error 500 Tecnología + Internet + Conocimiento

De piedra se queda uno ante la sanción de la Agencia de protección de datos a una web con la opción de "enviar a un amigo", ese mecanismo por el que muchas intentan lograr que sus usuarios más convencidos inviten a sus amigos y familiares. La información la dan, entre otros, El economista y en la web de la Agencia de protección de datos se puede acceder a la resolución (en formato PDF).

La clave de la sanción se encuentra en el siguiente párrafo:

El envío publicitario que el denunciante manifiesta haber recibido, corresponde a una campaña continua de captación de clientes que promueve el demandado. Dicha campaña consiste en ofrecer a los clientes registrados la posibilidad de recomendar a sus familiares y amigos los servicios de Iniciativas Virtuales a través de la página web, para lo cual existe en dicha página web una facilidad que permite remitir a una dirección de correo electrónico un mensaje informativo invitando al destinatario a registrarse en ella. El mensaje que recibe el destinatario incluye un botón que enlaza directamente con la página de inscripción de clientes.

Es decir, quien decide mandar el mensaje es un usuario y no la empresa ¿el problema? Que el correo se envía con la IP de la web en la que está la opción de "enviar a un amigo" y, para la Agencia de protección de datos, se vulnera la LOPD (el destinatario no ha dado su consentimiento para el tratamiento de sus datos con la finalidad de enviarle comunicaciones comerciales por vía electrónica) y la LISI ("el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas").

Con esto nos encontramos con que todas esas redes sociales que te ofrecen la opción de "invitar a tus amigos" y los sacan de la agenda de tu correo vulneran la LOPD y la LISI, al menos desde esta lectura de la Agencia de Protección de datos. Eso sí, me da la impresión de cada vez más la Agencia de Protección de Datos está haciendo una lectura realmente restrictiva de la LOPD: perseguir comunicaciones claramente iniciada por un particular y sancionar a una web por ofrecerle la herramienta de enviar un correo a alguien a quien conoce (y de quien tiene su dirección) no es luchar contra el spam, es llevarnos a un escenario dantesco en el que todo el que quiera tocarle las narices a una web con cualquier tipo de comunicación, puede contar con las fabulosas sanciones de la LOPD.

Publicidad personalizada a partir de la información de los usuarios, uno de los temas más interesantes en el futuro de la publicidad en la red, la viabilidad de las redes sociales y la propia evolución de la publicidad hacia la información. En torno a este tema la Network Advertising Initiative americana hizo públicas sus guías de temas sensibles en los que se recomienda no hacer tracking de los usuarios, recogidas por Uberbin. Entre ellos se encuentran precisamente algunos de los considerados "Datos especialmente protegidos por la LOPD española", que a su vez dibuja un límite muy claro respecto a ellos:

Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

Pero eso no es todo, a la hora de pensar en usarlos para el marketing o la publicidad personalizada, hay que tener en cuenta que:

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. Están prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

Los datos relativos a la salud podrán ser objeto de tratamiento cuando éste resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos de salud, cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

Por lo tanto, se dibuja claramente unos límites que todos los nuevos servicios sociales deben tener muy en cuenta a la hora de ver qué almacenan y cómo usan esa información. Las multas de la agencia de protección de datos en materias de LOPD no son ninguna broma. Más información, en la web de la AGPD.

Relacionada: La publicidad personalizada en el punto de mira de la UE.

Se repite mucho eso de que "la tecnología va muy por delante de los políticos" y que la legislación suele llegar tarde y mal a las innovaciones, sobre todo en internet. Sin embargo la Unión Europea parece que está tomando nota de todos los movimientos de publicidad segmentada a partir de los datos de los usuarios o publicidad personalizada y se dispone a analizarla ante "la posible invasión a la privacidad" (El Mundo). A esta tendencia de que los anuncios que aparezcan dependan del perfil y las acciones que hayan realizado el usuario se han apuntado ya unos cuantos: Microsoft, Yahoo, Facebook, MySpace...

Respecto a la publicidad basada en el perfil y las acciones del usuario tengo sentimientos encontrados. Por un lado entiendo que el derecho a la privacidad no deriva en una obligación de secreto para el usuario, es decir, tener derecho a la privacidad significa también que puedo darle mis datos personales a quien yo quiera (manteniendo un control para modificarlos, retirarlos y permitir los usos que se les quieran dar, claro). A eso hay que sumar que el usuario se beneficia cuando la publicidad está adaptada a sus intereses, servidor prefiere que en una página de música me anuncien conciertos de Wilco y no el disco de las Spice Girls.

Pero, por otro lago, la sensación de estar navegando y que el sistema "me conozca bien" me produce cierto desasosiego, a lo que hay que unir que estas empresas que apuestan por la publicidad personalizada y super segmentada adquieren el poder de tener en sus manos una cantidad masiva de datos sobre muchos ciudadanos, lo que les confiere una posición privilegiada en nuestra sociedad (aunque eso ocurre aunque no los utilicen para calcular qué anuncios poner).

Y queda la variable de si la privacidad se va a convertir en un tema primordial para el común de los navegantes, que hasta ahora no ha demostrado una gran preocupación por movimientos como el de la publicidad contextual en GMail. Mi impresión es que, hasta ahora, para la mayoría de la gente, el problema de la privacidad en internet consiste en que nadie se entere qué descargo del eMule, no en qué datos sabe el Google de turno de nosotros.

Hoy por hoy soy partidario de que no se legisle contra este tipo de publicidad, al menos no más allá de establecer que el usuario debe saber qué datos se recogen, para qué se utilizan y mantener el derecho a retirarlos cuando quiera. Sobrepasar eso creo que sería poner una venda antes de que haya habido herida alguna y, dado que la publicidad va a pagar las facturas de la mayoría de servicios en la red, prefiero una que tenga interés para mí.

PD: Sería genial contar con un análisis sobre la compatibilidad de estos sistemas con la LOPD.