Com avaluar si un software és respectuós amb la privadesa

El software que uses és respectuós amb la privadesa? Abans de començar a explicar el meu experiment personal per deixar GAFAM i proposar alternatives de programari més respectuós amb la privadesa, voldria enumerar les directrius mitjançant les quals és possible avaluar si un software protegeix les nostres dades pel que fa a la seguretat instrumental. Hi ha 4 directrius principals:

• Disponibilitat del codi font
• Seguretat mínima per defecte
• Arquitectura
• Model de finançament

Disponibilitat del codi font

La disponibilitat del codi font és un tema cabdal per determinar la seguretat d’un programari. De fet, l’única manera possible de saber si el que fa una determinada aplicació informàtica és realment allò que els seus creadors diuen, és examinant el seu codi font. Si el codi font no està disponible (cosa que passa en la gran majoria del programari de propietat), l’usuari no té cap manera de saber què està fent l’aplicació a la qual confia les seves dades personals. Per exemple: moltes aplicacions com WhatsApp o Facebook tracten de tranquil·litzar els seus usuaris garantint que les seves dades personals s’esborren de manera irreversible dels seus servidors quan els seus clients decideixen donar-se de baixa. No obstant, sense analitzar el codi font, no és possible saber amb certesa si això passa realment o si les dades són simplement amagades. Afortunadament, sempre hi ha hagut un moviment d’individus i organitzacions que desenvolupa programari de codi obert, és a dir, fent públic el seu codi font. Gràcies a elles i ells avui en dia la majoria de programari propietaris tenen una alternativa de codi obert o programari lliure.

Seguretat mínima per defecte

La seguretat mínima per defecte fa referència a totes les mesures de seguretat presents en un software i activades per defecte. Per “seguretat”, em refereixo a totes aquelles mesures tècniques que tinguin com a objectiu defensar l’accés, la transferència i l’emmagatzematge de les dades d’un usuari. La seguretat que hauríem de tenir en compte per l’avaluació d’un programari sempre serà la seguretat mínima activa per defecte. Amb això vull dir que és gairebé inútil que el programari tingui l’opció de configurar nivells de seguretat molt alts si aquests no estan habilitats per defecte, ja que la majoria dels usuaris utilitzaran la configuració preestablerta del software.

Una bona pràctica a seguir podria ser fer-nos sempre una sèrie de preguntes abans d’utilitzar un software: quines dades personals necessitaré revelar al software per poder-lo utilitzar? (e.g. nom, cognoms, número de telèfon, adreça de correu electrònic, localització, etc.). Qui tendrà accés a aquestes dades? Com i per quan de temps es conservaran? Quins permisos especials necessitarà el software per poder funcionar en el meu ordenador de sobretaula, ordenador portàtil, telèfon intel·ligent o tauleta? Si el software serveix per comunicar amb altres persones, qui tindrà accés a les meves converses? Per quan de temps? Poden ser interceptades? S’utilitzen mètodes de xifratge per protegir les meves dades personals, les meves conversacions i altres activitats sensibles que porto a terme amb el software al guardar aquestes informacions en un dispositiu o al transferir-les entre dispositius? Intentar contestar aquestes preguntes ens donarà una bona idea de quina és la seguretat mínima per defecte del software que volem utilitzar.

Arquitectura del software

L’arquitectura de un software defineix l’estructura, les operacions i la interacció entre les seves diferents parts. Per exemple, un software de comunicació es pot desenvolupar amb una arquitectura de client-servidor centralitzada, una arquitectura federada o una arquitectura d’igual a igual. Una arquitectura centralitzada amb clients que interactuen entre si a través d’un sol servidor dóna al proveïdor de serveis (és a dir, el propietari del servidor) un poder desproporcionat. Aquest poder es pot utilitzar per controlar la nostra activitat (per exemple, la nostra activitat de comunicació amb tercers), però, possiblement, fins i tot per bloquejar-la de manera arbitrària i unilateral. A canvi, encara que una arquitectura descentralitzada per si mateixa no resol el problema (per exemple, quan moltes persones accedeixen mitjançant pocs nusos), tendeix a distribuir el poder de manera més horitzontal.

Model de finançament

El model de finançament de l’empresa o organització que proporciona un programa informàtic concret és un altre element molt important a tenir en compte a l’hora d’avaluar-lo. Vivim en l’era de l’extractivisme de dades, i si hi ha empreses com Google que ens “regalen” els seus productes i serveis, és només a canvi dels enormes beneficis que poden fer mitjançant les nostres dades. Si per contra una determinada organització funciona a través de la venda d’un determinat producte/servei o rebent ajuda financera voluntària dels seus usuaris, encara que no sigui una garantia, és probable que generar beneficis a través de l’explotació de les nostres dades no sigui el seu objectiu principal.

A través d’aquestes 4 directrius, podem tenir una idea del grau en què un determinat programa informàtic respecta la nostra privadesa. En properes publicacions revisaré software de diferents categories i oferiré alternatives de programari més respectuós amb la privadesa que programari GAFAM.