bookmark_borderDiferencias entre normativas

xy-comHace unos días leí un curioso caso ocurrido en EE.UU. que veo interesante comentar porque es un buen ejemplo de lo dispares que son las normativas de privacidad o protección de datos españolas de las norteamericanas. El editor de una revista dirigida a público gay de Nueva Jersey llamada XY, presentó concurso de acreedores. Esta revista tenía un sitio web con más de un millón de usuarios que habían dado información personal, incluyendo  obviamente sus preferencias sexuales. Los acreedores solicitaron medidas encaminadas a adquirir la titularidad de la base de datos que contenía información acerca de sus abonados.

Está claro que lo único que podría quedar de valor de aquel negocio era el fichero de clientes. La controversia llegó a la FTC, que envió a los acreedores de la editorial una carta advirtiendo de que cualquier venta, transferencia o de la divulgación de la información podría ser ilegal porque iba en contra de la política de privacidad establecida en su momento por el propio magazine XY, donde se declaraba que «la información no se daría o vendería a nadie». Con cualquier acto de transmisión de la bases de datos podría violarse entonces la Ley de la FTC y cometer prácticas comerciales engañosas o desleales.

Tras la advertencia, las partes llegaron a este acuerdo: el editor tendría que destruir toda la información, y conservar sólo los datos personales necesarios para servir algunos números atrasados a clientes que ya los habían pedido. Vamos, que como consecuencia práctica esa «política de privacidad», nos encontramos con que la base instalada de usuarios no valía ni un dólar…

La Electronic Frontier Foundation, asociación que hizo un seguimiento exhaustivo del asunto, describe así el problema que plantea el caso:

…el Código de Bancarrota en sí mismo no maneja esta situación muy bien. Las empresas que poseen información personal de sus clientes es probable que, a través de sus propias políticas de privacidad, se permitan vender esa información si van a la quiebra o sufren un cambio en la titularidad. Serán raros casos en que una empresa prometa a sus clientes que su información personal nunca será compartida con nadie, y así un juzgado que gestione la bancarrota podrá pemritir que los datos se alquilen o vendan, ya que no violan la ley.

 

Me impresiona que incluso en caso de concurso de acreedores haya prevalecido hasta la última consecuencia la promesa inicial de la empresa de que los datos no se cederán a ningún tercero. Para comprobar si algunas empresas actúan así, he cogido la última política de privacidad que recordaba haber visto, y efectivamente, esta hipotética situación la evitan los más listos de la clase. Este es el párrafo donde Twitter nos lo cuenta, en el apartado«Intercambio y difusión de información» de su política de privacidad:

Transferencias de empresas: En el caso de que Twitter esté involucrada en una bancarrota, fusión, adquisición, reestructuración o venta de activos, puede vender o transferir la información del usuario como parte de la transacción. Los compromisos establecidos en esta política de privacidad serán aplicados tal y como están a la información del usuario por la nueva entidad.

¿Cómo tenemos esto en nuestra legislación? La legislación española es permisiva, y como se indica en el artículo 19 del Real Decreto de desarrollo de nuestra Ley Orgánica de Protección de Datos, las empresas no tienen que prever este evento:

En los supuestos en los que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos , aportación o transmisión de negocio, o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.

 

Así de fácil. En nuestro ordenamiento no hubiera habido, a mi juicio, problema alguno… ¿qué valor vinculante tendría que en una de estas eternas «políticas de privacidad» americanizadas que nos ha dado por copiar redactar, una empresa incluyera esa misma aseveración? En el reparto de bienes que entre acreedores que se hiciera en un hipotético caso parecido al de la revista XY, el fichero pasaría a tener otro titular, y sería legítimo tratar esos datos conforme a las finalidades a las que se estaban dedicando antes. El nuevo titular resultante sólo tendrá que informar a los clientes sobre la nueva situación, y si quisiera realizar nuevos tratamientos con esos datos, nos bastaría con solicitar el consentimiento de los titulares para hacerlos.

Visto lo visto, ¿quién «protege» más los datos en estos casos?… ¿la normativa norteamericana, o la española?… hay ocasiones en las que el asunto se presta a duda razonable.

bookmark_borderBynamite, gestión de perfiles y publicidad on-line

BynamiteLogoMientras buscaba información sobre la elaboración de perfiles de usuarios de Internet, he encontrado Bynamite, una pequeña «start-up» fundada por Ian Wilkes y Ginsu Yoon, antiguos trabajadores de Linden Lab (Second Life). El concepto del que han partido es muy interesante: quieren dar el control al usuario sobre su información de un modo muy sencillo, de tal forma que sepa en todo momento qué perfil está ofreciendo a los anunciantes. Partiendo de ese control, conciben la información personal como moneda de cambio, y creen que en un futuro este tipo de perfiles puede servir para realizar transacciones entre usuarios y anunciantes, como por ejemplo, descuentos a la hora de adquirir un producto o servicio si el usuario ofrece acceso a su perfil. No es que sea un concepto nuevo, ya que todo el mercado de los datos en Internet se basa en él, sino que otorga cierto equilibrio a esta relación, y da la posibilidad de que el usuario pueda controlar cuánto y qué es lo que ofrece. No olvidemos que la mayoría de los servicios gratuitos de los que disfrutamos lo son a cambio de ser objetivo de publicidad: la misma AEPD, enuna resolución de archivo sobre la publicidad contextual en Gmail, dejó claro que «el precio del servicio que paga el usuario es autorizar el tratamiento de sus datos personales para recibir publicidad».

Esta aplicación es de momento una extensión para los navegadores Chrome y Firefox, y si la instalamos nos permite, sin bloquear la publicidad, conocer qué perfil estamos construyendo y mostrando a los anunciantes con un formato de mapa web:

BynamiteMap

Nos notifica regularmente sobre qué preferencias se van añadiendo, y podemos eliminar con un «clic» las que no nos interesen, ofreciendo así una imagen más fiel de nuestros gustos para no ser objetivo de anuncios sobre productos y servicios poco atractivos. También podemos sumar más preferencias. Google fue pionero en este sentido con su Centro de Privacidad y la posibilidad de gestionar desde éste nuestras preferencias sobre los anuncios que nos muestra, pero Bynamite nos puede llegar a ahorrar la gestión de las preferencias en todas y cada una de las diferentes páginas web que utilicemos…

Ni qué decir tiene que para las empresas anunciantes esto podría suponer una revolución: es el usuario quien decide qué tipo de anuncios quiere ver, se segmenta él mismo y a plena conciencia. Con esto aumentaría el retorno de la inversión en publicidad a buen seguro, puesto que las campañas tendrían más eficacia.

Ahora una pequeña reflexión: ¿qué tal si los dueños de Bynamite le dieran un pequeño giro para adaptarlo a la nueva regulación europea de las «cookies»? Podrían poner en manos de los anunciantes y de los usuarios un magnífico instrumento con el que todos saldrían ganando, y se cumpliría la «estricta» normativa. Desde hace bastantes meses el sector de la publicidad on-line sabe que tiene que adaptar su modo de trabajar a las nuevas exigencias de la Unión Europea, al haberse modificado la Directiva 2002/58/CE. El G29 ha dado suopinión sobre el asunto, llegando incluso a afirmar que este cambio supone una oportunidad de innovación para las empresas implicadas. Sin embargo no hay movimientos para afrontar los cambios, sino lamentaciones y reproches, y no parece que haya mucha intención de cambio. El potencial en servicios relacionados con la gestión de la privacidad sí que lo están empezando a ver los que vienen llevando la iniciativa en innovación un tiempo: baste con leereste artículo del Wall Street Journal que explica que las empresas de capital riesgo empiezan a apostar por este tipo de soluciones.