Los últimos días volvió al tapete de noticias, la vieja noticia sobre Facebook y Cambridge Analytica y el resultado de las elecciones en Estados Unidos. Viejo, por que ya una serie de reportajes delataban esta relación y cómo las redes sociales como Facebook o Twitter pudieron haber influido en la victoria del actual presidente de Estados Unidos. Lo que no sabíamos era de qué manera Facebook podría estar implicado en una posible brecha de datos o bien cuál es la responsabilidad de Facebook por el acceso a datos que permite de sus usuarios a terceros que contratan con él, como Cambridge Analytica y cuál es su responsabilidad en esta historia.
Cambrige Analytica (CA) es una compañía que ha promocionado reiteradamente su capacidad de influenciar a los votantes a través de la focalización y ha afirmado que fue la razón fundamental por la que Donald Trump ganó las elecciones de Estados Unidos en 2016. Acá puede verse un pantallazo de su pagina web:
Para entender primero:
En este vídeo de la DW en Español, lo explica muy bien:
https://www.youtube.com/watch?v=iFYJ6KKjvqg
Si no puedes verlo, lo importante de este vídeo es que nos explican que CA ofrecía distintos puntos de recolección de datos (se jactaba de al menos 5000 puntos) entre Facebook, seguridad social, aseguradoras, información geográfica, comportamiento, estilo de vida, carácter del votante, comportamiento, imagen, geolocalización lo que permite la «microfocalización conductual». Si quieres saber más sobre cómo es posible recolectar estos datos mira esta historia.
El trabajo de CA se logra no solo con analistas de datos sino también con psicólogos e investigadores. El microtargering es algo que explicamos y lo analizamos acá en la implementación de la campaña Who Targets Me en Chile.
El microtargering se logra con un algoritmo simple, pero influyen también otras técnicas como la psicometría, un procedimiento que nos ayuda a identificar las personalidades. Esto no es nuevo y es enseñado en Universidades en Estados Unidos. Esta técnica es usada para determinar las características de una persona a través de un modelo de 5 factores: receptividad, perfeccionismo, sociabilidad, consideración y emocionalidad.
Con este modelo, más las investigaciones y los datos de CA, fue posible definir 32 tipos de personalidades, ubicarlas geográficamente y enviar mensajes a aquellos votantes considerados inestables, preocupados, indecisos, etc.
¿Pero cómo Facebook -o cualquiera- sabe esto de mí?
Es la propia ciudadanía la que le “regala a Facebook” su información, mediante las pruebas de personalidad en la red, juegos como qué super héroe eres, qué película eres, etc. Y así sucedió en junio de 2014 cuando SCL filial de CA celebró un contrato con Global Science Research (GSR) para la recolección y el procesamiento de datos desde Facebook mediante una aplicación. Este contrato costó casi un $ 1 millón de dólares y permitió recolectar 50 millones de perfiles de usuarios que era posible vincular con el padrón o listas electorales.
La aplicación era thisisyourdigitallife, una prueba de personalidad que en sus términos y condiciones señalaba que los datos se usarían para fines académicos. Sin embargo, la aplicación también recopiló la información de los amigos de Facebook de los participantes del test y esto fue permitido por la política de privacidad de Facebook para mejorar la experiencia del usuario en la aplicación. Eso sí, Facebook prohibió la venta o uso de estos datos para publicidad.
El denunciante de todo esto es Christopher Wylie, quien trabajó con GSR y señaló a The Guardian que: «Aprovechamos Facebook para recolectar millones de perfiles de personas y construir modelos para explotar lo que sabíamos acerca de ellos. Esa fue la base sobre la que se basó toda la campaña”.
Los documentos a los que accedió el medio The Observer y confirmados por una declaración de Facebook, muestran que a fines de 2015 descubrieron que CA había recolectado información a una escala sin precedentes. Sin embargo, en ese momento Facebook no alertó a los usuarios y tomó sólo medidas limitadas para recuperar y proteger la información privada de más de 50 millones de personas.
Wylie, mostró un dossier de pruebas sobre el uso indebido de datos: correos electrónicos, facturas, contratos y transferencias bancarias que revelan que más de 50 millones de perfiles, en su mayoría pertenecientes a votantes estadounidenses registrados, se obtuvieron del sitio en una de las mayores violaciones de datos de Facebook.
Por su parte, Facebook niega que la recolección de decenas de millones de perfiles por parte de GSR y CA haya sido una violación de datos o brecha de datos y que las compañías obtuvieron acceso a esta información de manera legítima y a través de los canales adecuados, pero que no acataron las normas de Facebook en cuanto al uso limitado de la información.
Facebook también señaló que retiró la aplicación en 2015 y exigió la certificación de que GSR y CA no tuvieran copias de los datos recolectados y destrucción de los mismos. Wylie asegura que esta exigencia de Facebook llegó a mediados de 2016 (…)
Todo esto ha provocado la indignación de autoridades y políticos en Estados Unidos y el inicio de investigaciones criminales. También cuestionamientos sobre las compañías como Facebook o CA, que van desde la recolección de datos en una escala tan amplia, hasta los límites de la propaganda electoral, pasando también por la notificación de la brecha de datos o violaciones de seguridad, esto es, el deber de la compañía de informar y notificar a sus usuarios cuando ocurren incidentes de seguridad.
¿Es esto un incidente de seguridad? ¿Es sólo la consecuencia del uso de datos que se recopilan en aplicaciones que usan Facebook? Si es así, ¿es posible regularlo?
¿Y qué pasa en Chile?
En nuestro país, vivimos en un contexto de ley de datos personales que ni siquiera contempla obligación de seguridad de datos expresamente, 10 años de discusión legislativa para “decidir un modelo”, nadie habla del tema de datos, uso intensivo de redes sociales y una tremenda ignorancia del modelo de negocios que hay detrás.
Por nuestra parte, es un tema que nos quita el sueño. Nos encontramos elaborando un reporte en alianza con Tactical Technology Collective sobre el uso de datos personales en contextos electorales, a propósito de un reportaje de CIPER y La Tercera y el doxing de datos que hace el SERVEL todos los años cuando publica el padrón electoral auditado.
By the way, la principal compañía usada por los políticos en Chile para “perfilar audiencias de voto” no ha accedido a darnos entrevista alguna en esta investigación.