Josep Domingo: ‘Qualsevol que controli els servidors de Telegram i WhatsApp pot llegir-ne les converses’

A partir del 25 de maig, les empreses que facin servir les vostres dades us hauran de demanar permís per a fer-ho. Si no ho fan, s’exposaran a multes que poden arribar al 4% de la seva facturació global. És una de les principals novetats del nou reglament europeu de protecció de dades, que afectarà tota empresa que operi dins el territori de la Unió Europea, encara que tingui la seu fora. La normativa respon a la creixent preocupació sobre l’ús que gegants com Google, Facebook o Amazon fan de les dades emmagatzemades cada dia. Josep Domingo Ferrer, director de la càtedra UNESCO de privadesa de dades a la Universitat Rovira i Virgili, parla amb VilaWeb i explica com n’és, de difícil, preservar la nostra privadesa. I aconsella: si voleu ser discrets, deixeu el telèfon a casa.

—Facebook i Google recullen una quantitat ingent de dades individualitzades dels ciutadans. Què en fan?
—Segmentar els usuaris per fer anuncis que lliguin amb les coses que els preocupen, amb les cerques que fan i els correus que escriuen. Per als anunciants, això té més valor que un anunci que no se sap a qui va. És la raó per la qual aquestes empreses són tan riques, aquesta publicitat es paga molt bé.

—Com esbrinen exactament quina publicitat és adequada per a cada persona?
—Per exemple, en el cas de Gmail, Google analitza de manera automàtica i rutinària les paraules clau que apareixen en els correus que envies i reps. Si tu te’n vas de viatge al Carib, ells sabran trobar la paraula clau ‘Carib’ i potser el mateix dia rebràs anuncis d’hotels i cotxes en alguna illa. No entren en el fons del missatge, però cerquen certes paraules. Hi ha molts mètodes d’enginyeria de dades i d’aprenentatge automàtic que són capaços d’identificar les paraules rellevants d’un text. Després es classifiquen segons noms de llocs, activitats, oficis… I miren de perfilar. En funció del perfil que tenen de tu i dels teus interessos d’aquell moment, t’envien anuncis.

—Recentment, ha esclatat l’escàndol del cas de Cambridge Analytica, que va tancar per haver fet servir de manera fraudulenta dades personals en la campanya de Donald Trump. Quin valor poden tenir les dades dels ciutadans per a un partit polític?
—El mateix que per a una empresa que es vulgui anunciar. Un partit polític, en el fons, és com una empresa que ven un programa electoral i vol que la gent el voti. La diferència de cara a la societat és que un producte, quan el compres, ets tu qui el pateix o el gaudeix. En canvi, quan votes, no en gaudiràs o patiràs tu i prou, sinó també els altres. Si la teva opció és guanyadora, se l’haurà d’empassar tothom. L’efecte de la publicitat és diferent, però el mecanisme publicitari és el mateix. A més, en el cas de Cambridge Analytica hi ha la qüestió afegida que els anuncis no els enviava directament Facebook, sinó que ho feia l’empresa aquesta, a partir de dades que havia obtingut de manera dubtosa.

—Per què a la gent no li fa res regalar aquestes dades?
—En gran part, la gent no n’és conscient. Veu el servei que ofereixen gratuïtament i no para a pensar que el paga amb la privadesa. Només n’és conscient quan li comporta un perjudici directe. Quan llegeixen això de Cambridge Analytica es deuen sentir molestos, però mentre no notin cap efecte advers en la seva vida, no faran res.

—És impossible preservar la privacitat?
—Has de saber fer-ho. Jo tinc internet, però intento no fer servir les coses que no necessito. Particularment, les xarxes socials no em fan cap servei, amb la comunicació de correu i telèfon ja en tinc prou. Tinc mòbil, però és cert que a vegades me’l deixo i no el duc. Però si ho vols tot, hi ha maneres: serveis de xat xifrat, de xat fugaç on els missatges s’esborren al cap d’un temps, cercadors d’internet que es comprometen a no quedar-se les metadades… T’has de molestar a cercar els serveis que són més respectuosos amb la teva privadesa.

—Aquests últims mesos hi ha hagut un creixement de l’ús de Telegram, i en menor mesura, de Signal, a la recerca del servei de missatgeria més privat. Quin garanteix millor la privacitat?
—Qualsevol que controli els servidors de Telegram i WhatsApp, en particular les mateixes empreses, pot enganyar els usuaris i llegir-ne les converses. Són confidencials sempre que el servidor es comporti de manera adequada. Si no ho fa, s’ha acabat la confidencialitat. L’empresa podria fer-ho obligada per algun govern que no li deixés cap més opció. Val a dir que, fins ara, s’hi han resistit, fins i tot quan el govern dels Estats Units els ho ha demanat. Però algun dia, si els amenacessin molt greument, tècnicament ho podrien fer. Signal és una mica millor perquè és de codi obert i tothom pot veure què fa. Les converses un a un [entre dues persones] són les més segures, les converses de grup, fins i tot a Signal, no tant. Per a formar el grup hi ha més intervenció del servidor, i com més n’hi ha més fàcil és que algú amb control del servidor pugui violar la confidencialitat de les converses.

—Aquesta resistència de Telegram i WhatsApp, doncs, és més per a mantenir la imatge pública que no pas perquè els empari cap llei?
—En les condicions de servei ells asseguren que no ho faran. Si ho fessin, les violarien i podrien rebre denúncies, i el seu prestigi cauria. Però això no vol dir que tècnicament no sigui possible. Per a evitar complexitats, els usuaris no intercanvien entre ells les claus per a desxifrar els missatges, totes vénen del servidor. Quan en l’intercanvi de claus hi intervé un servidor, un mal servidor et podria enganyar. És molt senzill, és el mètode de ‘persona interposada’. El servidor es fa passar pel destinatari i estableix la clau amb tu. Qualsevol missatge que enviïs el veu el servidor, el desxifra, el llegeix, l’encripta i l’envia al destinatari. I el que torna del destinatari cap a tu fa el mateix procés a la inversa. Tret d’un petit retard addicional, no t’adones que no parles directament amb el destinatari.

—Quins consells doneu per a mantenir la privacitat?
—El correu electrònic xifrat d’extrem a extrem és una bona manera de funcionar. Tu tens la clau pública del destinatari i li envies el missatge xifrat segons aquesta clau, llavors sí que només ho llegeix ell. Per a fer-ho, t’has de molestar a generar una clau pública, i això ni tothom ho sap fer ni tothom té ganes de fer-ho. Per als xats dels telèfons, Signal va força bé. I després, coses com treure la bateria del mòbil o no endur-te’l quan no el necessitis. Hi ha maneres d’envair la privadesa que no requereixen escoltar les teves converses. Per exemple, si et reuneixes amb Puigdemont, encara que no li enviïs cap missatge, es pot saber que heu estat a la mateixa sala, de tal hora a tal altra, només pel fet de dur el telèfon a sobre. Si tan privada és la reunió, deixa el telèfon, així despistes qui et segueix.

—Poden fer servir el nostre telèfon per escoltar-nos encara que no el fem servir?
—Com més intel·ligents són els telèfons, més exposats estan a virus i programari maliciós. I en particular, els telèfons Android, que són com els Windows dels telèfons. Hi ha programari maliciós que pot prendre el control del teu telèfon. Si algú et col·loca una aplicació maliciosa, et pot escoltar i prendre el control dels sensors de l’aparell.

—Ens podem protegir amb un antivirus, oi?
—Sí, però el problema és que els antivirus analitzen el mòbil exhaustivament, i això et pot deixar sense bateria. A més dels virus, hi ha la qüestió dels sensors, que en tenen molts i et controlen més que un ordinador. Un mòbil té el sensor de moviment, termòmetre, altímetre, de llum, d’humitat… Pot saber moltes més coses. És un aparell fàcil d’infectar, té molts sensors i, a sobre, les apps que hi instal·les –encara que no siguin virus– fan coses que no saps que les fan. Poden agafar dades teves i passar-les. Com a dispositius són poc segurs, jo tinc un telèfon de l’any de la picor que no fa res. També és una opció.

—Una altra opció seria que estiguéssim ben protegits per la legislació. La setmana vinent entrarà en vigor el nou reglament europeu de protecció de dades. És eficaç, o les empreses continuaran tenint el control de les dades dels ciutadans?
—El reglament s’orienta sobretot a la protecció de dades personals. Diu què se n’ha de fer: no es poden guardar gaire temps, se n’han d’agafar les mínimes, la gent ho ha d’autoritzar, etcètera. Una altra cosa important és que si les empreses volen fer servir les dades, les han de fer anònimes. El trànsit de dades que es podrà fer és menor.

—Per tant, canviarà res o és tan sols una qüestió burocràtica?
—Canvia que les dades personals que s’agafen s’han de demanar explícitament, però explícitament pot voler dir que et demanen si acceptes uns termes de servei, que és un arxiu que ningú no mira. Acceptes qualsevol cosa sense saber-ho, i l’aplicació fa el que li dóna la gana. I a sobre diran que és legal. Haurien de ser prou senzills perquè la gent els pogués entendre, però vaja, que t’ho hagin de demanar explícitament ja és un què. Als Estats Units per defecte et poden agafar les dades, tret que t’hi neguis. Ara, el fet de no llegir mai els termes de servei és difícil d’arreglar amb una llei.

—També pot ser que, tot i llegir-los i que no t’agradin, hi accedeixis perquè vols el servei.
—Exacte, si t’has de quedar sense aquella aplicació tan bonica que volies, al final ho faràs. És molt llaminer. És com els missatges de ‘el tabac mata’, que si estàs viciat al tabac, continuaràs fumant.

—Com és que la legislació en l’àmbit de les noves tecnologies sempre és considerablement més lent que el desenvolupament tecnològic?
—La legislació sobre tecnologies de la informació i comunicació, perquè tingui cap sentit, ha de fer-se en grans blocs econòmics. Si tu fas la legislació per un país petit –fins i tot l’estat espanyol ho és–, l’empresa no la respectarà. En un cas extrem podria renunciar al mercat d’aquell país petit pels problemes que els comporta. Has de legislar en grans blocs econòmics, i costa posar d’acord una gentada. Van passar quatre anys des que es va començar a negociar la normativa fins que va ser aprovada, i després han passat dos anys més des de l’aprovació perquè les empreses s’hi adaptessin.