Etiqueta: cookies

bookmark_borderOpinión 2/2010 sobre la publicidad de comportamiento

Posted on by Félix J. Haro

CookiesEl Grupo de Trabajo del Artículo 29 emitió el 22 de junio su Opinión 2/2010 sobre publicidad comportamental online. Ya comenté en diciembre que se avecinaban cambios en la regulación de las “cookies” por la entrada en vigor de la Directiva 2009/136/CE, y que España, como el resto de los países de la Unión Europea, quedaba obligada a adecuar su legislación a más tardar en mayo de 2011. Este documento da las líneas maestras de esos cambios, y la verdad es que no debiera dejar indiferente a nadie, ni a usuarios, ni a las empresas que viven de los anuncios, ni a los fabricantes de software.

De la Opinión destaco lo siguiente:

1. Aclara que ha de disponerse del consentimiento previo del usuario. Sólo después podrán colocar la “cookie”, y para esto es necesario proveer al usuario de la información correspondiente sobre las finalidades para las que se utilizarán los datos obtenidos. El consentimiento obtenido a través de las típicas políticas de privacidad o condiciones generales, a juicio del GT29, no cumple con los requisitos del artículo 5.3 de la Directiva, así como tampoco alegar que los navegadores disponen de opciones técnicas para rechazar las “cookies”.

2. Remarca que hay ocasiones en las que será aplicable la Directiva sobre protección de datos si después de colocar la “cookie” la información recogida puede considerarse dato de carácter personal. Da el ejemplo de la dirección IP, de procesos donde se utilizan identificadores únicos, y de los que posteriormente usan esa información para asociarla a un usuario registrado.

3. Marca las obligaciones para cada uno de los agentes que intervienen en la publicidad comportamental online: proveedores de redes de anuncios, editores y anunciantes.

4. No sólo es aplicable a las “cookies”, sino a cualquier otro dispositivo que pueda colocarse en cualquier medio. Pensemos en los teléfonos móviles, por ejemplo.

5. Estas disposiciones son aplicables al proceso de datos que tenga lugar utilizando medios situados en la U.E.

6. El GT29 considera este cambio una oportunidad de innovación para las empresas implicadas.

Lo cierto es que no dice nada que descuadre dentro del sistema europeo de protección de datos. ¿Qué va a cambiar? Nada de nada. El sector ya está rasgándose las vestiduras y haciendo de víctima, porque claro, todo esto implica que tienen menos de 1 año para cambiar radicalmente su modelo de recogida de información, y eso “duele”. Me quedo con las declaración que ha publicado IAB Spain en su página web, en especial con el párrafo siguiente:

…las cookies se limitan al conocimiento de hábitos de navegación de un equipo, no de una persona, sin que en ningún caso identifiquen a un usuario concreto, a no ser que éste haya facilitado de manera voluntaria sus datos.

Va a resultar que es mi equipo el que navega él solito, no soy yo el que lo hace, y que a esta industria no le importan lo más mínimo mis preferencias… ¿así que la publicidad la dirigen a las máquinas, no a las personas? De todas maneras, que estén tranquilos, porque nadie llegará a sancionarles por no cumplir con estas cosas. Estoy convencido. Tiempo van a tener, desde noviembre del 2009, que se aprobó la Directiva, hasta mayo de 2011, que sea aplicable en cada país de la U.E., para ir cambiando su modo de trabajo. Pero eso cuesta mucho dinero, y disminuiría gravemente la cantidad ingente de información de los usuarios que podrían recoger.

A quien le parezca esto una nimiez, y quiera enterarse bien de cómo funcionan, le recomiendo la lectura de esta queja interpuesta en EE.UU. contra las prácticas de varias empresas del ramo.

bookmark_borderWorld Wide West

Posted on by Félix J. Haro

facebookEn menos de un mes Facebook ha modificado por dos veces su política de privacidad (19 de noviembre y 9 de diciembre). El 17 de diciembre,  el Electronic Privacy Information Center (EPIC) y varias asociaciones defensoras de la privacidad denunciaron a Facebook ante el Departamento Federal de Comercio (Federal Trade Commission).

Tiene ciertos puntos que me resultan interesantes por la deslealtad hacia el usuario que demuestra esta empresa. Hay que tener en cuenta que en USA no existe una normativa omnicomprensiva sobre la privacidad, sino que es sectorial y está bastante fragmentada, y la mayoría de las infracciones contra la privacidad son tratadas como prácticas comerciales engañosas (“deceptive trade practices”). Por esto es por lo que la FTC puede llegar a sancionar a Facebook en este caso.

El primer asunto que se plantea es que Facebook ha ampliado los datos que considera “información pública”. En la versión anterior sólo se consideraba de este tipo al nombre de usuario y a su red de contactos. Ahora la cosa cambia bastante, atentos al siguiente párrafo:

Ciertas categorías de información, como tu nombre, foto de perfil, sexo,región geográfica, lista de amigos, redes y las páginas de las que eres fanse consideran información pública y son visibles para todos, incluidas las aplicaciones compatibles con Facebook. Por lo tanto, estos datos no tienen configuración de privacidad. Sin embargo, puedes limitar el acceso que otros usuarios tienen a esta información cuando hacen búsquedas a través de tu configuración de privacidad de las búsquedas.

Por defecto, con la nueva política de privacidad todos esos datos son públicos, se comparten con cualquier aplicación y además el usuario no tiene opción de controlarlos, no tienen configuración de privacidad, tan sólo en las búsquedas. Son condiciones que Facebook pone, y cualquier usuario tiene que ser consciente de esto. Usarlo es exponerse a toda la web, e información que puede parecer en principio poco comprometedora e inocua no lo es tanto. En la misma denuncia se ponen varios ejemplos, desde que la simple publicación de lista de amigos puede conducir a saber si una persona es homosexual, hasta que una opinión en contra del régimen iraní puede llevar a la detención de tus parientes o a que te retengan el pasaporte durante un mes por tener una cuenta en Facebook y haber hecho estos comentarios.

Otro de los cambios es que la Plataforma de Facebook transfiere datos personales de los usuarios sin su consentimiento a los desarrolladores de aplicaciones con su API. Cuando alguien utiliza alguno de los típicos pasatiempos, estas aplicaciones recogen por defecto toda la información que ha sido catalogada como “información pública”, además de la que autorice el usuario expresamente. Antes se permitía desactivar esta acción con un solo botón, con una sola opción (“No compartir ninguna información a través de Facebook API”); pero ahora el usuario tiene que pasar por la penosa tarea de tener que desactivar qué datos no quiere que se compartan. Y también puede ir desactivando una por una las aplicaciones que ya tienen datos suyos. Pero no olvidemos que  SIEMPRE se comparten los datos mencionados más arriba como “información pública”.

Los denunciantes básicamente piden a la FTC que ordene a Facebook restaurar la anterior política de privacidad, que permitía a sus usuarios controlar la cesión de su información, y obligarle a que clarifique sus prácticas de recogida de datos.

No hace mucho oí la expresión “World Wide West”. Es la definición que mejor expresa esta situación tan alejada de nuestros cánones de protección de datos. Quien utilice Facebook tiene que ser consciente de que se ha metido en un agujero negro que lo que quiere es su información personal porque es monetizable. Esta vez nos han traído ellos el salvaje Oeste a casa a través de Internet.