Seguramente en las últimas semanas has recibido, al igual que la mayoría de usuarios de casi cualquier servicio de Internet, decenas (o hasta cientos, literalmente) de correos acerca de actualizaciones en políticas de uso y privacidad. ¿La razón? La entrada en vigor del GDPR o General Data Protection Regulation, el día 25 de Mayo de este 2018. Y aunque los recientes escándalos de Facebook, Cambridge Analytica y otros sucedieron recientemente eso solo fue pura coincidencia. Algunos usuarios llegaron incluso a quejarse de la cantidad de mensajes recibidos al respecto y es que por ley, los proveedores de servicios con clientes o usuarios en la Unión Europea (que es la jurisdicción que diseño la regulación) debían informar a estos. Parecería un tema al cual no deberíamos darle importancia estando en México pero varios acontecimientos recientes personales me dieron la idea sobre este post; por un lado, recibir la información de seguro social de una persona que no conozco en mi correo y por otra el hecho de que Telcel no respeta el derecho a la privacidad.
Mi sensación sobre el GDPR en semanas pasadas
Exposición de datos por imprudencia
Recientemente recibí un correo en mi bandeja de entrada con el título «Número de Seguridad Social asignado» lo cual me pareció extraño pues en ningún momento hice dicha solicitud. No es raro para mi recibir correos dirigidos a otras personas con mi nombre, al parecer soy particularmente popular (u ordinario y común) en Sudamérica pues al menos una vez por semana recibo correos dirigidos a Gustavo Rubio de Venezuela, Colombia o Argentina.
Entre los datos que recibo están: facturas, recibos o simples mensajes. Usualmente simplemente los elimino pero esta vez, al darme cuenta que el correo era auténtico del Instituto Mexicano del Seguro Social decidí abrirlo para revisarlo. Me llevé una sorpresa cuando vi lo siguiente:
Pero no acababa ahí, el correo contenía adjuntos dos archivos PDF:
Como se puede ver en las imágenes los documentos recibidos contienen información personal de mi tocayo. Desconozco si podría usar estos datos en alguna manera que perjudicara el historial de trabajo de esta persona como sucede con los números sociales de Estados Unidos pero lo que si se es que tengo en mi poder información personal importante que no debería tener y que por supuesto ya eliminé de mis archivos.
El patrón más común que encuentro cuando recibo este tipo de correos es alguien utilizando mi dirección personal de correo de GMail pensando que es suya, supongo. Haber recibido esta información me llevó a investigar un poco más y me dirigí al sitio del IMSS para solicitar mi número de seguro social e investigar un poco. Y bueno, ¿Qué se nos pide para enviarnos dicha información? Pues solo lo siguiente:
- CURP
- Correo electrónico
Es decir, si averiguo el CURP de alguien puedo enviarme sus datos de seguridad social a mi correo, así de simple. Y conseguir el CURP de alguien es bastante trivial; solo necesitamos saber su fecha de nacimiento, nombre y entidad de nacimiento, datos que la mayoría expone en redes sociales.
Acto seguido hice lo obvio: ingresar mi CURP y mi correo electrónico de GMail. Oh sorpresa:
¿Por qué el IMSS ligó mi correo electrónico a otra persona? Y, peor aun, ¿Por qué envían datos sensibles sin confirmar que la persona que los está requiriendo es quien dice ser? Este caso no me extraña pues es bien sabido que las secretarias de gobierno e instancias burocráticas tienen a los programadores e ingenieros mas imbéciles o contratan a los peores proveedores de tecnología. Un esquema donde se deba confirmar la persona o el correo ya sea por teléfono u otro medio como requerir registrar nuestro correo en el sistema del IMSS evitaría esto pero supongo que ninguno de los analistas, administradores de proyectos y programadores que seguramente costaron cientos de millones para desarrollar la plataforma de gobierno pensó en esto.
Este es un caso típico de imprudencia al diseñar el producto y como comenté, si bien podría haber sido por falta de atención a los detalles me parece que no los exime de la (gran) responsabilidad.
Exposición de datos con alevosía y ventaja
El caso del Telcel es aun más simple pero no menos peligroso y particularmente no relacionado a lo del IMSS. Hace una semana aproximadamente decidí dejar Movistar (tema para otro post) y el proceso era mas o menos el siguiente:
- Darme de baja con Movistar
- Migrar mi número con el PIN provisto a Telcel
- Entrar en plan de pre-pago
- Moverme o «subirme» a un plan de post-pago (contrato)
La verdad es que no pensé que este proceso fuera fácil y para mi sorpresa lo fue. De hecho el cambio de compañía es casi instantáneo ahora después de las regulaciones introducidas con la reforma de telecomunicaciones.
El problema fue que cuando acudí al centro de atención de Telcel la persona que me atendía me entregó solo una hoja para firmar. Le pregunté que si qué estaba firmando y me dijo que «mi contrato» por lo cual le pregunté por qué solo me había dado una hoja, que necesitaba leerlo, asentó con la cabeza como diciendo «pinche ridículo» y acto seguido me dio todos los documentos. Mientras los revisaba encontré al final esto:
Como se puede ver en la imagen, una de las clausulas define si acepta o no el usuario que la empresa use datos personales con datos publicitarios o de mercadotecnia. ¿Lo grave del asunto? Esa X no la marqué yo, así venía redactado el contrato. De inmediato le hice la observación y le pregunté que por qué venían las opciones impresas si era mi decisión seleccionarlas, la respuesta como es usual, fue un «Ahh es solo para el contrato, no afecta en nada«, mi respuesta fue obvia y tajante: «Vuelvelo a imprimir por favor, sin ninguna opción seleccionada«. Como era de esperarse, probablemente se molestó porque la hice «trabajar de más«. Sobra decir que nunca me explicó absolutamente nada de mi contrato aunque bueno, eso es obviamente responsabilidad de quien contrata.
Este tipo de clausulas las rechazo todo el tiempo y no es la primera vez que me pasa. También cuando he llevado el carro al servicio, al firmar la hoja de recibido, me entregan siempre otra con clausulas parecidas que siempre les digo que no voy a firmar y se las regreso. Un día llegó al grado de que el empleado me dijo que si no la firmaba no podían recibirme el vehículo, le pregunté la justificación o que si el entendía que es lo que me estaban haciendo firmar y no me supo dar una respuesta, al final terminó llamando al gerente que le dijo «No, no es obligatorio firmar esa hoja, es opcional«.
Aunque siempre se asegura que el propósito es con fines publicitarios las consecuencias de compartir esta información pueden ser más graves que recibir llamadas a las 5 de la mañana hora del pacífico porque el Call Center está en la ciudad de México; es bien sabido que muchos empleados de estas compañías venden nuestros datos a organizaciones criminales dedicadas a la extorsión y el secuestro. La responsabilidad en este caso de las empresas del manejo de los datos pero sobre todo de informar al usuario si desea o no proveerlos me parece de suma importancia.
Entonces, ¿Cómo cuidar nuestros datos?
Si bien los casos anteriores son diferentes (uno por descuido, el otro por desconocimiento) la manera de cuidar nuestros datos personales es realmente simple. Como siempre lo digo: mantener la vida privada precisamente privada. No compartir nuestros datos personales con individuos que no conocemos o no son de confianza y sobre todo NO publicarlos por Internet ya sea en redes sociales, foros, etc. Este tipo de datos son el primer empujón para poder descifrar otro tipo de información más sensible.
Por otra parte debemos ser muy cautelosos al firmar documentos y estar bien enterados del compromiso que estemos adquiriendo en el mismo o los derechos que estamos cediendo. México aun está en pañales en temas de privacidad de datos y aunque se han hecho leyes en recientes administraciones para mejorar la situación, como en todas las demás leyes y reglas, sin una aplicación, son inútiles. Entonces, es nuestro derecho exigirle tanto al estado como al sector privado la protección de nuestros datos y respeto a nuestra privacidad.
Sé el primero en comentar