Las nuevas gafas inteligentes Ray-Ban Stories, en el punto de mira de la privacidad

El pasado 9 de septiembre Facebook y Ray-Ban anunciaron su alianza en el lanzamiento de sus primeras gafas inteligentes, las Ray-Ban Stories.

Con un coste de 299 $, las lentes estarán disponibles inicialmente para su venta en Estados Unidos, Australia, Canadá, Irlanda, Italia y Reino Unido.

«La nueva forma de capturar, compartir y escuchar». Bajo este lema han presentado el primer producto que surge de la asociación de Facebook con el gigante de la óptica EssilorLuxottica.

A pesar de que esta primera versión no cuenta con un sistema de realidad virtual y aumentada, la compañía tiene como objetivo liderar este sector.

«Durante mucho tiempo hemos pensado que las gafas serán una parte importante de la construcción de la próxima plataforma informática y abrirán nuevas experiencias para las personas». «No tendrás que elegir entre interactuar con el dispositivo e interactuar con el mundo que te rodea». – explicó durante la presentación Mark Zuckerberg, fundador y CEO de Facebook.

Funciones y características

Con una cámara dual de 5 megapíxeles cualquier usuario podrá realizar fotografías o grabar vídeos de manera manual o mediante comandos de voz. Bajo la orden «Hey, Facebook, haz una foto/vídeo» el dispositivo se encargará de iniciar la captura automáticamente.

Para alertar de que las lentes están grabando o capturando imágenes, las Ray-Ban Stories cuentan con una luz LED. Esta se encenderá automáticamente para advertir de que su sistema de captura de imagen y audio está siendo utilizado.

Cualquier usuario podrá importar, editar y compartir su contenido a través de la aplicación Facebook View. Gracias a esta app, las gafas se vinculan con el teléfono del usuario permitiéndole compartir sus fotografías o vídeos a través de sus redes sociales.

FACEBOOK – Imagen de Facebook View

Para las funciones de audio, el dispositivo también cuenta con dos altavoces controlados por un panel táctil para escuchar música o realizar llamadas telefónicas.

Esta novedad tecnológica redunda en el fenómeno del lifelogging (bitácora de vida). Una tendencia que consiste en registrar audiovisualmente nuestras experiencias diarias y que se ha visto potenciado por el uso de smartphones y redes sociales. Un estilo de vida, por tanto, que lleva a las personas a compartir todo aquello que experimentan permitiendo a los wearables almacenar una gran cantidad de información personal.

«Desde el principio, diseñamos Ray-Ban Stories teniendo en cuenta la privacidad, agregando numerosas funciones integradas para brindar control y tranquilidad tanto a los propietarios de dispositivos como a los transeúntes.»

Atendiendo a las declaraciones ofrecidas por Facebook, las Ray-Ban Stories han sido diseñadas pensando en la privacidad. Para ello, han puesto a disposición del usuario distintos mecanismos para proteger sus datos personales. Desde protecciones de hardware (luz LED) a opciones de configuración de usuario (datos personales, asistente de voz, transcripciones automáticas, conexiones con otras aplicaciones, etc.).

Las Ray-Ban Stories, ¿un problema para la privacidad?

Nada más presentarse, las gafas inteligentes han suscitado dudas a las autoridades de control de protección de datos irlandesa e italiana. Dos de los países europeos donde se han puesto a la venta las gafas y donde se aplicaría el Reglamento General de Protección de Datos (RGPD).

En un comunicado conjunto, ambas autoridades manifestaron su preocupación por la exposición de terceros a través de un sistema de grabación que tan solo alerta mediante una pequeña luz LED. Un sistema que a ojos de estos organismos evidencia que no se han realizado las pruebas necesarias para respetar la privacidad.

Y es que, las lentes permiten grabar imágenes en cualquier lugar pudiendo captar imágenes de terceros sin consentimiento y ser publicadas en diferentes redes sociales.

Recordemos que el tratamiento de datos personales para uso doméstico está permitido. Sin embargo, el problema es cuando ese material trasciende la esfera personal en el momento en el que es compartido, por ejemplo, a través de una red social. En ese caso, el tratamiento deberá regirse por lo establecido en el RGPD.

Con el objetivo de evaluar si las Ray-Ban Stories son compatibles con la normativa de protección de datos, la autoridad italiana en coordinación con la comisión irlandesa solicitó, entre otros, que se detallase:

  • La base legal en relación con la cual la red social procesa datos personales.
  • Las medidas adoptadas para proteger a las personas que son captadas de manera ocasional y, en particular, a menores.
  • Cualquier sistema adoptado para anonimizar los datos recopilados.
  • Las características del asistente de voz conectado a las lentes, ya que recopila y transcribe la información.

Sigue esta y otras noticias a través de nuestro canal de Telegram

Clubhouse, la nueva red social de moda presenta problemas graves de privacidad

La app de voz, que ya cuenta con más de 2 millones de usuarios, incumple la normativa de protección de datos

Debido a la actual pandemia muchas redes sociales han logrado un aumento significativo tanto de su uso como de su número de usuarios.

Es el caso de Clubhouse, la última red social de moda que en menos de un año de vida ha logrado dos millones de usuarios en todo el mundo según palabras de sus fundadores, Paul Davison y Rohan Seth. Sin embargo, según estimaciones independientes se estima actualmente que ha logrado ya 10 millones de descargas. Una popularidad que se vio incrementada exponencialmente gracias a la participación de Elon Musk, fundador de Tesla, como usuario de la plataforma.

Se trata de una red en fase beta en donde el usuario tan solo puede interactuar a través de chats de voz que son emitidos en directo. Los miembros pueden reunirse a través de salas virtuales abiertas o cerradas al público donde podrían participar o tan solo escuchar a sus participantes.

Actualmente, tan solo se puede acceder a ella a través de la invitación de dos usuarios activos y mediante una app exclusiva para móviles iOS.

Sin embargo, en menos de un año de vida, ya ha generado una gran preocupación en cuanto a la seguridad y privacidad de sus usuarios.

Uso de datos

Recordemos que para poder utilizar Clubhouse es necesario haber sido invitado por miembros activos. Una vez que se cumple este requisito, el usuario debe cumplimentar su perfil y seleccionar cinco temas de interés que permitirán a la plataforma recomendarle contenido relevante.

Pero, no todo se queda ahí. Cada usuario deberá dar acceso a su agenda de contactos si desea tener la capacidad de invitar a alguien a la red social, funcionalidad más que relevante en esta fase inicial de uso exclusivo por invitación.

CLUBHOUSE APP

A la hora de invitar a un contacto para que pueda utilizar la app, la plataforma registra todos los contactos del iPhone que no tiene identificados como usuarios actuales de Clubhouse. Sin embargo, también muestra aquellos que sí lo son y son ordenados en función del número de amigos que tienen asociados a su perfil diferenciando, así, a aquellos contactos que podrían ser más relevantes o con mayor notoriedad en la red.

Si un usuario decide ceder su agenda, la red usará su número de teléfono para verificar cuántas veces aparecen en los contactos de otros miembros, incluso de aquellos que no tengan interés en unirse, de manera que la plataforma ya conocerá su nombre y teléfono.

Por ejemplo, digamos que si Ana cede el número de María (que no es usuario de Clubhouse) y Juan también cede el teléfono de María, la red social sabrá que María está conectada con Ana y Juan sin haber sido nunca miembro de la red.

Esta funcionalidad sigue siendo muy controvertida porque supone una injerencia en la privacidad de las personas. En términos generales, atendiendo a lo establecido por el Reglamento General de Protección de Datos (RGPD), el tratamiento solo será lícito si el interesado ha dado su consentimiento para el tratamiento de sus datos personales (art. 6.1).

En este sentido, la autoridad de control de protección de datos belga (La Commission de la protection de la vie privée) ya se manifestó al respecto a través de la sanción impuesta el pasado año a «Twoo», una red social para encontrar pareja, debido a una función similar llamada tell a friend (dile a un amigo).

En 2016, Alemania también se enfrentó a Facebook dictaminando que este tipo de prácticas consistentes en hacer uso de contactos cargados para atraer nuevos miembros contravenía la ley de consumidores.

Estas funcionalidades en ningún momento requieren del consentimiento de los distintos usuarios que ven cedidos sus datos por un contacto suyo. Un requerimiento que hace que la mayoría de las funcionalidades de «invitar a un amigo» se conviertan en impracticables en materia de protección de datos.

Política de privacidad

Las empresas que no tienen sede dentro de la UE cuando tratan datos personales de los interesados que residen en la Unión deben designar un representante de protección de datos. Esta designación debe reflejarse, por tanto, en la información que se pone a la disposición de cada interesado en la recogida de sus datos (por ejemplo, a través de las preceptivas cláusulas informativas y políticas de privacidad) siguiendo los requerimientos de los artículos 13 y 14 del RGPD.

Sin embargo, si analizamos la política de privacidad publicada por la compañía no se hace alusión en ningún momento a esta figura.

Por otra parte, a pesar de ser un servicio puesto a disposición a nivel internacional, el idioma utilizado es tan solo el inglés. Siendo estrictos, el artículo 12.1 del RGPD establece que la información facilitada al interesado debe proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Al limitarse el acceso a dicha política de privacidad en inglés, los usuarios de otros países podrían verse limitados a la hora de acceder y entender dicha información desconociendo bajo qué condiciones están accediendo al servicio.

En cuanto a su contenido, se podrían mencionar importantes deficiencias en cuanto a la información que se facilita al usuario del tratamiento de sus datos (art. 6 del RGPD) como, por ejemplo:

  • Delegado de protección de datos (DPD): no se facilita información de contacto del DPD, una nueva figura introducida por el Reglamento, que debería haber sido designado y registrado por la compañía atendiendo al tipo de tratamiento de datos realizado (art. 37.1 del RGPD).
  • Plazos de conservación: a pesar de indicar que los datos son retenidos para las finalidades descritas en la política de privacidad, no se detallan los plazos de conservación de los mismos como requiere la norma.
  • Transferencia internacional de datos: dado que la compañía trata datos de ciudadanos residentes en la Unión Europea y que almacena datos en Estados Unidos, Clubhouse debería informar de dicha transferencia de datos conforme se lleva a cabo con las garantías adecuadas o requerir de su consentimiento. En la política tan solo informan que los datos serán almacenados en Estados Unidos.
  • Creación de perfiles: en la política de privacidad se hace alusión a la creación de perfiles de usuario, los cuales son creados en función de los datos que se recaban de sus miembros con motivo de identificar las preferencias de contenido o, incluso, con la intención de ofrecerle productos y servicios personalizados a sus características.

Derived Data: We may infer your preferences for content and features of the Service, or future products and services, based on the Personal Data we collect about you.

La elaboración de perfiles exige, en este caso concreto, el consentimiento explícito del interesado (art. 22 RGPD) que tampoco se estaría llevando a cabo.

  • Cesiones con terceros: aparte de a proveedores de servicio y a aquellas legalmente necesarias, Clubhouse comparte los datos de sus usuarios con otros terceros. Entre los descritos estarían los correspondientes a transferencias comerciales (relativos a cualquier fusión, adquisición, reorganización, etc. que pueda sufrir la compañía) y afiliados actuales y futuros.

Cualquier cesión a un tercero deberá estar autorizado de manera previa y expresa por el interesado, que debe conocer qué entidades accederán a sus datos y bajo qué condiciones.

Datos de menores

Miembros mayores de 18 años. Esa es una de las normas que la red social incluye en sus condiciones de uso: You must be at least 18 years of age to use Clubhouse (or older if required by your country).

Sin embargo, durante la creación y configuración del perfil como usuario, la plataforma no realiza ningún tipo de verificación de edad, de manera que cualquier persona podría acceder sin limitación.

Un aspecto que ya ha traído problemas recientemente a TikTok, que debido a no implementar ninguna medida de filtro de edad, fue bloqueada en Italia a raíz de la noticia de la muerte de una niña de 10 años.

La legislación europea establece que, en términos generales, el tratamiento de datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años (art. 8.1 del RGPD), aunque los distintos estados miembros pueden establecer una edad inferior siempre y cuando no sea inferior a 13 años. Por ejemplo, en España la edad mínima es 14 años (art. 7.1 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales).

No incluir ningún tipo de medida para verificar la edad de los usuarios haría que Clubhouse trate datos de menores de edad con las responsabilidades y posibles incumplimientos que dicho tratamiento conlleve.

Grabado y cifrado de conversaciones

A través de su actual política de privacidad podemos encontrar, por ejemplo, que la red social graba las conversaciones que se emiten en directo de manera temporal:

Audio: Solely for the purpose of supporting incident investigations, we temporarily record the audio in a room while the room is live. If a user reports a Trust and Safety violation while the room is active, we retain the audio for the purposes of investigating the incident, and then delete it when the investigation is complete. If no incident is reported in a room, we delete the temporary audio recording when the room ends. Audio from (i) muted speakers and (ii) audience members is never captured, and all temporary audio recordings are encrypted.

El motivo que traslada Clubhouse para grabar y almacenar temporalmente estas conversaciones es el de investigar cualquier denuncia o incidente que se haya notificado en el transcurso de una sesión en directo. En aquellos casos en los que una sala no haya registrado ninguna denuncia, se eliminarían las grabaciones una vez que la sesión haya finalizado.

Esta política desprende un problema importante, el cifrado de las conversaciones. Si la compañía afirma que almacena todas las grabaciones significa que dichas grabaciones no están cifradas de extremo a extremo (E2EE).

Si las conversaciones no están cifradas, no solo Clubhouse podría acceder a la información, sino que terceros también podrían llegar a acceder a ella.

Sería el caso, por ejemplo, del gobierno chino. Y es que, atendiendo a la información facilitada por el Observatorio de Internet de Stanford, la red social hace uso de un proveedor chino (Agora) para basar su infraestructura de audio en streaming. Un país que debido a su ley de seguridad puede requerir a la plataforma acceder a los datos que requieran accediendo, así, a conversaciones no cifradas donde, según palabras de los investigadores de Stanford, «se podría saber si dos usuarios están hablando entre sí, por ejemplo, al detectar si esos usuarios se están uniendo al mismo canal».

Exponer las conversaciones mantenidas a través de la red social supone una vulneración de la confidencialidad de las comunicaciones amparado por la Directiva de privacidad y comunicaciones electrónicas 2002/58/CE. Su artículo 5.1 prohíbe expresamente «la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados».

Esta exposición de datos deja en evidencia la falta de medidas de seguridad por parte de la red social, que con motivo de garantizar un nivel de seguridad adecuado debería haber implementado el correspondiente cifrado de datos personales (art. 32.1 del RGPD) atendiendo a los posibles riesgos a los que se enfrentan de cara a los derechos y libertades de sus usuarios.

Bloqueo en China

Desde su lanzamiento, Clubhouse se ha enfrentado a importantes críticas en China o incluso en su país de origen, Estados Unidos, por tener herramientas de moderación deficientes o inadecuadas.

Así, los censores chinos decidieron desde este mes de febrero bloquear el uso de la app en todo el país a través de su Proyecto Escudo Dorado o, como se conoce también, su Gran Cortafuegos encargado de la vigilancia y la censura de Internet en China. Y es que, la plataforma brindaba a sus usuarios la posibilidad de expresar y escuchar con libertad cualquier tipo de opinión.

Protección de datos desde el diseño y por defecto

Durante esta fase de lanzamiento, en la que se encuentra inmersa desde hace un año la app, ha quedado patente que su desarrollo ha sido pensado al revés. Como diríamos comúnmente, se ha diseñado la casa por el tejado.

La aplicación nació no ateniéndose a dos principios básicos: la protección de datos desde el diseño y por defecto. Dos principios pilares por los que se rige el RGPD que tienen como objetivo que la protección de datos se encuentre presente ya en las primeras fases de concepción cualquier proyecto, y que derivan en una correcta definición e implementación de las medidas técnicas y organizativas necesarias para que el tratamiento de datos personales se lleve a cabo con las máximas garantías.

Aunque Clubhouse ha informado que mejorará la seguridad de su servicio a raíz de las críticas recibidas desde su primer año de vida, ya se encuentra en el punto de mira debido a las deficiencias que presenta en materia de seguridad y protección de datos.


Sigue esta y otras noticias a través de nuestro canal de Telegram

“Sé dónde vive tu gato”. Los peligros de la geolocalización

Cada día se suben en el mundo 350 millones de fotografías a través de Facebook. Los españoles compartimos 5,7 millones de fotografías diariamente que van desde paisajes, comidas, selfies o incluso instantáneas de nuestras mascotas.

Imágenes que compartimos en la red y que están compuestas por una serie de metadatos (fecha y hora de la instantánea, ubicación GPS desde donde fue realizada, etc.) que en muchas ocasiones desconocemos. Información que es compartida constantemente por muchos usuarios a través del llamado geotagging o geoetiquetado que es utilizado con motivo de compartir su ubicación. Sin embargo, estos datos pueden ser utilizados por ciberdelincuentes que gracias a esta recopilación de información pueden crear un perfil del usuario detallando aspectos como dónde vive, cuándo se encuentra en su domicilio, qué hace en su tiempo libre, etc.

Read More

Google presenta Android M, una nueva versión centrada en la privacidad

Android M ha sido presentado en el día de ayer durante la conferencia para desarrolladores organizada por Google en San Francisco. Se trata de una nueva versión del sistema operativo más utilizado en el mundo en dispositivos móviles que; según su vicepresidente, Sundar Pichai, ya ha superado la barrera de los mil millones de usuarios.

Esta nueva versión se caracteriza por prestar una mayor relevancia y presencia a la privacidad del usuario a lo largo de su experiencia solucionando las incidencias que se identificaron en la versión Lollipop. Cualquier usuario de Android dispondrá de un control integral de permisos de las aplicaciones que tenga instaladas en su dispositivo permitiéndole visualizar la información que comparte y configurar aquello que desea limitar con motivo de evitar cualquier intromisión a sus datos personales. Entre sus opciones se podrá gestionar la información compartida con los distintos proveedores de apps (fotografías, vídeos, contactos, ubicación, etc.).

Read More