¿UN “CAMBRIDGE ANALÍTICA” LEGAL EN ESPAÑA?

Esta semana, el nuevo proyecto de ley de la nueva Ley Orgánica de Protección de Datos y, ahora, también, de Garantías de Derechos Digitales, ha sido debatido y aprobado en pleno, con acuerdo de todos los partidos políticos, sin ninguna enmienda presentada (sí, algo histórico). A finales de este mes, dicho proyecto de ley será ratificado y remitido al BOE para su publicación y posterior entrada en vigor.

fake news 1.png

¿Pero qué sucede con la nueva LOPD y por qué está siendo tan controvertida? Sucede que, se ha introducido una Disposición Final Tercera, por la que se modifica la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (LOREG), y particularmente “destacable” a través de su apartado dos, con el que se añade un nuevo artículo 58 bis, con el contenido siguiente:

«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.

  1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
  2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
  3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
  4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
  5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»

Lo que quiere decir que, a partir de ahora, será legítimo que los partidos políticos recopilen datos personales relativos a las opiniones políticas de los ciudadanos, amparándose en un supuesto interés público, cuando se produzcan una serie de garantías (no especificadas). Además, estos datos podrán obtenerlos de sitios web y otras fuentes públicas, como por ejemplo, de redes sociales, y su posterior propaganda a través de diversos medios de difusión (correo electrónico, redes sociales, sistemas de mensajería…).

Con esta nueva LOPD, no será necesario nuestro consentimiento expreso, y daría carta blanca a los partidos políticos para llevar a cabo dicha recopilación, tanto de los datos ya obtenidos, como de los captados a partir de ahora.

Mencionar que, esta enmienda, aunque parezca ilógico, surge o surgía en su origen, para establecer salvaguardas e impedir casos como el de Cambridge Analytica, al poder, libremente, los partidos políticos recopilar datos personales y así trazar los perfiles ideológicos de potenciales votantes.

Pero… ¿qué fue Cambridge Analytica? Cambridge Analytica era (ya que cesó sus operaciones, al igual que su matriz, SCL Group, a mediados de este año) una consultora de análisis de datos londinense, enfocada al uso de los mismos en campañas políticas y comerciales, que buscaban cambiar el comportamiento de la audiencia. El problema radica en que empleó para la elaboración de perfiles ideológicos información recopilada de forma ilícita, a través de una aplicación test de Facebook, atribuida al profesor Aleksandr Kogan, de la Universidad de Cambridge. 265.000 usuarios completaron dicho test de forma voluntaria y prestando su consentimiento (dudo que supiesen lo que conllevaba), de tal forma que no solo permitía el acceso a toda su información personal en la red social (toda su actividad: likes, comentarios, información privada…), sino también el de toda su red de amigos (sin el consentimiento de estos, claro). Fruto de esto, se pudo obtener datos personales de 87 millones de usuarios, y un 15% de ciudadanos estadounidenses. Según las políticas de la red social, los datos obtenidos a través de su plataforma no pueden ser transferidos ni vendidos a terceros. Con estos datos, y los algoritmos empleadas por CA, pudieron elaborar los perfiles psicológicos de cada usuario, y así saber el tipo de mensaje que debían mostrar a cada uno de ellos para inferir en su decisión política, segmentando al máximo éste: a quién mostrar qué, cómo y de qué forma, si estimulando o desmotivando su elección. Pero no solo se emplearon para llevar a cabo propaganda política personalizada del partido X a cada usuario, sino que también desarrollaron Fake News, con el fin de desinformar y poder hacer cambiar la decisión política final de cada uno de ellos, especialmente de aquellos segmentos más indeciso.

Numerosas evidencias apuntan a la vinculación de CA, y su papel decisivo, con la campaña que dio la victoria a Donald Trump, así como con el Brexit del Reino Unido. Christopher Wylie, cerebro y ex empleado de CA, fue la garganta profunda de The Guardian y The New York Times, que destapó todo el entramado. Steve Bannon, vicepresidente de CA en aquel momento, paso a ser jefe de campaña de Trump. Y ahora asesora a partidos de la ultraderecha europea, y a partidos como VOX en España.

fake news 2.png

Preocupante, cuanto menos, todo esto, y contradictorio, ya que los datos personales que indiquen la orientación política han estado sumamente protegidos por ley en España y considerados de categoría especial, y salvo excepciones, estaba prohibido su tratamiento. Al igual que el RGPD, que obliga al consentimiento expreso para la recopilación de datos personales. Además, como muchos expertos apuntan, van en dirección opuesta a las políticas de otros países europeos en la materia.

¿Qué problema hay en mostrar información política concreta a un colectivo de indecisos? Radica en el engaño, en la desinformación, como sucedió con CA, que muestres a este colectivo o los simpatizantes del partido contrario información sesgada, fabricando blogs y sitios webs concretos para crear auténticas campañas de desinformación (buscando, concretamente, dos factores: el miedo y el odio), y hacer creer o cambiar su opinión, impactando una y otra vez dichos contenidos en sus redes sociales. Antes solo unos pocos podían desinformar, hoy en día cualquiera puede hacerlo, y si, además, cuentas con millones de euros de presupuesto para ello, el impacto es bestial. Casos como el PizzaGate (la extrema derecho americana comenzó a difundir el bulo de que en una pizzería estadounidense existía una red de pederastia, y tras ella una persona de confianza de Hillary Clinton, John Podesta. Un lector cree dicha noticia y comienza a efectuar tiros en el interior de la pizzería, sin provocar ninguna víctima mortal), o el de Veles (un grupo de adolescentes macedonios comenzó a crear Fake News sobre Donald Trump y Hillary Clinton, viendo que las de esta última les generaban sustanciales ganancias económicas, a través de los clics e impresiones de los usuarios, creando una auténtica fábrica de Fake News, más de 140 páginas web sobre desinformación sobre Hillary Clinton), son claros ejemplos.

Y, como no, también en España, pudimos ver casos en Catalunya como el de unos bebés cortando una carretera, o la de la manifestación de bomberos catalanes atacados por la Policía Nacional (fueron los Mossos en el año 2013), o la imagen de unos enfrentamiento de manifestantes portando una estelada con un grupo de miembros de la Guardia Civil (la imagen había sido modificada, no existía dicha bandera).

Los datos son el petróleo del siglo XXI, pero ¿qué podemos hacer ante esto? Tomar precauciones. Empoderarnos con nuestros datos personales. Saber que toda la información que estamos proporcionando de forma “voluntaria” y “gratuita”, puede ser aprovechada, y lo será, por terceros. Y conocer cómo es posible detectar si una determinada información es una Fake News (en este link del blog de FCD-intelligence tenéis claves y herramientas para detectarlas). Tenemos que tomar consciencia de la importancia de los datos. Y en cuanto al spam político, que probablemente suframos a corto plazo, ejercer el derecho de oposición, como indica el punto 5 del artículo 58 bis.

Facebook fue multada con 565.000€ por permitir una violación de las leyes de protección de datos personales, algo irrisorio para dicha compañía, las cuales cuentas con multas ya previstas, contempladas en presupuestos de ante mano, y compensadas sobremanera.

Las reglas del juego han cambiado, y estamos ante la nueva guerra de propaganda 2.0, y donde para las tecnológicas prima la monetización del dato. Abogados expertos en la materia han tildado la nueva LOPD como una chapuza y una barbaridad, poniendo supuestos como el de poder ser incluido en una lista de opositores o que estos datos sean empleados para decidir un puesto en la Administración Pública. Veremos en que acaba todo esto, ya que se está causando bastante revuelo estos días, y el papel que adopta la AGPD.

 

By Francisco Carcaño
Analista de Cyberintelligence y Cybersecurity

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s