Mes: abril 2008

bookmark_borderRecomendaciones

Posted on by Félix J. Haro

spamDurante toda esta semana pasada he visto diversas reacciones a la sanción de 600 euros por “spam” impuesta por la AEPD a una empresa que ponía a disposición de sus usuarios en su página web la opción de “Recomendar a un amigo”. Hay de todo, como en la viña del Señor, pero la mayoría se asombra de la resolución, y hasta el sector del marketing directo llora y se escandaliza alegando que las sanciones son muy altas, y que claro, esto les parece desproporcionado y por eso España es menos competitiva.

Haciendo una lectura atenta de la resolución llama mi atención que la empresa sancionada es incapaz de identificar al supuesto emisor del mensaje de correo electrónico, y claro, sólo puede alegar que “la empresa no participa en la decisión de enviar el email”, pero sin señalar a ningún emisor en concreto:

La dirección de correo electrónico (emisor) pertenece a un cliente de Iniciativas Virtuales registrado el día 8 de noviembre de 2006, quien supuestamente ha recomendado, a través de la página (web) los servicios a (receptor denunciante). No consta en el fichero información relativa al domicilio o medio de contacto del usuario (emisor).

Muchas empresas tienen inmensas bases de datos de direcciones de correo electrónico “huerfanas”, sin un usuario claro al que asociarlas. Pero claro, a la hora de venderlas y argumentar los precios de la publicidad… “nuestra base de datos tiene 200.000 direcciones de email perfectamente segmentadas por sector, y bla, bla, bla…”.

Ni por asomo llamarles clientes. Un cliente no es alguien que se registra hace dos años, no sabemos quién es, ni dónde vive…. Eso se llama un registro incompleto, y que por supuesto, debiera haber sido cancelado hace tiempo, teniendo en cuenta el tipo de negocio en el que se mueve esta empresa, y por supuesto la LOPD.

No tiene desperdicio tampoco la cabecera del correo electrónico que recibe el denunciante:

¡Hola!, este es un mensaje de tu amigo Internauta 123, que está disfrutando de las ventajas de… Y…, y te manda este mensaje

Vamos, hombre, un poco más de imaginación. Ya sólo faltaba que me enviaran recomendaciones R2D2C3PO… ¿pueden ser más impersonales?

Si me llega un mensaje así no le hago ni puñetero caso, y si me coge en un mal día les denuncio. Yo no me relaciono con “amigos Internautas”, sino con Angelito, Paco, Javi y demás. Y con su apellido y todo. De este modo cuando me encuentre con Angelito, Paco o Javi, les comentaré que no quiero recibir nada, o puede pasar algo mucho mejor: “oye, cuéntame, ¿de verdad esto es tan bueno como para que me lo envíes?”.

Supongamos ahora dos cosas:

Primero.- que cuando ponemos a disposición de los internautas un formulario para registrarse, exigimos unos mínimos datos de identificación que han de ser de obligatoria declaración. Y luego filtro “amanuense”, hay que ver que no se nos ha inscrito perfectamente con su nombre y apellidos Peter Pan o La Pantera Rosa… Esa base de datos será más valiosa (Cuestión diferente es que aún y con datos supuestamente correctos, sean quien digan ser…).

Segundo.- que hacemos que el emisor se dirija con esa plena identificación al receptor objetivo, a su amigo, colega o familiar. “Hola, soy tu amigo Paco Porras, y te invito a visitar esta página y registrarse, porque son unos genios de…”.

Estaremos creando una base de datos de calidad (*), llevamos el “boca a oreja” del mundo real al mundo virtual y viceversa, y lo hemos personalizado al máximo… ¿Quién denunciaría? Y una vez denunciados… ¿Creéis que nos sancionarían?

(*) Nota: aquí la mayoría de los “marketinianos” siempre te dicen que los usuarios que se registran son reacios a dar sus datos reales, o que no te los dan todos. Siempre les contesto lo mismo: házselo atractivo, ¿qué quieres? ¿que por eso que les ofreces te den su partida de nacimiento o qué? ¡haz tu trabajo, atrae a los clientes y que confíen en nosotros! Yo también se hacer formularios, colocarlos en una web y luego ametrallar con emails a los que se registren…

bookmark_borderOpinión del GT29 sobre motores de búsqueda y protección de datos

Posted on by Félix J. Haro

UEEl Grupo de Trabajo del Artículo 29 (GT29) aprobó el viernes día 4 una Opinión sobre cuestiones de protección de datos en relación con los motores de búsqueda.

Dada la extensión de la Opinión me limitaré a enumerar sus conclusiones e invito a su lectura.

APLICABILIDAD DE LAS DIRECTIVAS EUROPEAS

  1. La Directiva 95/46/CE se aplica a los tratamientos de datos realizados por los motores de búsqueda, incluso cuando sus sedes estén fuera del Espacio Económico Europeo.
  2. Las empresas situadas fuera de la UE deben informar a sus usuarios sobre las condiciones en las que cumplen con la Directiva 95/46/CE, sea por su situación o por el uso de equipos situados en la UE.
  3. La Directiva 2006/24/CE de retención de datos no les es aplicable.

OBLIGACIONES DE LOS PROVEEDORES DE SERVICIOS DE BÚSQUEDA

  1. Pueden tratar datos sólo para propósitos legítimos y la cantidad de éstos tiene que ser adecuada y no excesiva conforme a las finalidades para las que se recojan.
  2. Deben borrar o hacer anónimos (de modo irreversible y eficiente) los datos de carácter personal una vez que ya no son necesarios para la finalidad para la que se recogieron.
  3. Los períodos de retención de los datos tienen que ser reducidos al mínimo y ser proporcionales a las finalidades que se persigan. De las explicaciones dadas por los diversos motores de búsqueda consultados, el GT29 no deduce que sea necesario un período más allá de 6 meses. Sin embargo, las legislaciones nacionales pueden requerir su borrado en períodos más cortos. Si estas empresas desean retenerlos más tiempo, deben demostrar que es estrictamente necesario para el servicio. En cualquier caso, la información sobre el período de retención ha de ser fácilmente accesible en la página de inicio.
  4. Ya que recogen algunos datos de modo inevitable sobre sus usuarios, como la dirección IP, que viene implícita en el tráfico http, no resulta necesario recoger datos adicionales para prestar el servicio de búsqueda y colocar publicidad.
  5. Si utilizan cookies, su período de vida no ha de ir más allá de lo demostrablemente necesario. Las “flash” cookies sólo deben instalarse si se da información clara sobre el propósito con el que se instalan, y cómo acceder a ellas, editar y borrar la información que contengan.
  6. Han de suministrar información inteligible sobre su identidad y localización, y sobre los datos que pretenden recoger, almacenar o transmitir, así como el propósito con el que se recogen.
  7. El enriquecimiento de los perfiles de los usuarios con datos no facilitados por éstos tiene que basarse en el consentimiento de estos mismos usuarios.
  8. Si almacenan los historiales individuales de búsqueda, deberían asegurarse de que tienen el consentimiento del usuario.
  9. Deberían respetar la voluntad de los editores de páginas web cuando indican que no desean ser indexados o incluidos en los motores de búsqueda.
  10. Cuando den servicios de caché en los que se hagan accesibles datos de carácter personal durante más tiempo que en la web original, tienen que respetar los derechos de los titulares a retirar los que sean excesivos e inexactos.
  11. Los motores que se especialicen en operaciones de valor añadido, tales como perfiles personales (conocidos como “people search engines”) y software de reconocimiento facial sobre imágenes, han de respetar también los requerimientos de la Directiva, tales como la obligación de garantizar la calidad de los datos.

DERECHOS DE LOS USUARIOS

  1. Los usuarios tienen derecho a acceder, inspeccionar y corregir si es necesario, de acuerdo con el artículo 12 de la Directiva, todos sus datos personales, incluyendo sus perfiles e historial de búsqueda.
  2. El cruce de datos con origen en diferentes servicios pertenecientes al proveedor de servicios de búsqueda sólo puede realizarse si se tiene el consentimiento del usuario para ello.

Es impresionante la utopía en la que viven en Europa los organismos reguladores de la privacidad. ¿De verdad piensa el GT29 que los buscadores se van a plegar a esto tan fácilmente?

El nombrecito del documento viene que ni pintado: OPINIÓN. Se va a quedar en eso, en una opinión, porque estas empresas van a pasar olímpicamente de cumplir con lo que aquí se establece. Primero, que los países implementen legislación interna para aplicarla; y luego, a ver quién es el valiente que se atreve a sancionar al que incumpla. No lo veremos, no.

Los prestadores de servicios de búsqueda tales como Google y Yahoo no van a cambiar su modelo de negocio por estos requerimientos. Incluso si quisieran hacerlo, el puzzle a resolver es demasiado complejo: ¿a cuántas legislaciones diferentes estarían sujetos?