Tras la conmoción causada por el escándalo de Facebook y Cambridge Analytica, la privacidad recobró su papel protagónico en las discusiones de ciberseguridad y volvió a estar en el ojo de la tormenta. Y en el marco de esta vorágine de dudas que despertó el caso de la popular red social, una publicación a cargo del ICSI (International Computer Science Institute) replanteó los controles de privacidad a los que (no) están sujetas las apps destinadas a menores de edad.
El estudio en cuestión analizó 5.855 aplicaciones promocionadas para niños y público familiar, disponibles en la Google Play Store estadounidense entre noviembre de 2016 y marzo de 2018. Finalmente, los investigadores arribaron a la conclusión de que el 57% de las aplicaciones analizadas podría violar la ley COPPA (Children’s Online Privacy Protection Act) que regula la recolección de datos de menores de 13 años en territorio estadounidense.
Entre las violaciones encontradas se incluyen comportamientos como los que se detallan a continuación:
- Recolectar información de contacto y geolocalización del menor.
- Compartir datos con terceros contradiciendo los términos de servicio estipulados.
- Compartir identificadores (ID de compradores, direcciones IP, MAC, o cualquier otro tipo de serial que permita identificar unívocamente a un usuario) que permitirían el análisis de patrones de comportamiento.
- Utilizar métodos inseguros para transferir información en línea.
- Configurar de forma errónea la integración con Facebook para menores de 13 años.
¿Qué es COPPA?
Quizás el mayor exponente legal a nivel internacional respecto a protección de la privacidad de menores es la ley COPPA, vigente en EE.UU. desde el año 2000. Esta ley regula qué debe incluirse en la política de privacidad, de qué forma y en qué ocasiones se debe buscar el consentimiento verificable de un adulto antes de manipular un determinado dato, y qué responsabilidades tiene el administrador de una plataforma con respecto a la protección en línea de la privacidad y seguridad de niños menores de 13 años, incluidas las restricciones para la comercialización de información.
Las multas asociadas a violaciones del acta pueden ascender a sumas extraordinarias. Por ejemplo, en 2016, la red de anuncios InMobi debió pagar casi un millón de dólares por recolectar la geolocalización de usuarios sin discriminar su edad. A causa de esto, muchos administradores elijen prohibir el uso de sus plataformas a menores de 13 años, antes que rediseñar sus sistemas para acoplarse a dicha ley. Como consecuencia, un álgido debate se ha creado en torno a su efectividad.
Por el momento, no existen leyes análogas en territorio latinoamericano –según mis investigaciones– y, probablemente, nos encontremos aún distantes de que leyes similares sean puestas en marcha en países de la región.
¿Qué peligros encierra la recolección indiscriminada de datos de menores?
Hay quienes consideran que no existe la gratuidad en línea. Una y otra vez escuchamos cómo las plataformas sin costo se alimentan de nuestros datos para dar valor a su negocio, en parte, gracias a la segregación de usuarios que luego pueden utilizar para vender espacio de publicidad con una mayor tasa de efectividad.
Sabemos también que la mayor parte de las apps hoy disponibles utilizan redes de publicidad de terceros (en ocasiones, más de una) como forma de ingreso, quizás sin controlar realmente qué datos se están recolectando o qué contenido se está mostrando. Pero ¿qué podría ocurrir si los datos de menores caen en las manos de redes de pedofilia o grooming?
Pasatiempos, gustos, patrones de conducta, geolocalización, número y correo electrónico, lista de amigos… Ante una fuga de datos o una compra ilícita, esta información podría facilitar significativamente la tarea un groomer a la hora de contactar y ganar la confianza de sus víctimas con campañas de Ingeniería Social dirigidas.
Además, debemos pensar en las vulnerabilidades que puedan existir en las apps dedicadas a público infantil. Fugas de información en juguetes inteligentes, apps de aprendizaje, de interacción con maestros, plataformas de control parental y registros nacionales, entre otros, pueden exponer información sensible de miles de niños, incluyendo grabaciones y fotografías.
Recordemos que, una vez que nuestros datos están en la web, perdemos control sobre ellos y puede resultar virtualmente imposible determinar si alguien ha guardado una copia de estos. Es por esto que exigir mayores controles de seguridad en el software podría significar una gran diferencia en la protección de los más jóvenes.
Asimismo, es imprescindible mantener los canales de comunicación abiertos para advertir a los menores sobre los peligros en línea y poder asistirlos ante cualquier señal de alerta, acompañar sus primeros acercamientos a la Internet a través de los distintos equipos y utilizar las herramientas de control parental para salvaguardar su privacidad.
¿Tiene sentido crear leyes para la privacidad de los niños?
Existen detractores de sancionar leyes de privacidad para menores de edad. Uno de los argumentos que estos ostentan es que la severidad de las multas aplicadas puede llegar a provocar la quiebra de los pequeños negocios que la infrinjan. Además, algunos aducen que al restringir el tipo de datos que los niños pueden compartir se está limitando su libertad de expresión.
Sin embargo, el argumento de mayor peso recae sobre el hecho de que las plataformas usualmente prefieren prohibir la utilización de sus sistemas a menores a arriesgarse a violar la ley, por lo que los niños terminan creándose cuentas fraudulentas donde pretenden ser mayores de edad, muchas veces con el consentimiento de los padres.
Un ejemplo de esto es la utilización que los menores hacen de YouTube. Según Campaign for a Commercial Free Childhood (en español, Campaña por una Niñez Libre de Comercio), el 80% de los niños entre 6 y 12 años en EE.UU. utiliza YouTube y no YouTube Kids, lo que deriva en que sus datos sean recolectados como si fuesen adultos. Algunas redes sociales enfrentan el mismo problema.
A pesar de que los usuarios encuentren formas de saltar los controles impuestos por las plataformas en cumplimiento con los controles estatales, debido en parte a la falta de educación –de menores y también de adultos– sobre riesgos en línea, la imposición de regulaciones que fuercen testeos de seguridad frecuentes sobre software para niños y responsable recolección, almacenamiento y manipulación de datos puede ser la clave para reducir la exposición digital de los menores y proteger su derecho a la privacidad.
Este será un debate que deberemos enfrentar como sociedad mientras progresamos en la creación de una ley de ciberdelito que haga frente a los nuevos peligros derivados de esta era digital, como el gromming, el ciberacoso y las redes de pedofilia.