Ir directamente al contenido

Controles de privacidad digital: Análisis interdisciplinario desde la informática y el derecho.

21 agosto, 2025
tags: , , ,

Introducción

En un mundo cada vez más conectado, la privacidad digital se ha convertido en un punto focal tanto para tecnólogos como para juristas. La reciente columna de Eman Alashwali titulada “Two Types of Data-Privacy Controls” (Communications of the ACM, agosto de 2025) subraya la distinción fundamental entre dos modalidades de control de la privacidad de los datos: por un lado, la privacidad entre usuarios (es decir, la visibilidad social de la información personal frente a otros individuos) y, por otro lado, la privacidad entre el usuario y las instituciones (el control sobre cómo las organizaciones o servicios utilizan los datos del usuario). Alashwali argumenta que muchas plataformas han mejorado principalmente los controles del primer tipo (p. ej., quién puede ver nuestras publicaciones), mientras pasan por alto o son menos transparentes respecto al segundo tipo (cómo la empresa o terceros explotan nuestros datos). Esto puede generar en los usuarios una falsa sensación de control sobre su información, al creer que protegen su privacidad cuando en realidad solo controlan la exposición social, mientras que el uso institucional de sus datos sigue ocurriendo entre bastidores. La tesis de Alashwali plantea, por tanto, la necesidad de diferenciar y equilibrar ambos tipos de controles para evitar confusiones y proteger efectivamente la privacidad.

Privacidad entre usuarios vs. privacidad frente a instituciones

Diversos investigadores han reconocido la dualidad conceptual señalada por Alashwali empleando distintas terminologías. Por ejemplo, Raynes-Goldie (2010) acuñó los términos “privacidad social” (en relación con otros usuarios) versus “privacidad institucional” (frente a entidades como plataformas o gobiernos). Heyman et al. (2014) hablaron de privacidad “como sujeto” para referirse al control de lo que un usuario revela a otros usuarios, frente a privacidad “como objeto” para referirse al control sobre lo que se revela a terceros (donde el individuo es visto como objeto de minería de datos). En una línea similar, Brandimarte, Acquisti y Loewenstein (2013) clasificaron los controles de privacidad según su propósito: los controles de divulgación (release controls) que regulan la información compartida entre personas, y los controles de uso (usage controls) que regulan cómo los proveedores de servicios o terceros utilizan la información del usuario. Más recientemente, Bazarova y Masur (2020) propusieron integrar enfoques individualistas, de red y institucional para entender la divulgación y privacidad en entornos en línea, distinguiendo explícitamente entre un enfoque “en red” donde la información fluye horizontalmente entre usuarios, y un enfoque “institucional” donde los datos fluyen verticalmente entre el usuario y la institución que los recoge. Estas conceptualizaciones subrayan que la privacidad opera en diferentes dimensiones (la interpersonal y la institucional) y que requieren soluciones de control distintas.

La distinción entre privacidad social y privacidad institucional no es meramente teórica, sino que tiene consecuencias prácticas importantes. Como señala Alashwali, en los últimos años las plataformas digitales (redes sociales, servicios web, etc.) han tendido a enfatizar los controles “user-to-user”, por ejemplo, permitiendo configurar quién ve el perfil o determinadas publicaciones, mejorando así la autogestión de la visibilidad de la información frente a pares. Sin embargo, esos mismos servicios con frecuencia ofrecen un control mucho más limitado sobre el uso secundario que la empresa hace de los datos recopilados (perfilado para publicidad, compartición con terceros, retención prolongada de información personal, etc.). Cuando se ignora la diferencia entre estas dos capas de privacidad, es común que el usuario medio experimente una disonancia: puede sentirse seguro por saber manejar ajustes de confidencialidad en su perfil público, mientras desconoce las operaciones menos visibles que ocurren con sus datos a nivel institucional. Esto puede llevar a lo que algunos investigadores llaman la “paradoja del control”: a mayor percepción de control en la esfera social, menor preocupación por la privacidad en general, aun cuando persistan riesgos significativos en la esfera institucional. Un ejemplo claro es la situación descrita por Stutzman como los “oyentes silenciosos” en redes sociales: el usuario se preocupa por quién de sus contactos ve una publicación comprometedora, pero quizá pase por alto que anunciantes o terceros analizan esa misma publicación para perfilarlo, porque ese proceso es invisible para él. La cuestión es aún más preocupante cuando países como Estados Unidos, previo a la concesión del ESTA requiere que tengas abiertos tus perfiles en redes sociales….

Desde una perspectiva jurídica, la dimensión usuario-institución de la privacidad es la que típicamente abordan las leyes de protección de datos. El derecho a la protección de datos personales se enfoca, grosso modo, en regular cómo las organizaciones recogen, utilizan y comparten los datos personales, otorgando al individuo derechos (derecho de acceso, rectificación, supresión, oposición, etc.) y estableciendo obligaciones para los responsables del tratamiento (deber de obtener consentimiento válido, respetar finalidades declaradas, garantizar seguridad, etc.). Podría decirse que las leyes como el Reglamento General de Protección de Datos (RGPD) de la UE codifican mecanismos de “privacidad frente a la institución”: por ejemplo, obligando a que el tratamiento tenga una base legal (como el consentimiento del interesado), limitando la retención y uso de datos al propósito original, y exigiendo transparencia sobre dichas prácticas. En cambio, la privacidad entre usuarios ha sido tradicionalmente terreno de la autogestión (configuraciones que cada individuo aplica) y, en ciertos ámbitos, de normas específicas (p. ej., leyes contra el ciberacoso, difusión no consentida de imágenes íntimas, etc., que protegen la privacidad interpersonal en contextos particulares). Esto refleja un desajuste: la protección institucional depende más de obligaciones legales y arquitecturas internas del sistema, mientras que la protección social es más visible y tangible para el usuario final a través de interfaces y opciones. De ahí la importancia de combinar ambas perspectivas: un diseño socio-técnico integral de la privacidad debe brindar al usuario controles significativos en ambas dimensiones (qué comparte y con quién, y qué se hace con sus datos tras compartirlos), apoyados tanto por buenas prácticas de ingeniería como por garantías legales.

Legislación y computación en el control de datos

Los modelos de control de datos personales difieren en su origen disciplinar. Desde la óptica jurídica (especialmente en la tradición europea de protección de datos), el control se articula en torno a principios legales y derechos del individuo sobre su información. Un principio central es el del consentimiento informado del titular: ningún dato personal debe tratarse legítimamente sin una justificación legal, siendo la más paradigmática el consentimiento libre, específico e informado de la persona. De hecho, en palabras de un análisis comparado, el consentimiento se considera “la piedra angular del derecho de protección de datos” en sistemas como el europeo (referencia). A este se suman otros principios complementarios, como la limitación de la finalidad del tratamiento (usar los datos únicamente para el propósito legítimo declarado), la minimización de datos (recolectar solo los datos adecuados, pertinentes y estrictamente necesarios), la exactitud (mantenerlos actualizados y corregir errores), la limitación del plazo de conservación y la integridad y confidencialidad (seguridad) de los datos. Estos principios conforman un modelo jurídico donde el control se ejerce mediante la imposición de obligaciones a los responsables: deben pedir consentimiento o tener otra base legal, informar al usuario y respetar sus elecciones, no extralimitarse en el uso de la información y protegerla debidamente. Además, el individuo cuenta con derechos accionables (acceder a sus datos, rectificar errores, oponerse a ciertos tratamientos, revocar consentimiento, etc.) que le permiten intervenir en el ciclo de vida de sus datos. En suma, el derecho construye el control de la privacidad como un conjunto de garantías normativas y mecanismos de cumplimiento que buscan darle al ciudadano agencia sobre sus datos frente a las organizaciones.

Desde la perspectiva computacional, por otro lado, el control de datos se plasma en mecanismos técnicos e interfaces de usuario diseñadas para implementar esas intenciones. En sistemas informáticos, el control suele tomar la forma de controles de acceso y de flujo de información: quién puede acceder a qué datos, bajo qué condiciones, y cómo se restringe su propagación. Por ejemplo, a nivel de arquitectura técnica, se utilizan modelos de autorización (listas de control de acceso, roles de usuario con diferentes permisos, políticas de compartición), cifrado y anonimización (para limitar la legibilidad de los datos a quienes tengan la clave o para remover identificadores personales), y auditorías y registros (logs) que permiten rastrear usos indebidos. Muchos de estos controles informáticos se centran en la dimensión “entre usuarios”: las configuraciones de privacidad de una red social, por ejemplo, son implementadas por funciones en el software que filtran quién puede ver cierto contenido. Sin embargo, controlar el “uso institucional” de los datos mediante la tecnología es más complejo. Una vez que el dato ha sido entregado a una entidad (y podemos extender la inquietud a los monederos digitales) , impedir por medios puramente técnicos que esta lo analice o transmita a terceros requiere enfoques más avanzados, como políticas de uso declarativas incrustadas en los datos (un área de investigación conocida como uso controlado de la información), o técnicas criptográficas que permiten cierto procesamiento de datos sin revelarlos plenamente (p. ej., computación homomórfica o comparticiones seguras). En la práctica, muchas instituciones se rigen por mecanismos de gobernanza interna de datos: protocolos empresariales sobre quién dentro de la organización puede consultar ciertos datos (por ejemplo, compartimentar bases de datos de clientes, limitar acceso del personal salvo necesidad justificada), y herramientas que aplican automáticamente políticas de retención o anonimización después de cumplido el propósito.

Un punto crucial donde confluyen ambos enfoques es en el concepto de “controles de uso” de la información. Como mencionamos, Brandimarte et al. definieron los usage controls (controles de uso) como aquellos dirigidos a restringir cómo el proveedor del servicio o terceros pueden utilizar la información del usuario. Jurídicamente, esto se aborda con cláusulas legales y supervisión regulatoria; computacionalmente, se intenta abordar mediante diseños que limiten técnicamente esos usos. Un ejemplo son las opciones de opt-out o ajustes dentro de una plataforma para desactivar la personalización de anuncios: si bien se presentan al usuario como una casilla en la interfaz (una implementación técnica de preferencia), reflejan en el fondo una exigencia legal de permitir al individuo oponerse a ciertos tratamientos (perfilado, marketing) y una lógica de respeto a la finalidad original. Otro ejemplo más sofisticado es la incorporación de técnicas de privacidad diferencial (que discutiremos más adelante) en sistemas de análisis de datos: desde la perspectiva legal, sería una forma de cumplir con la obligación de no divulgar datos personales no agregados; desde la ingeniería, es un mecanismo matemático que controla la divulgación de información estadística con garantías formales. Vemos así que los modelos computacionales tienden a materializar el control de formas muy específicas (configuraciones binarías, algoritmos de restricción, protocolos de seguridad), mientras que los modelos jurídicos proporcionan el marco normativo y los principios abstractos que deben guiar esas implementaciones. La interacción efectiva entre ambos mundos (law in books y law in code) es fundamental para que los controles de privacidad sean realmente operativos: si la ley exige algo inviable técnicamente, quedará en letra muerta; si la tecnología ofrece opciones sin respaldo legal o sin una alineación con derechos, el control puede ser fácilmente soslayado por los poderosos (por ejemplo, un ajuste en la app que de nada sirve si la compañía puede cambiar unilateralmente sus términos). La disciplina emergente de la “privacidad desde la ingeniería” o “privacy engineering” precisamente busca traducir estos principios legales en requisitos y soluciones técnicas, y viceversa, lograr que las arquitecturas informáticas informen regulaciones más realistas. Como apuntan algunos autores, la ingeniería de la privacidad forma parte de un imaginario tecno-regulatorio más amplio donde las protecciones de derechos fundamentales se internalizan en el diseño tecnológico como una forma de regulación en sí misma (referencia).

Críticas y alternativas al consentimiento

Históricamente, el consentimiento informado del usuario ha sido la piedra angular de la protección de la privacidad, tanto en el discurso legal como en la práctica industrial. Sin embargo, han surgido tendencias entre los académicos de diversas disciplinas señalando las limitaciones y fallas sistémicas de este modelo de “aviso y elección” (notice-and-choice). Richards y Hartzog (2019) se refieren a las múltiples formas en que el consentimiento digital fracasa en la práctica como las “patologías del consentimiento”. Destacan que en el entorno digital actual se pide a los usuarios que consientan constantemente (a términos de servicio interminables, a políticas de privacidad opacas, al uso de cookies y rastreadores, etc.) y bajo condiciones muy lejos del ideal de un consentimiento plenamente libre y consciente. De hecho, aunque la teoría presume que el consentimiento refleja una elección informada, la realidad es que a menudo los usuarios clican “Aceptar” sin leer ni comprender (sea por fatiga, por necesidad de acceder al servicio, o porque la alternativa es no usar la tecnología). Esta brecha entre el ideal y la práctica genera varios “defectos” o patologías: consentimientos obtenidos bajo coacción indirecta (ej. “o aceptas las condiciones o no puedes usar el servicio”), consentimientos no leídos o no entendidos (jerga legal o técnica inabordable para el ciudadano medio), y consentimientos prácticamente vacíos de elección (pues todos los proveedores imponen condiciones similares, dejando al usuario sin opciones reales en el mercado digital). Lejos de ser un auténtico control para el individuo, el consentimiento se convierte muchas veces en un mecanismo de transferencia de responsabilidad: la empresa se blinda legalmente (“el usuario aceptó”) mientras el usuario, abrumado, cede datos.

Una de las consecuencias más discutidas de este fenómeno es la llamada “paradoja de la privacidad”: la aparente inconsistencia entre las actitudes de los usuarios (que suelen declarar preocupación por su privacidad) y su comportamiento (que frecuentemente la ceden con facilidad). Estudios recientes argumentan que esta paradoja no necesariamente implica hipocresía o desinterés de los usuarios, sino que refleja cómo el entorno de consentimiento forzado distorsiona sus decisiones. En palabras de Richards y Hartzog, las patologías del consentimiento explican cómo los consumidores pueden ser “empujados y manipulados” por empresas poderosas en contra de sus verdaderos intereses, especialmente cuando las protecciones legales están lejos del estándar ideal. Por ejemplo, un usuario puede terminar compartiendo más datos de los que querría simplemente porque la interfaz de consentimiento está diseñada con patrones manipulativos (dark patterns) que lo conducen a ello. Investigaciones en el campo de la interacción humano-computadora (HCI) han documentado la prevalencia de estos dark patterns en las interfaces de privacidad, particularmente en los banners de cookies introducidos tras el RGPD. Utz et al. (2019) hallaron que tácticas de “interferencia de interfaz” tales como resaltar visualmente el botón “Aceptar” en un cuadro de consentimiento, mientras se oculta o dificulta la opción de “Rechazar”, o presentar ciertas casillas ya pre-marcadas a favor del consentimiento, aumentan significativamente la tasa de aceptación de cookies de terceros por parte de los usuarios (ver referencia). Del mismo modo, Nouwens et al. (2020) y Matte et al. (2020) reportaron que una proporción sustancial de sitios emplean diseños que vulneran el requisito legal de un consentimiento libre: por ejemplo, muros de consentimiento que bloquean el acceso hasta aceptar (lo cual difícilmente es “libre”), o largas listas de propósitos poco claras con el botón de opt-out deliberadamente escondido. Estas prácticas erosionan la efectividad del consentimiento como salvaguarda, convirtiéndolo en un trámite superficial que legitima prácticamente cualquier tratamiento de datos.

Debido a lo anterior, numerosos académicos y legisladores están replanteando el paradigma. Una línea de crítica aboga por reducir la carga del consentimiento individual y fortalecer las responsabilidades proactivas de las organizaciones. En lugar de esperar que cada usuario lea centenares de avisos y tome decisiones informadas para cada ínfimo tratamiento de datos, se postula que la ley debe imponer deberes de lealtad y cuidado a las entidades que manejan información personal. Por ejemplo, Richards y Hartzog proponen pasar hacia un modelo basado en la confianza: conceptos como el de “fiduciario de datos” o “lealtad del tratamiento” implican que las empresas tendrían un deber legal de actuar en el mejor interés de los usuarios en cuanto a sus datos, evitando usos que los perjudiquen, independiente de que hayan obtenido o no un consentimiento técnico (y a veces hasta de cuestionable legitimidad). Esto encaja con ideas procedentes del derecho de consumo y de la ética empresarial: así como un asesor financiero debe actuar en beneficio de su cliente y no aprovecharse aunque el cliente firme algo, un controlador de datos debería tener límites claros que van más allá de obtener un clic de “Acepto”. Otras propuestas complementarias incluyen mejorar la transparencia y comprensibilidad de las políticas (aunque la eficacia de meras mejoras informativas es debatida), y especialmente el diseño de interfaces centradas en la privacidad. Aquí la informática y el derecho convergen: si la ley exige consentimiento “informado” y “libre”, el diseño debe facilitar realmente decisiones libres e informadas, no obstaculizarlas. Este entendimiento ha llevado a discusiones sobre la necesidad de regular o guiar las interfaces (por ejemplo, prohibiendo ciertos dark patterns en formularios de consentimiento, o estandarizando iconos y frases claras para opciones de privacidad). En síntesis, la tendencia actual es reconocer que el consentimiento, aunque es importante, no puede ser el único pilar, debe integrarse en una estrategia de protección más amplia que incluya responsabilidad demostrable de los responsables, controles técnicos efectivos y quizás modelos alternativos de autorización para ciertos usos de datos (por ejemplo, basados en evaluaciones de interés público o riesgos, más que en pedir permiso individual para todo). Este giro conceptual representa un esfuerzo por re-equilibrar la carga de la privacidad: aligerarla del individuo y colocar más obligaciones en quienes diseñan y operan los sistemas de información.

Diseño, arquitectura técnica y normativa: intersecciones clave

Una de las áreas más fértiles en la investigación reciente sobre privacidad es la intersección entre el diseño de sistemas (HCI, ingeniería de software) y las exigencias legales. Tradicionalmente, los expertos en usabilidad y los juristas han trabajado en paralelo, con poca interacción directa. Sin embargo, el advenimiento de marcos regulatorios estrictos como el RGPD y la creciente conciencia de que las interfaces pueden habilitar o socavar derechos, han impulsado enfoques interdisciplinarios. Un ejemplo emblemático es el análisis de banners de consentimiento de cookies desde una perspectiva tanto de experiencia de usuario como jurídica. Gray et al. (2021) llevaron a cabo un estudio interdisciplinario aplicando la noción de dark patterns para examinar hasta qué punto distintos diseños de avisos de consentimiento cumplen (o violan) los requisitos legales de consentimiento en la UE (ver referencia). Su trabajo reunió perspectivas de diseño de interacción, privacidad informática y derecho de protección de datos, identificando tensiones y sinergias: por ejemplo, descubrieron que ciertos diseños persiguen la aceptación del usuario a costa de principios legales como la libre elección, generando conflictos entre lo que sería una buena UX para la empresa (más datos recolectados) y el cumplimiento normativo estricto. Concluyen señalando la necesidad de un diálogo interdisciplinario entre las comunidades de informática, diseño, ética y derecho para traducir las preocupaciones éticas en políticas públicas y, a la vez, para guiar a los diseñadores hacia soluciones que respeten efectivamente los derechos. En la misma línea, Santos et al (2021) enfatizan que la investigación legal raras veces intersecta con HCI, y que abordar lagunas en cumplimiento (como la identificación de qué dark patterns podrían ser declarados ilegales bajo ciertas leyes) exige colaboraciones profundas entre ambas áreas.

Otro estudio reciente, de Rohan Grover (2024), exploró cómo los desarrolladores de software internalizan y ejecutan las tareas de cumplimiento de la protección de datos en su trabajo cotidiano (“Encoding Privacy: Sociotechnical Dynamics of Data Protection Compliance Work”). Sus hallazgos son reveladores: cuando normativas como el RGPD entran en juego, no solo actúan como restricciones, sino que también abren un espacio para que los ingenieros den forma a la implementación práctica de la ley en sus organizaciones (ver referencia). En otras palabras, los trabajadores técnicos median la ley, interpretando conceptos jurídicos abstractos (como “diseño por defecto” o “medidas técnicas apropiadas”) y traduciéndolos en decisiones concretas de producto. Grover observó que algunos desarrolladores en Norteamérica vieron en el RGPD una oportunidad profesional para influir internamente: por ejemplo, definiendo junto con sus equipos qué significa realmente el “espíritu de la ley” y cómo lograr que las prácticas de la empresa estén acordes con él. Esto apunta a una evolución interesante del rol del ingeniero/arquitecto: de ser meros receptores de requisitos legales a convertirse en co-creadores de cumplimiento, actuando como puentes entre abogados y sistemas. Sin embargo, este rol no está exento de desafíos: investigaciones de Gray et al. (2024) con profesionales de experiencia de usuario encontraron que muchos diseñadores carecen de formación o apoyo para entender asuntos legales, lo que produce incertidumbre e inconsistencia en cómo integran (o ignoran) consideraciones regulatorias en los proyectos. Estos estudios de caso resaltan la necesidad de dotar a los equipos técnicos de herramientas, conocimientos y “traducción” legal para que puedan incorporar la privacidad de modo robusto.

En general, la literatura reciente converge en que la colaboración multidisciplinar es imprescindible: HCI, ingeniería y derecho deben informarse mutuamente. Por un lado, el diseño centrado en el usuario puede ofrecer perspectivas sobre cómo implementar controles de privacidad que sean comprensibles y usables (de nada sirve una opción de privacidad si está escondida o resulta confusa, pues su protección será ilusoria). Por otro lado, la regulación proporciona objetivos y límites claros que el diseño debe respetar para evitar abusos (por ejemplo, el marco legal define que un consentimiento válido no puede lograrse mediante engaño o preselección, lo que debería descartar ciertos patrones de interfaz). Algunos académicos incluso ven esta convergencia como una oportunidad para que la comunidad de diseño influya en las políticas públicas: proponiendo mejores estándares de transparencia, evidenciando qué prácticas técnicas resultan más equitativas, etc. En suma, la intersección de arquitectura técnica y normativa legal está dando lugar a un espacio de investigación socio-técnica dinámico. Sus frutos se manifiestan en conceptos como “regulación mediante diseño” (advocando que parte de la regulación se implemente directamente a nivel de código) y “diseño con conciencia regulatoria”. Para usuarios y desarrolladores, esta tendencia promete experiencias más seguras por construcción, donde la protección de datos no dependa únicamente de leer cláusulas legales, sino que esté incorporada en cómo funcionan las aplicaciones desde el primer momento.

Principios y técnicas emergentes para la privacidad en sistemas sociotécnicos

A continuación, analizamos brevemente algunos conceptos clave (surgidos en la intersección del derecho y la computación) que ilustran cómo se están diseñando mecanismos de control de privacidad integrando ambas perspectivas:

Privacidad desde el diseño (Privacy by Design): Originalmente formulado por la experta Ann Cavoukian en la década de 1990, este principio postula que la protección de la privacidad no debe ser un añadido posterior, sino parte intrínseca del proceso de diseño y desarrollo de sistemas. En la actualidad, “Privacy by Design” ha sido consagrado legalmente, por ejemplo en el Artículo 25 del RGPD bajo la denominación “Protección de datos desde el diseño y por defecto”. Esto obliga a responsables y desarrolladores a incorporar salvaguardas de privacidad desde las primeras fases de concepción de un producto, así como a establecer configuraciones iniciales respetuosas con la privacidad (privacy by default). ¿Qué implica en la práctica? Medidas como la pseudonimización o el cifrado de datos sensibles por defecto, interfaces que ofrecen controles claros al usuario, y minimizar la recolección de datos innecesarios (en línea con el principio de minimización). Desde la perspectiva regulatoria europea, se trata de un cambio de paradigma: la ley espera activamente que la tecnología contribuya a la protección de derechos. Algunos académicos describen esta visión normativa como un “imaginario tecno-regulatorio” que “prescribe que para que el tratamiento de datos sea legítimo, debe incluir protecciones de los derechos y valores incorporadas en las propias tecnologías, en las organizaciones y en las agendas digitales futuras”. En otras palabras, la privacidad por diseño es la idea de que el cumplimiento legal se logre en gran medida mediante soluciones técnicas y de diseño, y no solo con promesas o documentos. No obstante, implementar Privacy by Design presenta retos: requiere una estrecha colaboración entre abogados, ingenieros y diseñadores, metodologías de privacy engineering que permitan traducir principios abstractos en requisitos técnicos verificables, y a veces enfrentarse a tensiones con otros objetivos (p. ej., usabilidad vs. seguridad, o recolección de datos para negocio vs. minimización). Aun así, en la última década ha surgido abundante literatura y guías prácticas sobre cómo llevar Privacy by Design a cabo, reflejando una convergencia entre la teoría legal y la práctica de la ingeniería.

Minimización de datos: Este principio, ya mencionado, es un pilar de la protección legal de datos personales y a la vez una guía para la arquitectura de sistemas. En esencia, la minimización establece que una entidad debe recopilar y retener únicamente la cantidad mínima de datos personales necesaria para cumplir con un propósito legítimo. El RGPD lo formula así: los datos personales han de ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. Traducido a diseños técnicos, esto supone tomar decisiones como: evitar solicitar datos innecesarios en formularios (¿realmente precisamos la fecha de nacimiento del usuario para brindarle un servicio de entrega de comida?); anonimizar o borrar atributos que no se utilicen activamente; agregar por defecto (por ejemplo, almacenar solo estadísticas en vez de datos brutos identificables cuando se pueda); y establecer plazos de eliminación o anonimización automática de registros una vez dejan de ser requeridos. La minimización contrasta con la tentación común en la ingeniería de “coleccionar todo por si acaso es útil luego”, práctica que, aparte de chocar con la ley, aumenta la superficie de riesgo en caso de brechas de seguridad. Desde la óptica jurídica, la minimización de datos protege al individuo reduciendo su “exposición” informativa; desde la óptica computacional, puede verse también como una mejora de seguridad y eficiencia (menos datos implica menos responsabilidad de custodia y a veces un procesamiento más ágil). Implementar verdaderamente este principio a veces exige creatividad técnica y vencer inercias culturales (p.ej., equipar a los equipos con metodologías de Data Protection Impact Assessment para justificar cada dato recolectado). En cualquier caso, la minimización actúa como un puente claro entre el derecho y el diseño de software: es un mandato legal que depende totalmente de decisiones arquitectónicas concretas.

Limitación de la finalidad: Íntimamente ligado al anterior, el principio de limitación de la finalidad dispone que los datos personales solo deben utilizarse para las finalidades explícitas y legítimas para las que fueron recogidos, y no ser tratados posteriormente de manera incompatible con esos fines. Este principio impone un marco de control temporal y contextual al uso de la información. Si una empresa recoge, por ejemplo, la dirección de email de un usuario para enviarle un recibo de compra, no debería reutilizar ese email para campañas de marketing no solicitadas, a menos que obtenga un nuevo consentimiento o tenga otra base legal. En términos legales, este principio fuerza a delimitar claramente el propósito en el momento de la recogida y vincular contractualmente al responsable a ello. Desde el punto de vista técnico, respetar la limitación de finalidad requiere mecanismos organizativos y a veces automatizados: clasificar los datos según su propósito, separar bases de datos o accesos por finalidad, y aplicar reglas que eviten cruces indebidos. Un diseño bien pensado podría, por ejemplo, mantener los datos analíticos agregados separados de los datos identificativos, o purgar ciertos campos una vez cumplido el trámite original (borrado después de X días si ya no se necesitan). Sin embargo, es notoriamente difícil generar políticas para esto técnicamente una vez que los datos están en poder de una organización; en gran medida se confía en la autorregulación y auditorías. Algunos investigadores sugieren que nuevas arquitecturas de gestión de consentimientos y políticas podrían reforzar este principio, por ejemplo, emergen estándares para adjuntar metadatos de propósito a los datos, de modo que cualquier uso posterior incompatibile pueda ser detectado o bloqueado. Si bien estas soluciones aún están en desarrollo, ilustran cómo la ingeniería está buscando maneras de encapsular las intenciones legales (el “solo para esto”) dentro de la infraestructura técnica. El principio de finalidad, al igual que el de minimización, recalca la necesidad de disciplina en el ciclo de vida de los datos: recoge solo lo necesario, úsalo solo para lo acordado. En la práctica empresarial de la era del “big data”, esto presenta tensiones (la posibilidad de reutilizar datos para fines novedosos es tentadora) pero precisamente por ello la ley insiste en poner frenos y requerir reconsideración (p. ej., obtener nuevo consentimiento, o demostrar que el nuevo uso es compatible porque es razonablemente esperable y no perjudicial para el usuario). En resumen, la limitación de la finalidad obliga a un diseño reflexivo de los flujos de datos, alineado con expectativas comunicadas al usuario.

Privacidad diferencial (Differential Privacy): Mientras los principios anteriores son de índole normativa-general, la privacidad diferencial es un método técnico concreto nacido en la comunidad de ciencias de la computación (en 2006) que ha ganado protagonismo recientemente como herramienta para conciliar análisis de datos con protección de la privacidad. En pocas palabras, es un marco matemático que permite cuantificar el riesgo de reidentificación o filtración de información personal cuando se publican o analizan datos agregados. A través de la introducción controlada de ruido aleatorio en las respuestas de consultas o en los resultados estadísticos, la privacidad diferencial garantiza que la contribución de cualquier individuo en un conjunto de datos sea indistinguible (hasta un parámetro definido) es decir, que alguien consultando la base de datos no pueda saber si un individuo específico está incluido o no, a nivel de certeza. ¿Por qué es relevante en un contexto jurídico? Porque muchas leyes (como el RGPD) establecen diferencias cruciales entre datos personales (que están protegidos) y datos anónimos (que quedan fuera del alcance de la ley). Sin embargo, la frontera entre personal y no personal se ha vuelto borrosa con las crecientes capacidades de reidentificar información supuestamente anonimizada. Aquí es donde entra la privacidad diferencial: ofrece un enfoque basado en garantías medibles para dicha anonimización. Huang y Zheng (2023) proponen usar privacidad diferencial para definir operativamente qué constituye dato “personal”, “seudonimizado” o “anónimo” en la práctica (ver referencia). Sostienen que mediante la elección de un presupuesto de privacidad adecuado (el parámetro ɛ en la terminología del modelo), un controlador de datos puede delinear las fronteras entre categorías de datos con un riesgo de identificación cuantificablemente acotado, proporcionando así una base técnica sólida para las definiciones legales. Implementado correctamente, esto permitiría a una organización publicar conjuntos de datos agregados o extraer conclusiones  útiles (por ejemplo, patrones de tráfico urbano a partir de datos de móviles) sin comprometer la privacidad individual, o al menos manteniéndola dentro de umbrales acordados. Desde la perspectiva legal, un esquema así no solo aumenta la certeza y consistencia en la aplicación de las normas, sino que “inspira un nuevo modelo de interacción entre la ley y la tecnología”. Es decir, en lugar de verse como esferas aisladas, la regulación y la innovación técnica se integran: la ley pide anonimizar o minimizar, y la tecnología diferencial privacy ofrece una manera concreta y verificable de hacerlo, auditando el “riesgo de privacidad” de forma continua. Cabe mencionar que la privacidad diferencial ya ha trascendido el plano teórico: ha sido adoptada por compañías como Apple (en la recolección de datos de uso de ciertos servicios) y por instituciones públicas como la Oficina del Censo de EE.UU. en la publicación de estadísticas, lo cual ha generado incluso debates legales sobre hasta qué punto se puede considerar suficientemente anónimos esos datos alterados. Estos debates evidencian el naciente diálogo entre juristas y científicos de datos: comprender las suposiciones y limitaciones del modelo matemático, y a la vez ajustar los marcos normativos para reconocer estas técnicas como soluciones válidas. En conclusión, la privacidad diferencial ejemplifica cómo un avance puramente computacional puede dotar de nuevas herramientas al cumplimiento legal, reforzando el control del individuo (indirectamente, al garantizar que sus datos no “transpiran” información personal en análisis globales) y permitiendo usos beneficiosos de datos con menor riesgo.

En conjunto, Privacy by Design, minimización, limitación de finalidad y privacidad diferencial delinean una tendencia clara: mover la protección de la privacidad “hacia adentro” de los sistemas sociotécnicos. En lugar de confiar únicamente en reglas externas o en vigilantismo del usuario, se busca que los sistemas mismos tengan valores de privacidad incrustados en su ADN, sean mediante principios de diseño, arquitecturas limitantes o algoritmos sofisticados. Esto no elimina la necesidad de vigilancia regulatoria, al contrario, la complementa, ya que las autoridades y auditores ahora evalúan si las empresas están aplicando efectivamente estos principios (por ejemplo, se exige demostrar la conformidad con Privacy by Design mediante documentación de arquitectura, evaluaciones de impacto, etc.). Pero sí marca un camino hacia controles más preventivos y automáticos. Para los desarrolladores, abrazar estos conceptos implica también un cambio en su proceso: adoptar metodologías de desarrollo que integren evaluaciones de privacidad en cada sprint, familiarizarse con técnicas como privacidad diferencial o herramientas de anonimización, y colaborar con equipos legales de manera iterativa. Para los usuarios, idealmente, significará tener que confiar menos en sí mismos para gestionar cada detalle, y poder apoyarse más en garantías estructurales (como saber que un servicio recolecta lo mínimo y que sus datos agregados no revelarán nada identificable, etc.), sin perjuicio de mantener opciones de control manual cuando lo deseen.

Conclusiones

La protección de la privacidad digital exige un enfoque integral, que combine la fuerza normativa del derecho con la innovación y fineza de la ingeniería informática. La distinción enfatizada por Alashwali (privacidad entre usuarios vs. frente a instituciones) nos recuerda que la privacidad es un fenómeno multifacético: el usuario necesita mecanismos para controlar su exposición social, pero igualmente necesita garantías sobre el destino institucional de sus datos. Contrastar las perspectivas jurídicas y computacionales nos muestra que cada disciplina aporta piezas del mismo rompecabezas. El derecho aporta principios, derechos y un lenguaje común de protección (consentimiento, finalidad, minimización, responsabilidad proactiva), mientras que la computación aporta herramientas concretas para materializar esos principios (configuraciones de usuario, algoritmos de anonimización, protocolos de seguridad) y a la vez expone desafíos prácticos que la regulación debe tener en cuenta (p. ej., la dificultad de obtener consentimiento significativo en entornos saturados de interacciones).

Una de las conclusiones más importantes es que ninguna de las dos disciplinas, por sí sola, es suficiente para resolver el problema de la privacidad digital. Si nos apoyamos solo en la ley y el consentimiento, corremos el riesgo de sobrecargar al usuario y generar cumplimientos aparentes pero no efectivos (como vimos en las críticas al consentimiento). Si confiamos únicamente en la tecnología sin marco legal, es probable que las soluciones queden a discreción de actores privados con incentivos económicos que no siempre alinean con el interés del usuario, o que se implementen controles que el usuario no comprende ni ha validado democráticamente. La unión de ambas perspectivas, en cambio, puede producir sinergias poderosas: por ejemplo, el principio legal de “Privacy by Design” ha obligado a las organizaciones a repensar sus procesos internos, elevando la privacidad al nivel de exigencia de calidad de software, mientras que la investigación en HCI sobre usabilidad de las opciones de privacidad está influyendo en cómo los reguladores diseñan las normas secundarias o guías de cumplimiento (reconociendo, por ejemplo, la necesidad de estándares de interfaz de consentimiento más user-friendly).

Para los usuarios, un enfoque interdisciplinario bien ejecutado significaría una experiencia más segura sin requerir un doctorado en derecho o informática para protegerse: configuraciones más claras, menos bombardeo de solicitudes triviales de consentimiento y más garantías por defecto. También implicaría más transparencia y confianza: si veo que un producto está certificado o diseñado bajo principios de privacidad fuerte, puedo sentirme más cómodo compartiendo mis datos cuando sea necesario, sabiendo que habrá límites en su uso. Para los desarrolladores y diseñadores, la privacidad deja de ser un simple checkbox de cumplimiento al final, y se convierte en un requisito de diseño tan importante como la funcionalidad o la performance. Esto requiere nuevas competencias (entender conceptos legales básicos, colaborar con equipos de cumplimiento) pero también abre nuevas oportunidades profesionales, como lo evidencia el estudio de Grover donde los desarrolladores asumen un rol activo definiendo cómo implementar “el espíritu” de normas de privacidad en sus productos (ver referencia). En la práctica, veremos cada vez más figuras híbridas (ingenieros de privacidad, asesores techno-legales, etc.) integradas en equipos de desarrollo.

Para los responsables legales y reguladores, esta convergencia implica aprender a legislar y supervisar con mayor fineza técnica. Significa, por ejemplo, en lugar de imponer requisitos abstractos imposibles de medir, trabajar con la comunidad técnica para definir estándares alcanzables (por ejemplo, métricas de anonimización como el epsilon de privacidad diferencial, guías de UX para consentimiento, etc.) y fomentar la innovación responsable. También deberán adaptarse a evaluar sistemas complejos: auditar algoritmos, entender arquitecturas de datos, no solo leer políticas de privacidad en papel. Afortunadamente, la tendencia en los últimos cinco años sugiere que este diálogo se está estrechando. Como señalan Wong et al, aunque todavía es poco común que la investigación HCI incorpore directamente perspectivas legales, los casos que lo hacen demuestran el valor de conectar lo social, lo técnico y lo regulatorio para lograr impactos positivos tanto en diseño ético como en políticas públicas.

En conclusión, la privacidad digital en la era moderna no puede ser resguardada por una sola capa de control. Requiere un entramado de medidas legales y técnicas diseñadas conjuntamente, que se refuercen mutuamente. La tesis de los “dos tipos de controles” de Alashwali se ve enriquecida al considerar cómo ambos tipos se insertan en un contexto sociotécnico más amplio: por un lado, debemos asegurarnos de proveer a los individuos controles usables y comprensibles sobre su información (perspectiva de diseño centrado en el usuario); por otro, esos controles deben respaldarse con compromisos exigibles y salvaguardas ocultas que limiten lo que ocurre con los datos a nivel organizacional (perspectiva jurídica y de arquitectura interna). El ideal es un ecosistema donde el usuario recobre una sensación real de control (no ilusoria) porque las promesas legales se cumplen técnicamente y las herramientas técnicas responden a derechos reconocidos legalmente. Alcanzar ese ideal es un desafío continuo, que demandará investigación interdisciplinaria, educación de profesionales en ambos campos, e involucramiento de múltiples actores (academia, industria, reguladores y sociedad civil). Pero los avances recientes nos acercan a un futuro donde la privacidad, lejos de ser un concepto nostálgico, esté activamente protegida by design and by law (por diseño y por ley) en beneficio de todos.

Enlaces adicionales

Para poner en conocimiento del lector la importancia que supone preservar los datos, mantener la privacidad y proteger la identidad, proporciono una serie de enlaces que subrayan esta importancia: 

Proyecto EUDIWAPRY (https://eudiwapry.com/)

Guia actualizada sobre IDENTIDAD DIGITAL, publicada por NIST

NIST Digital Identity Guidelines Evolve With Threat Landscape: The US National Institute of Standards and Technology updated its Digital Identity Guidelines to match current threats. The document detailed technical recommendations as well as suggestions for organizations.  (enlace)

NIST’s final digital identity guidance could open door for new tech in government: The final version of long-awaited guidelines on digital identities incorporates new best practices to address mobile drivers licenses, passkeys, deepfakes, account recovery, and more.  (enlace)

New NIST guide explains how to detect morphed images: Face morphing software can blend two people’s photos into one image, making it possible for someone to fool identity checks at buildings, airports, borders, and other secure places. These morphed images can trick face recognition systems into linking the photo to both people, allowing one person to pass as the other. (enlace)

Referencias:

  • E. Alashwali. «Two Types of Data Privacy Controls: Differentiating privacy between a user and institutions and privacy between a user and other users.» Communications of the ACM, vol. 68, no. 8 (2025).
  • K. Raynes-Goldie. «Aliases, creeping, and wall cleaning: Understanding privacy in the age of Facebook.» First Monday 15(1) (2010)
  • R. Heyman, R. De Wolf, J. Pierson. «Evaluating social media privacy settings for personal and advertising purposes.» Info 16(4) (2014).
  • L. Brandimarte, A. Acquisti, G. Loewenstein. «Misplaced confidences: Privacy and the control paradox.» Social Psychological and Personality Science 4(3) (2013).
  • N. Bazarova, P. Masur. «Towards an integration of individualistic, networked, and institutional approaches to online disclosure and privacy in a networked ecology.» Current Opinion in Psychology 36 (2020).
  • F.N. Roldán. «Los ejes centrales de la protección de datos: consentimiento y finalidad. Críticas y propuestas…», USFQ Law Review 8(1):175-202 (2021)
  • C. Gray et al. «Dark Patterns and the Legal Requirements of Consent Banners: An Interaction Criticism Perspective.» Proc. CHI 2021 (May 2021)
  • N. Bielova, C. Santos, M. Toth, D. Clifford (colaboradores en Gray et al. 2021). Resultados discutidos en INRIA sobre el impacto de dark patterns en consentimientos.
  • N. Richards, W. Hartzog. «The Pathologies of Digital Consent.» Washington University Law Review 96(6):1461 (2019) .
  • R. Grover. «Encoding Privacy: Sociotechnical Dynamics of Data Protection Compliance Work.» Proc. CHI 2024 (May 2024).
  • R.Y. Wong et al. «Towards Creating Infrastructures for Values and Ethics Work in the Production of Software Technologies.» Preprint (2025), discutiendo la necesidad de integrar perspectivas legales en HCI.
  • K. Rommetveit, N. van Dijk. «Privacy engineering and the techno-regulatory imaginary» (2022).
  • T. Huang, S. Zheng. «Using Differential Privacy to Define Personal, Anonymous, and Pseudonymous Data.» IEEE Access vol.11 (2023).
  • Reglamento (UE) 2016/679 (RGPD). Principios de protección de datos (Artículo 5) incluyendo minimización y finalidad.
  • Utz, Nouwens, Matte et al. Estudios empíricos (2019-2020) sobre interfaces de consentimiento y cumplimiento RGPD.
from → Investigación, Seguridad
No comments yet

Deja un comentario