Aliuska Duardo (UPV/EHU)

Agradecimientos: El autor agradece las útiles contribuciones y comentarios de Manuela Battaglini y Jure Lampe en relación con esta sección.

 

Sin duda, la videoconferencia se ha convertido en una herramienta de comunicación imprescindible a todos los niveles: personal, social, empresarial…, y, por supuesto, su impacto es también notable en el ámbito de la cooperación científica.

Este recurso nos permite planificar estrategias de investigación y cooperación conjuntas, para beneficiarnos de la experiencia de otros colegas, ahorrando así tiempo y costes de desplazamiento. Hoy en día es posible preparar una propuesta de investigación a distancia, seguir el desarrollo del proyecto una vez conseguido, y discutir estrategias y resultados, todo ello por videoconferencia.

Sin embargo, desde el punto de vista de la protección de datos personales, hay dos aspectos fundamentales que hay que tener en cuenta a la hora de organizar una videoconferencia: la seguridad y confidencialidad de las comunicaciones; y la protección de los datos personales de los participantes en una videoconferencia. En esta sección, tratamos las cuestiones relacionadas con la protección de datos personales, a la hora de preparar una videoconferencia.

Qué hacer

Pida a su RPD que le recomiende servicios de videoconferencia. En caso de que tenga que elegir usted mismo, preste mucha atención a la política de privacidad del proveedor. Preste atención a los datos personales directos que recoge el proveedor: Debe sospechar si se solicitan más datos de los estrictamente necesarios para la prestación del servicio. Sea consciente de los Datos Personales que se recogen, y de cuál es la finalidad de dicha recogida. Siempre hay que desconfiar de las cláusulas ambiguas o vacías como: “cualquier dato puede ser recogido o difundido, o conservado indefinidamente”.

Lo que no hay que hacer

Aplicaciones móviles: no las instale sin leer la política de privacidad. Si una aplicación te pide que accedas a contenidos que no están directamente relacionados con el servicio que prestan, no la utilices. No utilice proveedores que no identifiquen en su política de privacidad los tipos de datos que recogen y cómo los utilizan. Evite las empresas que tienen un gran número de proveedores de servicios externos

Lista de comprobación

Compruebe si existe una plataforma específica designada por su institución. Compruebe si tu institución tiene alguna política específica en relación con las herramientas de videoconferencia. Compruebe la política de privacidad antes de utilizar cualquier herramienta.

La protección de los datos personales de los participantes en una videoconferencia

Hoy en día el mercado ofrece multitud de herramientas y plataformas que proporcionan servicios de videoconferencia a medida. Pueden ser gratuitas o de pago, y permiten compartir documentos de trabajo y hacer presentaciones. También es posible elegir entre la videoconferencia tradicional, que utiliza equipos físicos específicos dedicados al efecto, y sistemas más básicos que simplemente utilizan un software instalado en un ordenador personal. Existen, además, servicios móviles en la nube, en los que podemos contratar un servicio de videoconferencia sin tener que mantener o instalar la clásica infraestructura de videoconferencia, simplemente conectándonos a los servidores del proveedor que está en la nube. También son habituales los servicios añadidos, como las herramientas de chat o las pizarras virtuales.

Con tantas alternativas en el mercado, ¿cómo elegir la herramienta adecuada para montar un servicio de videoconferencia que respete la privacidad de los participantes?

En realidad, la mayoría de los proveedores de servicios de videoconferencia recogen una enorme cantidad de información personal en aras de prestar el servicio, mejorar la experiencia del usuario, etc. Además, todos ellos suelen declarar su compromiso de respetar la privacidad personal, así que ¿cómo distinguir entre las empresas que realmente hacen un uso ético de los datos personales? O, al menos, ¿aquellas con las que corremos menos riesgos?

En primer lugar, en caso de duda, siempre es recomendable buscar el asesoramiento del responsable de protección de datos (RPD) de su institución -universidad, centro de investigación, etc-.

En caso de duda, pregunta al RPD de tu centro.

También es importante elegir aplicaciones éticas que respeten tanto tu privacidad como la de tus contactos. Para ello, lo primero que hay que hacer es revisar las “Políticas de privacidad”. Una política de privacidad demasiado larga y enrevesada puede ser el primer indicio de que estamos ante un proveedor con prácticas de protección de datos poco transparentes.

Una política de privacidad demasiado larga y enrevesada podría ser el primer indicio de que estamos ante un proveedor con prácticas de protección de datos poco transparentes.

En este sentido, debe prestar atención a qué datos personales directos recoge la app. Generalmente, estas herramientas recogen datos personales directos proporcionados voluntariamente: nombre, correo electrónico, número de teléfono, dirección postal, número de tarjeta de crédito, etc. Debería empezar a dudar si se solicitan más datos de los estrictamente necesarios para prestar el servicio. En tal caso, se estaría incumpliendo la normativa europea, y sus principales principios. Especialmente, el principio de minimización de datos, por el que no se pueden recoger más datos de los estrictamente necesarios para cumplir con los fines establecidos en la política de privacidad. También estará en juego el principio de limitación de la finalidad. Según este principio, los datos recogidos sólo pueden utilizarse para la finalidad comunicada en la política de privacidad; si se utilizan para otra finalidad, ésta debe ser compatible con la inicial.

¿Cuál es la información “estrictamente necesaria”? Por desgracia, sigue siendo mucha:

Tipo de información	Objetivo	Información	Notas
Información del usuario	Cuenta	Dirección de correo electrónico o número de teléfono válidos.
Información sobre la transacción	Facturación	Datos de la tarjeta de crédito, correo electrónico de facturación, información bancaria.	para los usuarios que decidan adquirir una versión de pago
Información sobre la transacción	Ubicación	Ubicación en el momento de la transacción.	También la dirección de facturación.
Información de metadatos	Usuario	Dirección IP, ubicación geográfica,
Información de metadatos	Sistema	Tipo y versión de navegador, sistema operativo, fuente de referencia.
Metadatos Información	Utilice	Duración de la visita, páginas vistas y rutas de navegación del sitio web.	Así como información sobre el tiempo, la frecuencia y el patrón de uso del servicio.
Técnica datos del registro	Servicio Acceda a	Dirección del Protocolo de Internet (IP), la dirección de la página web visitada dentro de los Servicios,
Técnica datos del registro	Acceda a Tipo	Tipo de navegador y ajustes, información sobre la configuración del navegador y los plugins.	Así como las preferencias de idioma y los datos de las cookies.
Técnica datos del registro	Utilice	La fecha y la hora en que se utilizaron los Servicios
Información sobre el dispositivo	Dispositivo	Tipo de dispositivo, identificadores únicos de dispositivo y datos de colisión
Información sobre el dispositivo	Sistema	Sistema operativo utilizado, configuración del dispositivo, ID de las aplicaciones

Las empresas suelen manejar más información de la que consideramos “estrictamente necesaria”, pero es importante que ofrezcan al menos:

• Enlaces claros para controlar los datos personales
• Una forma fácil de acceder y eliminar los datos personales
• Opciones de exclusión.

Sin embargo, lo más preocupante es si se recogen “datos personales observados”. En este caso, se trata de datos personales proporcionados involuntariamente de los que se puede extraer diversa información.

Dentro de estos datos puedes encontrar:

1. Direcciones IP, que proporcionan nuestra ubicación.
2. Identificadores del dispositivo (junto con la dirección IP, identifican el punto geográfico donde nos encontramos).
3. Acciones realizadas, fecha y hora, frecuencia, duración, cantidad, calidad, conectividad a la red, información de rendimiento relacionada con los inicios de sesión, los clics, los mensajes, la lectura de mensajes, los contactos, el intercambio de contenidos, las llamadas.
4. Uso del vídeo y de la pantalla compartida.
5. Mensajes: contenido del mensaje, remitente y destinatarios, fecha, hora y recibos de lectura.
6. Contenido compartido: archivos y nombres de archivos, tamaños y tipos.
7. Pizarras: contenido de la pizarra, instantáneas e imágenes de fondo (Siguiente).
8. Estado: información de estado, por ejemplo, si está activo, fuera de la oficina u ocupado. En otras palabras, con Zoom comprometemos nuestra privacidad, la de nuestros contactos y la de las personas con las que participamos en nuestras videoconferencias.
9. Dirección IP, tipo de navegador, proveedor de servicios de Internet (ISP), páginas de referencia/salida, archivos vistos en su sitio, como páginas HTML, gráficos
10. Sistema operativo, fecha y/o datos de clickstream para el análisis de tendencias agregadas y la gestión del sitio web y/o del producto.

Al mismo tiempo, una aplicación no transparente suele tener varios proveedores de servicios externos, y a menudo no está claro quiénes son, cuál es la base legal para el tratamiento de datos y, lo que es más preocupante, si están recopilando información de forma automática a través de cookies y tecnologías de rastreo, sin haberte pedido permiso directamente. En este caso, no sólo se cuestiona la legitimidad del uso de los datos, sino que se corre el riesgo de un uso incompatible con los fines notificados en la política de privacidad.

Siempre hay que desconfiar de las cláusulas ambiguas o vacías como: “cualquier dato puede ser recogido o difundido, o conservado indefinidamente” o “recogemos sus datos para mejorar su experiencia de usuario”.

Otra cuestión a tener en cuenta, a la hora de elegir un servicio de videoconferencia, es comprobar el tiempo de almacenamiento de nuestros datos. Según el Principio de limitación del almacenamiento, este periodo tiene que estar claramente especificado.