un conocimiento incierto e información incompleta sobre las potenciales

consecuencias de su consentimiento; y

§ cada vez más, se les pide que divulguen datos personales de otras personas, como por ejemplo
cuando un servicio solicita nuestra lista de contactos.

La mayoría de los navegadores de Internet ofrecen a los usuarios la opción de enviar un mensaje a los
sitios web que visitan indicando que no desean ser rastreados. Sin embargo, hasta el momento son
relativamente pocos los sitios que han dicho que honrarán las solicitudes de los usuarios.

En síntesis, el ecosistema de Internet es complejo, por lo que regularlo representa un desafío. No existe un
conjunto único de reglas, ni hay una única definición que especifique cuáles datos se deben proteger.
Regular a nivel de las tecnologías generalmente resulta infructuoso, pero regular las conductas hace que la
legislación tenga una fuerte dependencia cultural y que sea difícil de conciliar con otras jurisdicciones.
Además, el tema del consentimiento del usuario parece sencillo, pero en realidad oculta profundas
complejidades desde el punto de vista técnico y conductual.

Desde una perspectiva realista, no podemos esperar que una única ley resuelva el problema de la
privacidad: seguramente deberemos participar en un proceso de evaluación y ajuste continuo.

23 WWW.INTERNETSOCIETY.COM
 
  

¿Cómo puedo gestionar mis huellas digitales?

“De todos modos tienes cero privacidad. Supéralo.”

17
~ Scott McNealy, 1999

Gestionar nuestras huellas digitales en línea requiere pensamiento, tiempo y esfuerzo. Implica luchar contra
nuestra propia inercia ante las configuraciones por defecto –que son cómodas pero socavan nuestra
privacidad–, y contra los esfuerzos organizados y persistentes de quienes tienen un interés económico e
intentan persuadirnos de sacrificar nuestra privacidad en su propio beneficio. Probablemente la mayoría de
los usuarios tiene poco tiempo y energía para dedicarle a lo que parece ser una tarea secundaria, mientras
que los anunciantes y editores... bueno, es lo único que hacen todo el día, y son bastante buenos en su
trabajo.

En lugar de incluir una guía práctica detallada como parte de este documento marco, primero describimos
cuatro niveles en los que se pueden tomar medidas adicionales y, a continuación, presentamos cuatro
ejemplos más específicos. También incluimos varios enlaces a otras fuentes de consejos más detallados.

1. Mejorar nuestra comprensión de los problemas básicos

La lectura de este documento marco es un buen primer paso. Piense en las implicancias que tiene
el hecho de que todo lo que compartimos en Internet, en mayor o menor grado, pone en riesgo la
18
privacidad. Mire los tutoriales de ISOC sobre identidad digital y privacidad y consulte otras fuentes
19
de material informativo.

2. Desarrollar hábitos de “higiene básica”

La privacidad es contextual. Utilizar diferentes “personas” para diferentes aspectos de nuestra vida
en línea –ya sea utilizar una dirección de correo para el trabajo y otra para los asuntos personales,
o utilizar una tarjeta de crédito para realizar compras en línea y otra para todo lo demás– ayuda a
mantener separadas las diferentes partes de nuestra huella digital. Tenga cuidado con lo que
                                                                                                           
17     Los  ejecutivos  de  Silicon  Valley  tienen  un  maravilloso  historial  de  citas  escandalosas,  por  lo  que  resulta  difícil  detenerse  en  los  pensamientos  
de  Scott  McNealy,  cofundador  de  Microsystems,  siendo  que  también  deberíamos  incluir  los  de  Eric  Schmidt  de  Google  (“Si  hay  algo  que  no  
quieres  que  se  sepa,  tal  vez  no  deberías  estar  haciéndolo”)  y  Mark  Zuckerberg  de  Facebook  (“La  gente  realmente  se  siente  cómoda  no  solo  
compartiendo  más  información  e  información  de  diferentes  tipos,  sino  también  haciéndolo  más  abiertamente  y  con  un  número  mayor  de  
personas.  Esta  norma  social  […]  ha  evolucionado  con  el  tiempo  [...]  nosotros  decidimos  que  estas  serían  las  normas  sociales  de  hoy  y  
simplemente  fuimos  a  por  ellas”).    
18     “Gestione  su  identidad”,  una  serie  de  tutoriales  de  tres  a  cinco  minutos  sobre  identidad  en  línea,  protección  de  la  identidad  y  protección  de  la  
privacidad.  http://www.internetsociety.org/es/gestione-­‐su-­‐identidad    
19     El  Foro  de  Jericó  preparó  una  serie  de  videos  de  cuatro  minutos  titulados  Identity  (http://www.youtube.com/watch?v=6FHGe8yHeQE),  
Operating  with  Personas  (http://www.youtube.com/watch?v=eK4-­‐dh8I_Dk),  Trust  and  Privacy  
(http://www.youtube.com/watch?v=1FFxCkWh9Ho),  The  Bigger  Picture  of  Identity  (http://www.youtube.com/watch?v=Cl_9mlZSshg),  y  
Building  a  Global  Identity  Eco-­‐System  (http://www.youtube.com/watch?v=3aDlAAPd4v0)  que  proporciona  una  buena  base  sobre  el  tema.  
También  hay  varios  documentos  disponibles  a  través  de  la  Red  Iberoamericana  de  Protección  de  Datos:  
http://www.redipd.org/documentacion/areastematicas/index-­‐ides-­‐idphp.php  
 

24 WWW.INTERNETSOCIETY.COM
 
  

comparte a través de las redes sociales y en otros sitios –es probable que esos datos sean más
públicos y persistentes de lo que piensa.

3. Convertirnos en usuarios sofisticados de las herramientas y servicios en línea

Muchas veces, las configuraciones por defecto de los navegadores, dispositivos y aplicaciones
favorecen la divulgación de la información personal antes que su resguardo. Vale la pena tomarnos
el tiempo de investigar estas configuraciones para estar seguros de que nos sentimos cómodos con
las mismas, del mismo modo que vale la pena revisar si hemos trabado las ventanas antes de salir
de casa. Cuando una aplicación solicita permiso para enviarle notificaciones automáticas –es decir,
notificaciones push– y utilizar sus datos de ubicación, tómese un momento para pensar si esto es
realmente lo que desea. Las cámaras y teléfonos inteligentes generalmente registran la fecha, la
hora y la ubicación en cada fotografía. Al compartir estas fotos, a menos que específicamente lo
bloqueemos, puede que estemos publicando toda esta información.

4. Encontrar y utilizar herramientas específicas para mejorar la privacidad

Existen muchas herramientas para mejorar la privacidad, especialmente para los navegadores.
Estas herramientas se pueden usar no solo para proteger áreas específicas de nuestra huella
digital, sino también para mantenernos al tanto y comprender qué es lo que están buscando los
20
proveedores de servicios.

Sobre la base de este enfoque de diferentes niveles, a continuación presentamos algunos consejos que
podrá poner en práctica de inmediato.

Gestionar las cookies: Busque qué configuraciones para cookies tiene su navegador; encuentre y observe
la “tienda de cookies”. Piense cuántas de las cookies que contiene fueron colocadas por sitios que ni
siquiera sabía que había visitado... y luego fíjese si su navegador permite bloquear cookies de terceros.
Aunque algunos navegadores permiten hacerlo, muchos usuarios instalan plug-ins complementarios para
ayudarles a controlar las cookies de seguimiento.

Revise su configuración de privacidad: Borrar las cookies no es suficiente. Como usuarios de Internet,
también debemos tomar el control de la información que deseamos compartir en cualquier servicio público,
especialmente en los servicios explícitamente abiertos como las redes sociales, los blogs y los sitios para
fotografías. Al igual que lo que ocurre con cualquier información privada, evitar la exposición es más fácil
que la tarea casi imposible de borrarla una vez que se hace pública. Verifique qué permisos se aplican a las
fotografías que sube, y considere expresar sus preferencias a través de mecanismos como las licencias de
Creative Commons.

                                                                                                           
20     Abine  (www.abine.com)  ofrece  herramientas  para  añadir  privacidad  a  la  navegación  web,  entre  ellas  DoNotTrackMe,  DeleteMe  y  MaskMe.  
TrackMeNot  (http://cs.nyu.edu/trackmenot/)  es  una  extensión  para  navegadores  que  introduce  ruido  y  ofuscación  para  ayudar  a  proteger  a  
los  servidores  web  contra  la  vigilancia  y  el  profiling  de  datos.  Ghostery  (www.ghostery.com)  informa  a  los  usuarios  qué  información  de  
seguimiento  hay  en  su  navegador  y  en  las  páginas  web,  y  bloquea  ciertos  tipos  de  seguimiento.  Collusion  (https://www.mozilla.org/en-­‐
US/collusion/)  es  un  complemento  experimental  de  Firefox  que  permite  que  los  usuarios  vean  quién  los  está  siguiendo  a  través  de  Internet.  
Esta  lista  es  apenas  un  punto  de  partida  para  los  lectores;  hay  muchas  otras  herramientas  disponibles.
 

25 WWW.INTERNETSOCIETY.COM
 
  

Comprender lo que realmente ocurre cuando compartimos datos: Una vez que compartimos algo,
prácticamente en cualquier contexto, ya no podemos “des-compartirlo”. Y una vez que visitamos un sitio o
creamos una cuenta, puede que ya no podamos borrar nuestras huellas. Incluso si un servicio promete
privacidad, siempre existe la posibilidad de que se produzca una violación involuntaria.

Los usuarios de Internet también debemos comprender que nuestro deseo de privacidad crea un conflicto
con muchos proveedores de servicios, como por ejemplo las redes sociales. Una red social solo es útil
cuando sus participantes comparten información ampliamente. Las redes sociales hacen que sea fácil
compartir y difícil mantener la privacidad. El tejido que forman las redes sociales, los sitios para compartir
fotografías, los blogs y microblogs, las herramientas para acortar URL, y los servicios de republicación crean
una gran barrera que impide que el usuario pueda controlar su propia información.

Aquí no existe ninguna solución mágica... pero pensar seriamente en lo que ocurre cuando compartimos
nuestros datos es un buen primer paso para reevaluar el valor que tiene para nosotros la privacidad.

Busque las herramientas y la motivación necesarias para tomar mejores decisiones: Tener en cuenta
el contexto de las diferentes actividades en Internet, tales como “trabajo”, “personal”, “social”, “familia” y así
sucesivamente, permite a los usuarios de Internet aumentar su control utilizando diferentes herramientas de
software y diferentes objetos del mundo real (como por ejemplo diferentes tarjetas de pago y diferentes
teléfonos) para crear fronteras y limitar la información que se puede vincular. Aunque estas técnicas pueden
ser eficaces, también suelen ser difíciles de cumplir.

En definitiva, una buena privacidad es como una buena alimentación o una buena postura. Los mejores
resultados se obtienen cuando estamos motivados para abandonar los comportamientos que no favorecen
la privacidad y adoptar conductas que sí lo hacen como algo natural y habitual. Esto significa asignar a
nuestra privacidad y a nuestros datos personales un valor que algunas veces será mayor que nuestro deseo
de comodidad o de utilizar una aplicación tentadora pero que podría comprometer nuestra privacidad... igual
que nuestra preferencia por una alimentación sana a veces debe sobreponerse a nuestro deseo de comer
tocino frito.

Reflexionar sobre estas palabras de un ex subdirector del FBI puede ofrecer una buena lección:

“Buena suerte al tratar de comunicarse en este mundo sin dejar el rastro de un escape digital; eso nunca
ocurrirá.”

~ Philip Mudd, junio de 2013

Observemos que la primera metáfora que le vino a la mente en forma espontánea fue la del escape... el
subproducto tóxico de nuestra preferencia por la comodidad que ofrece el motor de combustión interna.

   

26 WWW.INTERNETSOCIETY.COM
 
  

Internet Society
Galerie Jean-Malbuisson, 15
CH-1204 Geneva
Switzerland
Tel: +41 22 807 1444
Fax: +41 22 807 1445
www.internetsociety.org

1775 Wiehle Ave.

Suite 201
Reston, VA 20190
USA
Tel: +1 703 439 2120
Fax: +1 703 326 9881
Email: info@isoc.org

bp-digital footprints-0114-en

27 WWW.INTERNETSOCIETY.COM