“Acepto”. Pulsar esa casilla cuando usamos un servicio en internet implica que damos permiso a las compañías como Facebook, Amazon, Google, Twitter, Tinder, Airbnb, PayPal y un largo etcétera para manejar casi a su antojo los datos que introducimos. “Aceptar” los términos y condiciones de uso —que prácticamente nadie lee— es la condición necesaria para acceder a dichos servicios y, sin embargo, es la llave que abre la puerta a la vigilancia casi absoluta de nuestra vida privada.

El escándalo del uso de datos de millones de usuarios de Facebook por parte de Cambridge Analytica para generar propaganda política personalizada puso de manifiesto, una vez más, hasta qué punto ignoramos qué se hace con nuestra identidad digital y qué tipo de permisos damos a esas compañías para, por ejemplo, tener nuestros perfiles en redes sociales. Ahora muchos se escandalizan por la cantidad de datos que las empresas extraen con nuestro ‘consentimiento’. Pero ¿sabemos realmente qué es lo que estamos ‘consintiendo’? 

No sólo las nuevas normativas —europea, pero también española— provocará cambios en el mundo de los términos y condiciones. También lo hará el uso la inteligencia artificial en proyectos para identificar, resumir y simplificar esos textos legales, extremadamente farragosos e incomprensibles para el usuario medio. Y existen iniciativas colaborativas de vigilancia sobre estos contratos y sus cambios —no siempre comunicados— que facilitarán la participación, a modo de wiki. ¿Y si empezamos a vigilar a quienes nos vigilan?

Nuevas normas para viejos problemas

El próximo 25 de mayo comienza a aplicarse en Europa el Reglamento General de Protección de Datos (RGPD), una renovación de la normativa que devuelve a los ciudadanos del Viejo Continente el control de su identidad digital. Una parte nuclear de esta nueva normativa es que obliga empresas e instituciones a informar concisa y claramente qué datos recaban y para qué los usan. Pero, por otra parte, también las obliga a especificar el tratamiento y uso de esos datos. Y el usuario tiene que dar su permiso explícito para el tratamiento de dichos datos personales para los fines especificados, en lo que se denomina ‘consentimiento granular’.

El problema del consentimiento a los términos y condiciones de uso es antiguo y recurrente. Pero ahora, con la renovada normativa en ciernes, muchas compañías se han lanzado a modificar sus textos legales para adaptarse a la nueva situación. Y volvemos al problema inicial: nadie se las lee pero todos las aceptamos.

Jorge Morell recuerda que hace seis años, el 27 de marzo de 2012, arrancó su proyecto Términos y Condiciones, que empezó con un blog explicando de forma fácil y razonada las condiciones de uso de servicios como Instagram y WhatsApp. La idea derivó en un 'tracker', una especie de controlador automatizado que rastrea las condiciones de uso, las políticas de privacidad, los avisos de cookies y otros términos y condiciones cuando cambian.

Si bien esta herramienta detecta los cambios en los textos y los muestra comparados con la versión anterior, a menudo la consecuencia de esos cambios para el usuario medio sigue siendo incomprensible. Por ejemplo, el contenido de una cláusula podría ser abusivo, pero el usuario no tiene por qué saberlo.
Porque no nos engañemos: se estima que deberíamos invertir 244 horas para leer cada política de privacidad de cada sitio web que visitamos al año. Y eso no hay quien lo haga.

Y con el nuevo RGPD en Europa, Morell alerta de que existirá un sistema de “dos capas” para aceptar los términos: una primera, en la que el usuario verá resumidas las condiciones de forma muy sencilla, con un lenguaje más claro, con iconos explicativos… y otra más compleja y larga que hasta ahora, porque el reglamento obliga a las compañías a poner más información que hasta la fecha —“a especificar con más detalle”— con qué proveedores trabaja, a quién cede o con quién se comparten los datos (o no), etc.

“Esto, en realidad, puede dar mucho juego para que aumente la transparencia de estas compañías”, comenta este experto, que añade: “Por ejemplo, PayPal se ve obligada a indicar que trabaja con 600 proveedores; si comparamos las nuevas versiones de las condiciones de uso con las antiguas podríamos generar un mapa visual de cómo se mueve el flujo de datos en función del área”.

La inteligencia artificial, nuestra nueva mejor amiga

Morell cree que en cinco o diez años habrá inteligencia artificial suficientemente capaz de leer textos legales, realizar un resumen más legible para el ciudadano medio e identificar los problemas, como las mencionadas cláusulas abusivas. “Porque nadie se lee los términos y condiciones, claro”, comenta, y añade: “Dedicamos unos ocho segundos a aceptar las condiciones de un servicio que queremos usar, es decir, lo que tardamos en poner el puntero en la casilla y hacer clic”.

Un proyecto que menciona este abogado es Pribot, un ‘bot’ que busca hacer precisamente más comprensibles los textos legales de los servicios que usamos a diario, gracias a la aplicación de técnicas de aprendizaje profundo. Desarrollado por un nutrido equipo de expertos de EEUU y Suiza, funciona como un chat en el que puede preguntar acerca de una compañía, y el robot lee en las condiciones de uso de dicha empresa para solucionar dudas acerca de si dicha compañía comparte nuestros datos con terceros, o si los borra al darnos de baja. Unido a este proyecto, Polisis lee, analiza y muestra gráficamente las políticas de privacidad de las empresas también gracias a técnicas de inteligencia artificial. Ambas herramientas sólo funcionan en inglés.

Otra herramienta interesante, en este caso desarrollada por la Universidad Carnegie Mellon, es el llamado Usable Privacy Policy Project (proyecto de política de privacidad usable). El proyecto cristalizó en un sitio web interactivo que, mediante el uso de algoritmos de inteligencia artificial, rastrea las políticas de privacidad de 7.000 sitios web populares e identifica cuáles y cómo recopilan datos y los usan, cómo se comparten con terceros, qué datos retienen y en qué medida el usuario tiene poder de elección para oponerse, por ejemplo. Eso sí, también en inglés.

Gracias a estas herramientas se puede visualizar y contabilizar los cambios en las políticas de privacidad de las compañías. “Respecto a los cambios detectados en políticas de privacidad en enero de 2018, en marzo 2018 ese tipo de cambios ha crecido un 16,8% respecto al inicio de año”, comenta Morell, que cree que este procentaje crecerá más antes del 25 de mayo, fecha de aplicación directa del RGPD. “Y eso respecto a las políticas de privacidad que nosotros controlamos, que son unas 5000, pero hay infinitas más”, recuerda este jurista, que recuerda que “si bien no se puede saber con certeza si el cambio obedece al RGPD en particular, lo más razonable es que sea un motivo importante de ese crecimiento”.

La necesaria colaboración de todos

No todo es inteligencia artificial. Desde 2012 existe una herramienta ‘open source’, llamada ToSDR (algo así como "Términos de Sevicio, no lo leí", por sus siglas en inglés), que permite clasificar y valorar los términos y condiciones de las compañías, una especie de vigía de qué datos cedemos a terceros y que, además, explica de forma simple —con viñetas, iconos y colores— el contenido de esos largos y farragosos textos legales. Además, los clasifica en una escala que va desde Clase A (muy buenos) a la Clase F (muy malos).

El proyecto, que funciona al estilo Wikipedia, facilita la colaboración de voluntarios para vigilar los cambios de estas condiciones de uso y su valoración. Y es, originariamente, una crítica contra la complejidad de los términos y condiciones.

En algo más de un mes este servicio estrenará una nueva plataforma llamada Phoenix, que automatizará la clasificación de los términos, algo que hasta ahora se hace a mano por la gente que participa en ToSDR y "lleva mucho tiempo". La idea es, por tanto, ampliar e insuflar “energía” al proyecto.

“La verdad es que, hasta ahora, pocas cosas se realizan de forma automatizada, y teníamos pocas contribuciones porque no teníamos herramientas para facilitar esas contribuciones”, comenta a este diario Christopher Talib un desarrollador que lleva en el proyecto desde diciembre de 2016.

Phoenix saldrá casi coincidiendo con la aplicación directa la normativa europea. Sobre esta normativa, Talib cree que aunque “se puede hacer mejor, no está mal: es un paso en la buena dirección”.

Porque para este desarrollador, en general, los términos y condiciones de las compañías tecnológicas son “bastante malos”. Para él, uno de los servicios más abusivos es Tinder, la popular aplicación para ligar en la red. “Ahí lo pierdes todo, proporcionas tu geolocalización, tus contenidos, tus datos, la gente con quien hablas… Todo”.