Windows 10 y la protección de datos por defecto

El Reglamento Europeo de Protección de Datos nos trae numerosas novedades en materia de protección de datos; entre estas novedades tenemos la protección de datos por defecto y el principio de minimización de datos. Windows 10 (su instalación) es un ejemplo de por qué el legislador europeo ha querido incluir estos principios para intentar proteger al usuario final, aunque grandes compañías, como Microsoft en este caso que voy a comentar, no parece que le presten atención.

El Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), se encuentra en vigor desde el 25 de mayo de 2016 24 de mayo de 2016 como bien me apunta Pedro Rodríguez López de Lemus en los comentarios de la entrada, si bien sus disposiciones no son aplicables hasta el 25 de mayo de 2018.

Este RGPD nos trae muchas novedades, pero voy a comentar, con un ejemplo, una de las muchas cuestiones que más complicado será de respetar en un futuro, la denominada protección de datos por defecto y el principio de minimización de datos.

La protección de datos por defecto se recoge en el artículo 25 del RGPD, y nos indica que el sujeto que vaya a tratar datos personales deberá aplicar medidas para garantizar que, por defecto, solo se traten los datos personales necesarios para el fin específico de ese tratamiento.
Por otro lado, el principio de minimización de datos nos obliga a tratar los datos personales de forma limitada a lo estrictamente necesario en relación con los fines para los que son tratados, muy similar al principio de calidad de datos recogido actualmente por nuestra LOPD.

Trasladados estos principios al ámbito de una aplicación informática, vendrían a obligar a que la aplicación trate, por defecto, los datos mínimos e imprescindibles para la finalidad propia de esa aplicación; se puede poner el ejemplo clásico de esa aplicación de linterna para el móvil que solicita permisos para acceder a los contactos, a los SMS, al micrófono, etc. Con el RGPD siendo de aplicación, esta circunstancia ya no se trata de una buena práctica o recomendación en el diseño de una aplicación informática, sino que nos encontramos ante una obligación legal con consecuencias sancionadoras si no se respeta.

¿Y qué sucede con Windows 10?

La instalación de Windows 10 es un ejemplo de cómo no respetar estos principios.

Durante la instalación llega un momento en el que veremos una ventana como esta:

Ventana 1

En este punto se nos avisa que o bien podemos elegir la opción “usar la configuración rápida” (botón grande a la derecha con el cursor del ratón ya encima del botón porque venimos de pulsar un “siguiente” que se encuentra exactamente en ese sitio) o bien podemos “personalizar configuración” (link de texto a la izquierda con un tamaño de fuente más pequeña que el resto del texto de esa ventana), nada es casual.
Se nos avisa eso sí, que si elegimos la opción de configuración rápida, vamos a enviar una serie de cosas a Microsoft, aunque no queda claro el qué y cómo exactamente.

Pero si le damos a “personalizar configuración”, nos encontraremos con 3 ventanas tales como estas:

Ventana 2
Ventana 3
Ventana 4

Como se puede observar, se tratan de opciones de configuración, todas ellas premarcadas (aceptadas por defecto) para cosas como:

  • Personalizar la voz, escritura y entrada de lápiz enviando a Microsoft mi agenda de contactos, calendarios, y “otra información” no especificada.
  • Permitir que las aplicaciones (no se sabe cuáles) utilicen mi identificador de publicidad (que no sé qué es) para las experiencias (¿qué experiencias?) entre aplicaciones.
  • Permitir que Skype compruebe mi número de móvil y se descargue mi libreta de direcciones, y ojo que advierte que se pueden aplicar cargos por SMS (de esto no me decías nada en la primera ventana Windows 10).
  • Compartir mi ubicación con las aplicaciones, facilitar mi historial de ubicaciones y enviar a Microsoft y sus “asociados de confianza” (¿quiénes son esos?) datos de mi ubicación para mejorar sus servicios.
  • Conectarse automáticamente a wifis abiertas.
  • Enviar a Microsoft información sobre errores y diagnósticos, sin indicar qué tipo de información se envía.
  • Enviar mis datos de exploración o navegación por Internet (las páginas que visite cada día) a Microsoft para mejorar mi experiencia.
  • Utilizar mi conexión a Internet y mi sistema para enviar actualizaciones a otros equipos desconocidos.

Todos estos tratamientos de datos no son necesarios para la finalidad que persigo al instalar Windows 10, que es, en esencia, tener un sistema operativo, y no que se pretenda mejorar mi experiencia de múltiples formas o que se facilite mi agenda de contactos o mi historial de navegación a terceras empresas que no puedo ni identificar, o que mi historial de ubicaciones se vaya a compartir también con otras empresas.
En definitiva son tratamientos de datos que por defecto deberían venir desactivados y debería ser el usuario quién, mediante una acción positiva, los autorice.

De hecho, en materia de consentimiento el RGPD también introduce algunas novedades. Por ejemplo, el consentimiento deberá darse “mediante un acto afirmativo“, y explica que “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento“.

Por tanto, no habría habido ningún problema si por defecto todas las opciones que se ven en las imágenes hubieran venido desmarcadas y que fuera así la opción que aplica el botón grande de “usar la configuración rápida”; y que si el usuario quiere consentir alguno de los tratamientos adicionales, entonces entre en “personalizar configuración” y marque cada uno de esos tratamientos adicionales.

Esta situación va en línea del artículo 15 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal en su redacción actual (seguramente será modificado cuando se revisen las disposiciones actuales en materia de protección de datos para adaptarlas al RGPD), pero se da un paso más allá en la protección del usuario final.

La protección de datos por defecto y desde el diseño son dos elementos que van a generar frustración e incomodidad a la hora de desarrollar una aplicación informática que trate de alguna manera datos personales; será un elemento más del que preocuparse: no solo deberá ser segura, ágil, escalable, etc, sino que además deberá tratar los datos personales respetando el principio de minimización de datos y con una protección de datos por defecto y desde el diseño.

13 comentarios en “Windows 10 y la protección de datos por defecto”

  1. Buen artículo.

    Cuando hace unos meses me compré un nuevo portátil, tuve la experiencia que comentas.

    Gracias a que soy “un zorro viejo” en esto de las instalaciones por defecto, no caí en la tentación de hacer una instalación rápida.

    “Alucine”, de la cantidad de información que hubiera ido a empresas que ni siquiera conozco, si llego a pulsar la opción e instalación rápida (como lo haría, seguramente, la mayor parte de la gente).

    Añadido a esto, cuando fui a comprarlo, la tienda lo ofrecía “ya configurado”, con varias aplicaciones instaladas (por solo 20€ más). Cuando le dije al vendedor que lo quería sin instalar, para configurar yo lo que quisiera, me dijo de todo para convencerme, aunque no lo consiguió.

    Comento esto porque si, por comodidad, le hubiese hecho caso al vendedor, ni siquiera hubiera tenido opción de anular o marcar las opciones de la instalación.

    Lo triste es que si queremos decidir sobre nuestra privacidad, tengamos que ser expertos en instalaciones de sistemas operativos o de configuración de software de cualquier dispositivo (televisión, móvil, y pronto de coches).

    Aunque más triste es aún, que cuando explico esto a mis amigos y familiares, les importa muy poco…

    Un saludo.

    Responder
    • Gracias Carlos, esa última frase tuya es el problema de la sociedad actual, que les importa muy poco este tipo de cosas. Quieren hacer la instalación lo más rápido posible sin tener que configurar nada, y lo dejan todo por defecto. Y además tampoco tienen el más mínimo interés en intentar aprender un poco o investigar un poco en estas cuestiones… hablo en términos generales, desde luego que sí hay personas, no profesionales, que se preocupan.

      Responder
      • Estas situaciones que siempre, y con merecida sapiencia manejas y nos comunicas, Samuel (perdón por llamarte así en un tono tan personal, como si fuésemos amigos), se debe precisamente a que nos hemos “despersonalizado” bastante de lo que hacemos. Ya nos movemos en forma tan mecánica, felices por la adquisición de un nuevo dispositivo o un nuevo ordenador, que queremos instalar la paquetería, sin fijarnos en qué estamos instalando realmente, y cómo ese impulso por darle a todo SIGUIENTE, nos convierte en esclavos de otros, quienes a su voluntad nos dicen qué elegir, qué comprar, qué hacer. En fin, nos definen el estilo y proyecto de vida, que se lo debemos a la llamada <>, y que magistralmente lo expone el autor de HOMO DEUS. Una breve historia del mañana

        Responder
  2. Samuel, has puesto blanco sobre negro y con gran claridad qué hacen con nuestros datos los de Microsoft, y también quiero apuntar que a nivel técnico windows es de lo peor. No me digáis que a nadie le ha pasado que vuestro ordenador se pone a actualizar, cuando le da la gana y en el peor momento ¡¡durante no sé cuantas horas!!
    Un saludo.

    Responder
  3. Estimado Samuel:

    Buena llamada de atención, totalmente de acuerdo.

    No obstante, te hago un comentario sobre un posible error, que aunque nimio, me genera la impresión de ver a todo el mundo en dirección prohibida por una carretera, y a lo mejor soy yo el que está equivocado (y soy quien va en dirección prohibida), y no el resto.

    Comienzas tu estupendo artículo indicando que el RGPD se encuentra en vigor desde el 25 de mayo de 2016. Del mismo modo, la AEPD indica en su sitio web que “el 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD)…” (http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php).

    Sin embargo, creo que este Reglamento entró en vigor el 24 de mayo de 2016.

    El 4 de mayo de 2016 se publicó este Reglamento en el Diario Oficial de la Unión Europea, y según establece su artículo 99, sobre entrada en vigor y aplicación, “el presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea”. Es decir, a los veinte días del 4 de mayo, por tanto, el 24 de mayo de 2016, no el 25. Cosa distinta, es que “será aplicable a partir del 25 de mayo de 2018”, es decir, al día siguiente de haber pasado dos años desde su entrada en vigor.

    Hago aquí la suma para que no quede duda: al día siguiente del día de su publicación (el 4 de mayo de 2016) es el 5 de mayo, a los dos días siguientes es el 6 de mayo, a los tres días siguientes es el 7 de mayo, a los cuatro días siguientes es el 8 de mayo, a los cinco días siguientes es el 9 de mayo, a los seis días siguientes es el 10 de mayo, a los siete días siguientes es el 11 de mayo, a los ocho días siguientes es el 12 de mayo, a los nueve días siguientes es el 13 de mayo, a los diez días siguientes es el 14 de mayo, a los once días siguientes es el 15 de mayo, a los doce días siguientes es el 16 de mayo, a los trece días siguientes es el 17 de mayo, a los catorce días siguientes es el 18 de mayo, a los quince días siguientes es el 19 de mayo, a los dieciséis días siguientes es el 20 de mayo, a los diecisiete días siguientes es el 21 de mayo, a los dieciocho días siguientes es el 22 de mayo, a los diecinueve días siguientes es el 23 de mayo, y a los veinte días siguientes es el 24 de mayo.

    No obstante, es posible que yo haya cometido algún error de apreciación (y sea yo quien va en dirección prohibida), por lo que desde ya te ruego que me disculpes.

    Un saludo cordial

    Responder
  4. Añadid a lo ya indicado en el post que, cuando activas windows 10, por defecto te redirige a configurar una cuenta de usuario asociado a una identidad online tipo LDAP lo que hace que microsoft gestione grupos, ID de usuario y contraseñas a nivel de empresa, en lugar de gestionarlos en cada sistema individual. En mi caso concreto, al usar este tipo de identificación e instalas windows 10 en varios equipos, al usar un usuario LDAP me importó hasrta el fondo de escritorio.

    Al igual que en le caso de la selección de preferencias, puedes optar también por el clásico usuario y contraseña de toda la vida pero está muy escondido.

    Responder
  5. una pregunta,…ya no se puede hacer nada, al respecto en relación a la CONFIGURACIÓN RAPIDA esa?, que quienes no tenemos ni pajualera idea de informática, yo por lo menos, no quiero que Microsoft tengo la agenda de mis contactos , ni nada personal mio, solamente quiero que me sirva para buscar información y para simplemente tener un sistema operativo. Muchas gracias

    Responder

Deja un comentario