Platformele online care nu îți fură datele personale28 min read

Dintr-o preocupare pentru securitatea cibernetică, unii utilizatori preferă să migreze către platforme online mai sigure. Există astfel de alternative pentru Facebook, Twitter, Gmail și chiar Youtube.

Sabina-Alexandra Ștefănescu vorbește cu părinții și cu prietenii pe Signal. Aceasta este o aplicație asemănătoare Whatsapp, dar cu de 50 de ori mai puțini utilizatori. Ce oferă în plus? O protecție mai mare a datelor personale și o securitate mai puternică, iar aceste aspecte sunt importante pentru Alexandra, care este programatoare și activistă pentru drepturi digitale. 

Folosește Facebook, Instagram sau Linkedin doar ca să promoveze activitatea Asociației pentru Tehnologie și Internet (ApTI),// Site-ul oficial al asociației este apti.ro // cu care colaborează. Dar și ca să supravegheze îndeaproape platformele și să ducă vestea mai departe atunci când acestea adoptă măsuri care pun în pericol securitatea datelor personale ale utilizatorilor. 

Aceste platforme, precum și altele foarte cunoscute și larg folosite, colectează datele personale din trei surse, explică Alexandra: din datele pe care le introduc utilizatorii în profilurile personale (data nașterii, localitate, loc de muncă, instituția de învățământ absolvită), din postări și din faptul că alte platforme online monitorizează comportamentul utilizatorilor cu tehnologii care trimit date înapoi către platforme de social media (de exemplu, Facebook tracking pixel).

„Nu este ilegal, dar este neetic”, crede ea. „Este o monitorizare și o invadare a vieții private.”

De exemplu, o femeie poate să caute informații despre infertilitate sau despre fertilizare in vitro (FIV), iar Facebook să-i sugereze la un moment dat reclame la o clinică de FIV sau la medicamente pentru fertilitate. 

„Dacă eu sunt într-o depresie și mă roade foarte mult această problemă, mă va afecta psihologic să văd pe Facebook astfel de reclame”, argumentează ea. „Sau, dacă sunt într-un stat care reglementează împotriva avortului și eu caut informații despre cum să obții un avort, asta poate să aibă o consecință extrem de gravă, de natură penală.”

În această perioadă, ApTI așteaptă votul din cadrul Comitetului european pentru protecția datelor (EDPB) legat de dreptul europenilor de a-și proteja datele cu caracter personal. Votul vizează o abordare pe care Facebook/Meta a implementat-o în noiembrie 2023, numită „Pay or Okay” (tradusă, în acest context, prin „Ori plătești, ori îți dai acordul”), prin care „le dă de ales” utilizatorilor fie să plătească un abonament lunar, fie să consimtă ca datele lor cu caracter personal să fie colectate și folosite pentru a le livra reclame personalizate.

Mișcarea vine ca urmare a adoptării de către Uniunea Europeană, în mai 2018, a legislației GDPR (The General Data Protection Regulation/Regulamentul General privind protecția datelor), al cărei scop principal este să ofere cetățenilor UE un control mai mare asupra datelor lor personale și să stabilească cerințe clare pentru entitățile care prelucrează aceste date.

Curtea Europeană de Justiție a considerat în trecut că Meta a prelucrat ilegal datele utilizatorilor pentru a le oferi reclame personalizate și a penalizat compania, în ianuarie 2023, cu 390 de milioane de euro. Meta justifică acum adoptarea abordării „Pay or Okay” prin solicitările utilizatorilor, care doresc reclame personalizate. Totuși, date din industrie arată că ar fi vorba de doar 3% dintre aceștia.// „Noyb files GDPR complaint against Meta over «Pay or Okay»”, noyb.eu //

Conform calculelor realizate de ApTI, utilizatorii ar trebui să plătească 251,88 de euro (1.260 de lei) pe an către Meta, pentru a primi, în schimb, dreptul de a nu fi supravegheați de către platformă. 

„Dacă modelul pe care l-a adoptat Meta va fi acceptat ca fiind legal de EDPB, majoritatea companiilor vor adopta o abordare similară”, spun cei de la Asociația pentru Tehnologie și Internet. „Mulți cetățeni români vor fi de fapt constrânși astfel să aleagă să își sacrifice controlul asupra datelor cu caracter personal și dreptul de a nu fi supravegheați.”

Potrivit estimărilor ONG-ului, o persoană care are pe telefon în jur de 35 de aplicații (social media, reviste, aplicații de sport, abonamente medicale, servicii bancare etc.) care vor implementa sistemul „Pay or Okay” va trebui să plătească 44.100 de lei pe an, în condițiile în care salariul mediu net în România era în 2022 de aproximativ 45.600 de lei pe an. 

„Avizul EDPB”, explică organizația, „va influența viitorul protecției datelor cu caracter personal și al internetului pentru anii următori.” 

ApTI, alături de 24 de alte organizații non-guvernamentale din Uniunea Europeană, a publicat// „‘Pay or okay’ – the end of a ‘genuine and free choice’”, apti.ro (PDF) // o scrisoare deschisă prin care cere EDPB să emită un aviz care să protejeze dreptul fundamental la protecția datelor.

Alexandra crede că presiunea n-ar trebui pusă pe utilizatori. N-ar trebui ca oamenii să-și mutileze libera exprimare în mediul online, spune ea, doar ca să fie în siguranță în eventualitatea în care realitatea ar fi diferită peste câțiva ani (de exemplu, dacă avortul ar deveni ilegal și în România).

„Cred că trebuie să o luăm invers: să forțăm modelul ăsta să nu mai existe”, zice ea. „Și, în loc să plătim Facebook, de exemplu, cu «Pay or Okay», să spunem de fapt că nu e etic, că n-ar trebui să colectați informațiile astea despre noi, că n-ar trebui să le aveți și nici să le vindeți. Asta ne-ar salva pe toți, nu doar pe aceia care au bani să plătească sau care s-au gândit la drobul de sare de peste câțiva ani.”

Ea sugerează ca utilizatorii să scrie petiții către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal,// Pe site-ul oficial dataprotection.ro // sau măcar să discute în jurul lor despre situațiile în care utilizatorilor li se încalcă dreptul la securitatea datelor personale. 

„E o diferență enormă între o populație care știe deja că e exploatată de modelul Facebook și reacționează când trebuie făcut ceva și o societate care e apatică, care se complace în modelul ăsta”, crede activista. „E ca un sistem imunitar.”

Grija numai pentru datele sensibile

Andrei Buzera este și el programator, unul foarte pasionat. Încă își petrece timpul pe mIRC, pentru canalele cu teme foarte tehnice, precum programarea sau automatizarea. A încercat toate alternativele la site-urile și aplicațiile foarte cunoscute, din curiozitate, dar și din pasiune pentru domeniu. Pe Signal, de exemplu, spune că vorbește doar cu vreo trei persoane care sunt mai preocupate de datele lor personale. 

În ce-l privește, acceptă fără să citească scrisul mic din caseta de termeni și condiții atunci când o aplicație sau o platformă își face update, apasă OK când un site îl întreabă dacă este de acord cu toate cookie-urile, inclusiv cu cele neesențiale, și stă pe canalele de social media. 

Crede că datele sunt colectate pentru detalii despre segmentele de piață, pentru o targetare mai bună a categoriilor utilizatorilor (în funcție de vârstă, sex, locație, preocupări etc), din punctul de vedere al marketingului. 

Andrei nu este îngrijorat pentru datele lui personale, pentru că activitatea lui online constă oricum în informații pe care alege să le facă publice, cum ar fi preferințele la muzică sau filme.

„Nu ar trebui să fim paranoia pentru că, oricum, dacă folosim un smartphone, noi oferim multe date”, crede el. „De exemplu, ei// n.r. – angajații companiilor care furnizează servicii și aplicații pentru smartphone-uri, precum Google, Apple, Meta și altele // știu unde ești, doar că tu alegi dacă să îți spună și ție că știu sau să țină doar pentru ei”.

În schimb, este atent la informațiile sensibile care i-ar putea compromite munca sau finanțele, cum ar fi parolele, datele bancare, cheile de autentificare pe diverse servere. În acest sens, el folosește Bitwarden,// Site oficial: bitwaren.com // un serviciu care stochează parolele. Din el își generează parole sigure, pe categorii (personal, muncă etc.), și tot acolo ține în siguranță și notițele, documente scanate, date bancare și altele. Tot prin intermediul acestui serviciu trimite și date sau documente,  prin generarea unui URL care poate fi protejat cu o parolă, dar care poate fi și setat să se șteargă automat la o anumită dată sau după un număr de accesări. 

Singura parolă pe care o știe pe de rost este cea cu care accesează Bitwarden. Și, chiar dacă o uită, spune el, o scriu degetele singure, pentru că a devenit parte din memoria musculară. Pentru că Bitwarden este atât de sigur încât, dacă nu mai știi parola, nu ai opțiunea de a genera una nouă și pierzi toate datele salvate acolo. Nici chiar dacă software-ul este autogăzduit, cum se întâmplă în cazul lui, pentru că datele sunt criptate cu parola principală. 

În plus, Andrei folosește autentificarea cu mai mulți factori – o metodă de securitate care implică folosirea a cel puțin două sau a mai multor moduri diferite de confirmare a identității unei persoane înainte de a permite accesul la un cont sau un sistem. Și se conectează mereu prin VPN la rețelele publice de internet. Iar dacă trebuie să-i dea cuiva datele de logare pe un site, preferă să trimită userul pe un canal (Whatsapp, de exemplu), iar parola pe altul (email). 

„Sunt destul de rare situațiile de genul «mi-au spart contul»”, crede el, „ci mai degrabă «le-am dat eu cumva credențialele»”.

Niciun risc asumat pentru companie

De aceeași părere este și Oliviu Matei, că datele personale nu contează atât de mult pe cât am crede. Este profesor universitar de inteligență artificială, ingineria programării și managementul proiectelor software la Centrul Universitar Nord din Baia Mare, parte a Universității Tehnice din Cluj-Napoca, și director la Holisun, o companie care oferă servicii de dezvoltare software. 

„Datele sunt folosite pentru a determina pattern-uri comportamentale”, crede el. „Pe cei de la Google nu-i interesează despre mine absolut deloc. Sunt ferm convins că sunt complet irelevant pentru ei. Însă îi ajută să știe cum se comportă bărbații în plaja de vârstă 35-55 de ani din România. Îi interesează ca profil socio-economic sau socio-politic.”

Oliviu folosește toată suita Google, plus site-urile și aplicațiile cele mai populare, conștient cu privire la riscurile de securitate. Știe că rețelele sociale pot să prezică comportamentul utilizatorului atât online, cât și offline, cu o mare acuratețe, dar și că algoritmii de inteligență artificială sunt antrenați prin citirea conversațiilor oamenilor. Mai mult de atât, știe că orice platformă publică, precum Gmail, Whatsapp sau Facebook, va preda autorităților toate conversațiile lui private, dacă acestea le vor cere. 

„Din punctul meu de vedere, nimic nu e gratuit”, crede profesorul. „Adică atâta timp cât nu plătesc, nu pot pretinde nimic. Plătesc fie cu timp, fie cu informațiile despre mine.” 

Însă strategia se schimbă când vine vorba de activitatea companiei sale. Niciun document legat de Holisun nu trece prin Gmail și nu este salvat pe vreun serviciu cunoscut de stocare, cum ar fi One Drive. Angajații folosesc un email și o platformă de cloud storage dezvoltate de companie. Iar Oliviu poartă conversațiile legate de companie, cum ar fi strategiile de viitor, pe Signal, Telegram sau Threema. 

Chiar și așa, cu toate măsurile de securitate, compania din Baia Mare a fost, la mijlocul lui februarie, ținta unui atac cibernetic de două zile, desfășurat de hackeri din Indonezia. 

„E firesc, ne așteptam”, spune directorul. „Pentru că compania lucrează cu multe ministere, agenții centrale, autorități naționale și atunci, evident, că există un risc.”

A observat că riscurile în ce privește parolele au crescut exponențial, astfel încât creează regulat două, trei parole complexe, cu cea mai mică legătură cu viața lui, pe care le ține minte și le folosește pe toate site-urile. Cea mai sigură variantă de a păstra parolele, spune Oliviu, este într-un carnețel, scrise de mână. 

Platforme cu respect față de datele personale

Pentru cei care vor să migreze către platforme mai sigure, care să respecte datele personale ale utilizatorilor, Alexandra, Andrei și Oliviu au câteva sugestii. 

Social Media 

Fediverse este o rețea descentralizată de servere care rulează software-uri compatibile între ele. Sub umbrela Fediverse se află mai multe software-uri similare cu platformele cunoscute de socializare, doar că sunt gratuite, open-source (codul sursă este disponibil publicului și poate fi modificat, utilizat și distribuit de oricine) și care pot fi găzduite pe propriul server. 

• Mastodon – în loc de Twitter (actualul X)
• Pixelfed – în loc de Instagram
• Friendica – în loc de Facebook
• PeerTube – în loc de Youtube
• Funkwhale – în loc de Spotify
• Lemmy – în loc de Reddit
• BookWyrm – în loc de Goodreads
• WriteFreely – în loc de Tumblr

Mesagerie instantanee, apeluri vocale și video

Poți folosi unul sau mai multe dintre aplicațiile și site-urile de mai jos în loc de Whatsapp sau Facebook Messenger.

Signal – Nu colectează informații personale despre utilizatori și nu are acces la conținutul mesajelor. Toate mesajele trimise și primite, dar și apelurile vocale și cele video, sunt criptate de la un capăt la altul (end-to-end), deci numai expeditorul și destinatarul pot citi conținutul mesajelor. Utilizatorii pot alege să trimită mesaje care se autodistrug automat după un anumit interval de timp, pentru a asigura confidențialitatea și securitatea datelor. Signal a fost dezvoltat în SUA.

Threema – Aplicația oferă un nivel suplimentar de anonimitate prin faptul că utilizatorul nu trebuie să furnizeze un număr de telefon sau alte informații personale pentru a crea un cont. Mesajele și apelurile sunt criptate end-to-end. Threema a fost dezvoltată de o companie cu sediul în Elveția. 

Telegram – cunoscut pentru accentul său pe securitate și confidențialitate, oferă funcții precum mesaje auto-distructive, canale publice și grupuri mari de chat. Mesajele pot fi criptate end-to-end. Aplicația a fost fondată de către Pavel Durov, cofondatorul rețelei de socializare ruse VKontakte, dar este una controversată, pentru că legile rusești prevăd că poate fi forțată să ofere datele utilizatorilor către autorități. 

Videoconferințe

În loc de Zoom, Skype, Teams sau Google Meet poți folosi:

Jitsi Meet –un serviciu de videoconferințe, care permite organizarea de întâlniri video cu multiple persoane. Nu necesită instalarea unui software și poate fi accesat direct prin intermediul unui browser web.

Email 

Proton Mail – serviciu de e-mail securizat și privat, în care toate mesajele trimise și primite sunt criptate automat de la un capăt la celălalt, cu protecție împotriva phishing-ului și spam-ului. Utilizatorii nu sunt obligați să furnizeze informații personale la înregistrare și pot utiliza adrese de e-mail anonime pentru a-și proteja identitatea. A fost dezvoltat în Elveția, de un fost cercetător de la Organizația Europeană pentru Cercetare Nucleară, activist pentru dreptul la confidențialitate.

Cum te protejezi de riscurile cibernetice

Directoratul Național de Securitate Cibernetică atrage atenția asupra potențialelor amenințări la care se supun utilizatorii de social media: preluarea controlului asupra contului de către hackeri, care pot apoi să posteze informații false, conținut malițios sau să acceseze informații sensibile; atacuri de phishing, care implică inducerea în eroare a utilizatorilor (prin prezentarea unor scenarii și pretexte diverse) pentru a furniza informații sensibile, cum ar fi date de autentificare, personale sau financiare; distribuția de malware – link-uri sau atașamente periculoase. 

Autoritatea are și câteva sugestii de măsuri de combatere a riscurilor cibernetice: 

1. Parole puternice, formate dintr-o combinație de litere mici și mari, cifre și caractere speciale. Evită parolele evidente, cum ar fi datele de naștere sau numele de familie;
2. Autentificare în doi pași, care implică furnizarea unui cod generat pe mobil sau prin e-mail, în plus față de parolă;
3. Actualizări regulate ale parolelor; 
4. Revizuirea setărilor de confidențialitate prin care poți controla cine poate vedea informațiile tale și cine poate interacționa cu conținutul tău;
5. Evitarea linkurilor suspecte sau care provin de la surse necunoscute;
6. Atenție la încercările de phishing;
7. Actualizări regulate ale aplicațiilor, pentru a beneficia de cele mai recente opțiuni de securitate;
8. Monitorizarea sesiunilor active și dispozitivelor conectate la contul tău de social media. Deconectează sesiunile neautorizate.
9. Folosirea unei rețele private virtuale (VPN) când te conectezi la conturile de social media pe rețele publice, pentru a securiza conexiunea;
10. Evitarea aplicațiilor neoficiale.