El conflicto entre el deber de publicar el BOE y el controlar su visibilidad en internet

La Agencia Española de Protección de Datos exige al BOE que modifique su fichero «robots.txt» con vistas a que los buscadores no indexen algunos textos de disposiciones legales que afectan a algunos datos personales. La información la da El País y puede leerse la sentencia en la web de la AEPD, en la que rebaten las dos grandes objeciones presentadas por el BOE: los buscadores pueden obviar el robots.txt (aquí apuntan a que eso supone que la responsabilidad a las empresas que los gestionan, dando carta de obligación a esta convención) y la creación de nuevo fichero de datos que da pistas de qué quieren ocultar (según la AEPD, esto es un mal menor comparado con salir en buscadores)

El conflicto entre el deber de publicar el BOE y el controlar su visibilidad en internet tiene difícil solución, incluso si los textos se transforman en imágenes para dificultar la indexación: no se puede querer al mismo tiempo dar publicidad a disposiciones legales y, a la vez, controlar la visibilidad y distribución por internet de los datos figurados en ella, sean personales o no. Quien quiera saber puede construir su propio buscador descargando el BOE cada día y acceder a la información en local sin excesiva dificultad, lo único que consigue la AEPD con estas medidas es que dejen de ser accesibles para el usuario medio de internet.

Necesitamos un marco global de protección de datos personales. El caso Facebook y su TOS

facebookLa segunda gran pifia de Facebook relacionada con los datos y la privacidad de sus usuarios tras Beacon, refuerza la necesidad de un marco global de protección de datos personales. Estos últimos días ha habido un intenso debate con muchas quejas ante los cambios en los términos y condiciones de la red social (Consumerist), que venían a establecer que, aunque cancelemos la cuenta, le otorgamos el derecho a hacer lo que quieran con nuestros contenidos indefinidamente, por lo que los mantendrían en su sistema. Más detalles al respecto dieron Uberbin, JaviPas y Blogoff, entre otros, con el lógico rechazo a esta medida difícilmente comprensible.


Desde Facebook, Mark Zuckerberg primero hizo una defensa tímida y voluntarista, «es como en el correo electrónico», por lo que si compartimos una foto con alguien, aunque borremos la cuenta, ese alguien debería seguir teniendo acceso a la misma , y un ingenuo «confiad en nosotros». Hoy, por fin, confirma que se echa atrás en el cambio de condiciones, apuntando a una nueva versión que reflejará los «principios para compartir» que ellos defienden, que «todos podremos entender» y en la que los usuarios tendrán mucho que decir sobre las condiciones del servicio.

El resumen de noticias es que Facebook por segunda vez se excede en su área más frágil, los datos de sus usuarios, con un nuevo error que lleva a una completa desconfianza. Lo importante de este «quiero más poder sobre los datos» no es que se hayan echado atrás, sino que pueden elegir porque no tenemos un marco legal global respecto a derechos de los usuarios sobre sus datos personales, como sí existe para la propiedad intelectual. Y ahí es hacia donde se debería caminar, hacia definir un esquema común, global, de propiedad de datos personales que limite lo que servicios como Facebook o Google pueden hacer. Y la LOPD española, sin ir más lejos, podría ser un buen punto de partida para empezar a discutir: no permite acciones como esta de Facebook porque el usuario siempre tiene el derecho a revocar el consentimiento a almacenar datos personales.

Relacionado: Privacidad en Facebook y redes sociales

La insoportable lentitud de los legisladores ante el avance de la tecnología

Javier Maestre, de Buffet Almeida, se despacha a gusto en El Mundo sobre los problemas legales que puede tener para una empresa española el utilizar «servicios en la nube» del tipo Google Apps Premier Edition. Maestre señala el difícil encaje con la legislación española de protección de datos y con la CMT y la envergadura de las posibles sanciones.

No es que vaya a poner un pero al texto de Maestre, pero sí que quiero quejarme de la insoportable lentitud de los legisladores ante el avance de la tecnología. Y no porque considere que haya que relajar las exigencias en materia del derecho a la privacidad y a la protección de datos personales, sino porque hace falta una adaptación a la nueva realidad de servicios online y un marco global que no implique que las empresas españolas están atadas de pies y manos y abocadas a ser menos competitivas. Porque al final se trata de esto, si cualquier otra compañía del planeta puede reducir sus costes hasta en una quinta parte (pienso más en soluciones tipo CLoud computing como los web services de Amazon) y la local no, estamos poniendo piedras en su camino a la hora de competir ahí fuera.

La Agencia de protección de datos contra el «enviar a un amigo»

De piedra se queda uno ante la sanción de la Agencia de protección de datos a una web con la opción de «enviar a un amigo», ese mecanismo por el que muchas intentan lograr que sus usuarios más convencidos inviten a sus amigos y familiares. La información la dan, entre otros, El economista y en la web de la Agencia de protección de datos se puede acceder a la resolución (en formato PDF).

La clave de la sanción se encuentra en el siguiente párrafo:

El envío publicitario que el denunciante manifiesta haber recibido, corresponde a una campaña continua de captación de clientes que promueve el demandado. Dicha campaña consiste en ofrecer a los clientes registrados la posibilidad de recomendar a sus familiares y amigos los servicios de Iniciativas Virtuales a través de la página web, para lo cual existe en dicha página web una facilidad que permite remitir a una dirección de correo electrónico un mensaje informativo invitando al destinatario a registrarse en ella. El mensaje que recibe el destinatario incluye un botón que enlaza directamente con la página de inscripción de clientes.

Es decir, quien decide mandar el mensaje es un usuario y no la empresa ¿el problema? Que el correo se envía con la IP de la web en la que está la opción de «enviar a un amigo» y, para la Agencia de protección de datos, se vulnera la LOPD (el destinatario no ha dado su consentimiento para el tratamiento de sus datos con la finalidad de enviarle comunicaciones comerciales por vía electrónica) y la LISI («el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas»).

Con esto nos encontramos con que todas esas redes sociales que te ofrecen la opción de «invitar a tus amigos» y los sacan de la agenda de tu correo vulneran la LOPD y la LISI, al menos desde esta lectura de la Agencia de Protección de datos. Eso sí, me da la impresión de cada vez más la Agencia de Protección de Datos está haciendo una lectura realmente restrictiva de la LOPD: perseguir comunicaciones claramente iniciada por un particular y sancionar a una web por ofrecerle la herramienta de enviar un correo a alguien a quien conoce (y de quien tiene su dirección) no es luchar contra el spam, es llevarnos a un escenario dantesco en el que todo el que quiera tocarle las narices a una web con cualquier tipo de comunicación, puede contar con las fabulosas sanciones de la LOPD.

Publicidad personalizada y datos especialmente protegidos por la LOPD

Publicidad personalizada a partir de la información de los usuarios, uno de los temas más interesantes en el futuro de la publicidad en la red, la viabilidad de las redes sociales y la propia evolución de la publicidad hacia la información. En torno a este tema la Network Advertising Initiative americana hizo públicas sus guías de temas sensibles en los que se recomienda no hacer tracking de los usuarios, recogidas por Uberbin. Entre ellos se encuentran precisamente algunos de los considerados «Datos especialmente protegidos por la LOPD española«, que a su vez dibuja un límite muy claro respecto a ellos:

Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

Pero eso no es todo, a la hora de pensar en usarlos para el marketing o la publicidad personalizada, hay que tener en cuenta que:

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. Están prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

Los datos relativos a la salud podrán ser objeto de tratamiento cuando éste resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos de salud, cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

Por lo tanto, se dibuja claramente unos límites que todos los nuevos servicios sociales deben tener muy en cuenta a la hora de ver qué almacenan y cómo usan esa información. Las multas de la agencia de protección de datos en materias de LOPD no son ninguna broma. Más información, en la web de la AGPD.

Relacionada: La publicidad personalizada en el punto de mira de la UE.

La publicidad personalizada en el punto de mira de la UE

Se repite mucho eso de que «la tecnología va muy por delante de los políticos» y que la legislación suele llegar tarde y mal a las innovaciones, sobre todo en internet. Sin embargo la Unión Europea parece que está tomando nota de todos los movimientos de publicidad segmentada a partir de los datos de los usuarios o publicidad personalizada y se dispone a analizarla ante «la posible invasión a la privacidad» (El Mundo). A esta tendencia de que los anuncios que aparezcan dependan del perfil y las acciones que hayan realizado el usuario se han apuntado ya unos cuantos: Microsoft, Yahoo, Facebook, MySpace…

Respecto a la publicidad basada en el perfil y las acciones del usuario tengo sentimientos encontrados. Por un lado entiendo que el derecho a la privacidad no deriva en una obligación de secreto para el usuario, es decir, tener derecho a la privacidad significa también que puedo darle mis datos personales a quien yo quiera (manteniendo un control para modificarlos, retirarlos y permitir los usos que se les quieran dar, claro). A eso hay que sumar que el usuario se beneficia cuando la publicidad está adaptada a sus intereses, servidor prefiere que en una página de música me anuncien conciertos de Wilco y no el disco de las Spice Girls.

Pero, por otro lago, la sensación de estar navegando y que el sistema «me conozca bien» me produce cierto desasosiego, a lo que hay que unir que estas empresas que apuestan por la publicidad personalizada y super segmentada adquieren el poder de tener en sus manos una cantidad masiva de datos sobre muchos ciudadanos, lo que les confiere una posición privilegiada en nuestra sociedad (aunque eso ocurre aunque no los utilicen para calcular qué anuncios poner).

Y queda la variable de si la privacidad se va a convertir en un tema primordial para el común de los navegantes, que hasta ahora no ha demostrado una gran preocupación por movimientos como el de la publicidad contextual en GMail. Mi impresión es que, hasta ahora, para la mayoría de la gente, el problema de la privacidad en internet consiste en que nadie se entere qué descargo del eMule, no en qué datos sabe el Google de turno de nosotros.

Hoy por hoy soy partidario de que no se legisle contra este tipo de publicidad, al menos no más allá de establecer que el usuario debe saber qué datos se recogen, para qué se utilizan y mantener el derecho a retirarlos cuando quiera. Sobrepasar eso creo que sería poner una venda antes de que haya habido herida alguna y, dado que la publicidad va a pagar las facturas de la mayoría de servicios en la red, prefiero una que tenga interés para mí.

PD: Sería genial contar con un análisis sobre la compatibilidad de estos sistemas con la LOPD.