Este es un espacio de debate que no compromete la opinión de La Silla Vacía ni de sus aliados.
Cada vez más usar medios de transporte es una actividad que se hace a costa de nuestra privacidad a través de tarjetas electróncias que son muy comunes. Esta es la primera entrega de mi recorrido por los vericuetos de las políticas de Tullave y cómo creo que el proceso de personalizar las tarjetas abre un boquete a la privacidad de quienes vivimos en Bogotá.
Proteger la privacidad de quienes usan el transporte público en las grandes ciudades es una preocupación muy actual. No se trata de un problema menor, pues los sistemas de transporte público desarrollan bases de datos de información que tienen la capacidad de recoger grandes cantidades de información y, con ella, datos de la vida de muchos de nosotros.
Piensen, por ejemplo, que de acuerdo con BRT Data –herramienta que compara datos de 202 sistemas de transporte similares a Transmilenio–, en Bogotá, al sistema de transporte público se le debe más de la mitad (59%) de los desplazamientos en la ciudad. Si los datos son el nuevo petróleo, el sistema puede acumular reservas importantes.
Se mencionan muchas razones para usar tarjetas electrónicas en el transporte público. Se desea con ellas facilitar el pago, ingresar al sistema y hacer trasbordos. La tarjeta sirve también para facilitar la gestión de subsidios según el tipo de población al que pertenezcamos o para hacer descuentos. Además, se usa para determinar los patrones de viajes, los tiempos y las rutas más usadas. La información que se acumula puede ser de interés de las autoridades, que se sabe suelen pedir datos en este tipo de sistemas. Esos datos también son apetecidos por el mercado privado de datos, que incluye mercadeo, pero no para allí.
Pero satisfacer estos deseos no es posible sin algún nivel de invasión a la privacidad. Por eso, cualquier sistema de tarjetas electrónicas debe incorporar un análisis de impacto y medidas para respetar los estándares de protección de derechos humanos. Imponer límites a estas actividades es lo que puede dar alguna garantía al respeto de la privacidad de las personas. No se trata de frenar el desarrollo o negar los beneficios del sistema, se trata de buscar que la recolección, almacenamiento y gestión de datos no sea un cheque en blanco que permita la vigilancia masiva o el abuso por parte de los privados.
La protección de datos ayuda dando orden en lo relacionado con la información que se recibe y garantizando que las personas puedan conocer cómo se usarán sus datos. Proteger la privacidad no termina allí, se necesita más. En este espacio quiero compatir en dos entregas mi análisis del registro para personalizar la tarjeta Tullave y mis conclusiones que se refieren a sus carencias en materia de protección a la intimidad. El análisis está basado exclusivamente en la información pública disponible a las personas que, como yo, queremos usar el transporte público de Bogotá.
La tarjeta Tullave que tenemos
La tarjeta inteligente del sistema de transporte público de Bogotá, que incluye Transmilenio, es Tullave. Actualmente Tullave informa que tiene tres tipos de tarjeta: la Básica, a la que no se asocian los datos personales y permite transbordos gratis dentro de un margen de tiempo o con descuentos; la Plus, que se personaliza con el nombre e identificación de su titular. Esta tarjeta además de los descuentos en trasbordos, ofrece viajes a crédito y recuperación del saldo cuando se pierde.
Finalmente, está la tarjeta Plus Especial, que también está personalizada y que se dirige a poblaciones concretas para administrar subsidios y descuentos. Tiene los mismos beneficios de la Plus y, además, recoge los datos biométricos de la persona titular (como la foto).
Se dijo durante varios meses que la Básica desaparecería a finales de este mes y con ella la posibilidad de ser anónimos en el sistema. La campaña durante meses fue que toda persona que quisiera usar Transmilenio debería entregar sus datos y personalizar su tarjeta antes del 30 de noviembre. En todo caso, todo indica que ya la Básica no desaparecerá, eso sí, perderá el único beneficio que tiene (descuento en transbordos), se deberá personalizar si se quiere conservar los beneficios. Al final los beneficios del servicio público de transporte en Bogotá se intercambian por tus datos.
Me gustaría creer que la razón para que el 30 de noviembre ya no desaparezca la Básica es porque los responsables buscan garantizar nuestros derechos manteniendo una opción de anonimato. Sin embargo, lo más probable es que se dieron cuenta que sin ella creaban otros problemas. Por ejemplo, ¿cómo solucionar que las personas visitantes ocasionales, como un turista, puedan viajar en el sistema?
Concentrémonos en las tarjetas personalizadas Plus y Plus Especial. Al ser personalizadas se puede identificar a la persona titular y, además de los datos que recoge el sistema sobre su actividad, todo se puede vincular con los datos entregados en el formulario de registro. El formulario también incluye: nombre e identificación, datos sobre género, dirección (fija y electrónica), teléfonos (tanto fijo como móvil).
Para 2012, por ejemplo, los formularios de registro incluían información como RH, nivel de educación, ocupación, empresa empleadora, si se pertenecía a una población especial, etcétera.
Así, con estas tarjetas se tiene una huella muy precisa de quienes usan el sistema y, por tanto, me interesa saber cómo protegen la información. Hago este ejercicio durante los días previos al plazo del 30 de noviembre.
Cuando me dispongo a hacer el registro, se puede revisar las condiciones de uso y además se puede leer las políticas de privacidad. Es importante indicar que la versión en línea de las condiciones de uso es poco amigable y no podrá revisarse en el tiempo. Lo que sucede es que se ve en una ventana emergente que no tiene URL propia para compartirles, desde allí se despliega un aviso de “aceptación de términos y condiciones de la tarjeta inteligente sin contacto personalizada de usuarios del SITP”, que incluye 20 numerales descriptivos de las condiciones.
Tullave no protege nuestra privacidad
En las condiciones de uso de Tullave, llama la atención el numeral 16: “El usuario autoriza a Recaudo Bogotá S.A.S para utilizar la información relativa a sus datos personales para cualquier finalidad, siempre y cuando se preserve la confidencialidad de la información”. En el resto de los documentos no hay ninguna referencia a cómo protegen nuestros datos sino que se ocupan de indicar las finalidades para las que quieren usar los datos. Es decir, piden un cheque en blanco porque deberíamos confiar en ellos, así sin más.
Y, ¿para qué quieren nuestros datos? La política de privacidad es un documento típico para cumplir con la obligación legal de protección de datos y, efectivamente, hace honor al numeral 16 de las condiciones de uso.
Recaudo Bogotá, la empresa responsable, nos informa que usará los datos para mantener contacto con nosotros –tanto para información sobre el servicio como para promociones–, proveer e informar sobre los productos y servicios, realizar estudios estadísticos y de conocimiento de quienes usan los servicios, y, además una muy amplia cláusula adicional para “(u)tilizar sus datos por Recaudo Bogotá, sus empresas asociadas y por terceros que tengan vínculos comerciales con nosotros para el desarrollo de actividades comerciales, de mercadotecnia y transaccionales para fines del desarrollo de las funciones propias de la prestación de sus servicios tales como enviar información y publicidad de productos y/o servicios disponibles, entregar reportes a las autoridades de vigilancia y control o cualquier otro fin legítimo de acuerdo con las leyes vigentes”.
En suma, Recaudo Bogotá puede compartir o vender los datos que entregamos en el formulario y los que producimos al viajar con casi cualquiera y para enviar publicidad y cualquier otro fin.
Acá no termina. La política de privacidad nos envía a una política de tratamiento de datos, que incluye otras dos finalidades: entregar datos personales a terceros para que envíen información de interés general y almacenar datos en servidores ubicados en EEUU.
Es decir, ninguna de las políticas explica los compromisos de Transmilenio con nuestra privacidad. De acuerdo con estos documentos, simplemente debemos confiar en que nuestros datos están en buenas manos porque ellos lo afirman. No encontré qué significa que se respete la confidencialidad de los datos. No hay compromisos con principios como el de minimización en la recolección de datos y, mucho menos, uno que diga que su uso será limitado a los efectos del servicio. De hecho, como vimos, la finalidad del tratamiento de datos que tienen es tan amplia que Recaudo Bogotá puede compartirlos con cualquiera, pues está diseñado para que los autoricemos y, además, para cualquier finalidad.
El grave problema de estas políticas es que ninguna actividad, cualquiera que sea, mucho menos la de prestación del servicio de transporte público, puede recolectar datos para cualquier propósito. De acuerdo con la ley de protección de datos, la recolección de datos debe tener una finalidad concreta y ésta debe estar determinada por la actividad que desarrolla quien los recolecta. Es decir, si tengo una panadería con un sistema de cliente frecuente, que recoge datos personales para ofrecer sus ofertas especiales, no podría desarrollar un negocio paralelo de venta de los datos de mis clientes. Ese no es el fin para el que cree el sistema de cliente frecuente en mi panadería.
Recaudo Bogotá no solo debe diseñar un sistema que proteja la intimidad, sino que también debe trabajar para que la recolección y uso de datos impacte positivamente la actividad en beneficio de las personas titulares de datos y las que usan el sistema. La recolección de datos debe ser proporcional al beneficio de la ciudadanía.
Pero además frente a este panorama, es necesario también problematizar la autorización. Más allá de que Recaudo Bogotá cree que puede pedir autorización para cualquier cosa, como si la ley no tuviera límite, lo que sí es cierto es que legalmente necesitan autorización y la están pidiendo en la forma de un cheque en blanco.
En la segunda entrega de esta columna explicaré cómo el consentimiento que nos piden busca legitimar el cheque en blanco, cómo Tullave no desarrolla políticas de transparencia para evitar abusos de las autoridades que no necesiconsentimiento para pedir nuestros datos, y por qué, comparado con lo que sucede en otras partes, no tendríamos por qué conformarnos con un sistema tan desbalanceado de recolección, almacenamiento y uso de nuestros datos.
