La funcionalidad de Facebook “encontrar amigos” plantea problemas legales

Aunque soy usuario de Facebook, nunca había reparado en la funcionalidad “Agregar contactos personales”. El mes pasado leí en Reuters que en Alemania un tribunal ha declarado que esta opción va contra su legislación de protección de datos y la considera una práctica de marketing engañosa… ¿por qué?

Para analizar el asunto no hay nada mejor que ver cómo funciona en la práctica. A continuación tenemos un resumen de qué ocurre cuando utilizamos la función, y qué información reciben nuestros amigos. Como veremos, se plantean bastantes dudas también si aplicamos la legislación española:

1º.- Facebook nos ofrece agregar a nuestros amigos, poniendo a nuestra disposición la conexión con algunos de los servicios de correo más conocidos, como Yahoo, Outlook o iCloud:

01.AgregarContactos

2º.- En un segundo paso, Facebook solicita autorización para acceder a los contactos que tengamos almacenados en la cuenta de correo. En mi caso, abrí una cuenta de Yahoo para hacer la prueba y sólo incluí una cuenta que también controlo para recibir la invitación:

02.InicioSesionFBconYahoo

3º.- Cuando Facebook ha accedido a los contactos, podrás seleccionar a quiénes invitar a utilizar la red social. Aquí aparece un primer detalle, bastante relevante: Facebook enviará tres correos electrónicos al “amigo”. Uno con la invitación inicial, y dos más para recordárselo:

03.InvitaAmigos

El invitado recibe un primer correo electrónico, enviado en nombre de Facebook, no de quien hace la invitación:

04.MensajeEnviadoxFB

Lo más relevante es que nos ofrecen cancelar nuestra “suscripción”, cuando nosotros no nos hemos inscrito en ninguna parte, sino que han recogido el correo electrónico porque se lo ha facilitado un tercero. Está claro que a priori recogen y almacenan tus datos sin tu consentimiento… ¿dónde te han pedido permiso? ¿dónde te han informado de qué datos guardan, para qué…?.

Si el amigo pulsa en “cancela tu suscripción”, se encuentra con que Facebook le ofrece dejar de recibir mensajes de correo electrónico de otros amigos a través de la red, pero el mensaje viene en su mayor parte en inglés (¡…!):

05.NoRecibirdeFB

Debiera estar redactado en español, ya que el usuario tiene como idioma principal ese idioma. La dirección dirección de correo electrónico quedará almacenada en una “lista negra” para que no te molesten más. No habría mayor problema, puesto que en nuestro ordenamiento están admitidas este tipo de listas a los solos efectos de evitar enviar comunicaciones publicitarias. Sin embargo, al estar en inglés, no se cumple con el requisito de informar adecuadamente al receptor de que está incluido en un fichero, su finalidad, etc.

Esta funcionalidad es legalmente idéntica a las campañas de marketing en las que se invita a alguien a incluir direcciones de correo electrónico de amigos para que reciban una promoción u oferta de cualquier producto o servicio. Ya lo comenté aquí en el año 2008, el típico “enviar a un amigo”, tal y como se ejecuta por la práctica totalidad de las empresas, es ilegal en España, y ya ha habido sanciones. Pero, ¿qué requisitos habría de tener una campaña de este tipo para que fuera legal? Lo trataré en un artículo posterior.

Nuevas pistas

NewClues

Hace un año y medio que sigo el blog de Doc Searls. El post por el que llegué a él fue “Thoughts on privacy“, donde hace una exposición bastante interesante del estado de lo que llamamos privacidad. Doc es un conocido periodista, miembro del “Center for Information Technology and Society” de la Universidad de California. Su obra más conocida es el Manifiesto Cluetrain (1999), donde con otros autores hizo una descripción sobre qué era Internet entonces, y cómo evolucionaría, habiendo acertado en la mayoría de sus planteamientos.

Este mes ha publicado una revisión del Manifiesto. La ha llamado “New Clues”. Mucho más corta, ya que tiene 121 sentencias agrupadas en temáticas, se ocupa de hacer un repaso de los diferentes problemas a los que se en enfrenta la Red, y a proponer soluciones. De todas ellas, cómo no, una de las que más me ha interesado es la que habla sobre la privacidad:

Privacidad en una era de comadrejas

88. La privacidad personal está bien para quienes la quieren. Y todos trazamos la línea en alguna parte.

89. Pregunta, ¿cuánto tiempo crees que le llevó averiguar a la cultura pre-Web dónde dibujar las líneas? Respuesta, ¿qué edad tiene la cultura?

90. La Web apenas es adolescente. Estamos al principio, no al final, de la historia de la privacidad.

91. Solo podemos averiguar lo que significa ser privado una vez que averigüemos lo que significa ser social. Y apenas hemos comenzado a reinventarlo.

92. Los incentivos económicos y políticos para desnudarse son tan fuertes que sería más inteligente invertir en ropa interior de aluminio.

93. Los hackers nos metieron en esto, y los hackers tendrán que sacarnos.

Hay algún punto fuera de este grupo: “parad de reventar nuestras vidas para extraer datos que no os importan y que malinterpretáis” (58); “personalizar algo es espeluznante, es una señal de que no entendéis lo que significa ser una persona” (61). Para los interesados, no falta otra sobre espionaje y privacidad, donde dibuja las líneas generales en las que se mueven las relaciones de los gobiernos con los ciudadanos.

Doc está convencido de que la solución pasa por la tecnología (92, 93). Pero si la tecnología va a ser la solución a los problemas de privacidad, quien la maneje y disponga de ella tendrá todo en su mano, lo que nos conduce a hacernos la pregunta de siempre, al punto de inicio… qui custodiet custodes ipsos?

Por qué no estoy asociado.

A menudo me preguntan por qué no formo parte de ninguna de las asociaciones de profesionales de privacidad que existen en España. Tengo claro que a más de uno no le gustará lo que opino, pero subrayo que es mi opinión, y nada más que eso. Todo es discutible, faltaba más, y lo que aquí cuento no pasan de ser unas impresiones particulares. Cada uno es libre de pertenecer a la asociación que le de la gana, y su interés tendrá en pertenecer a una u otra. O como es mi caso, a ninguna.

Por un lado, el Data Privacy Institute (ISMS Forum) está enfocado más a la seguridad de la información que a la protección de datos, y está dirigida a profesionales de empresas de cierto tamaño. Su nacimiento fue posterior en pocos días al de APEP, y las circunstancias en las que el DPI se fundó, a modo de escisión de APEP y aprovechando la existencia previa del ISMS Forum, las conocemos bastante bien los profesionales del ramo. Su certificación se centra en la seguridad de la información, no es en puridad sobre protección de datos. Como no me interesa la seguridad de la información más que de modo lateral, no estoy asociado al DPI.

La APEP, sin embargo, sí que nació enfocada a protección de datos desde sus inicios, y de un modo exclusivo. Creo que tuvo un arranque bastante fuerte, pero ha perdido fuelle con el tiempo. Muchos de los socios iniciales tenían puesta la esperanza en la lucha contra la “LOPD a coste cero”, quizá excesiva, porque una asociación, a mi parecer, ha de estar a proteger los derechos de sus asociados, no de las empresas de sus asociados. Llegué a estar en su Directiva, y como encargado de este asunto, y dimití al poco tiempo. Más allá de su certificación, que considero bastante completa, y de las charlas/coloquios/conferencias que se ofrecen, no veo que ofrezca valor real al asociado. Cuando has presenciado dos o tres ponencias de las que se ofrecen, se percibe la endogamia de éstas, te quedas sin ninguna novedad, tanto en el plano de las materias tratadas, como en el de las personas que las imparten. Tal y como está funcionando ahora, no me aporta valor alguno, y por eso tampoco estoy asociado.

Pienso que una de las mayores carencias que tiene es que no admite como socios a empresas. Quizá por prejuicios absurdos, pero creo que lo único que se logra así es que se pierda empuje profesional y sobre todo financiación, y con ello, la posibilidad de poder realizar más actividades que sean valoradas por los asociados.

Creo que ambas asociaciones no han trabajado para lograr el reconocimiento de sus certificaciones en ninguno de estos dos planos:

1. En el mercado de trabajo de profesionales. Más allá de alguna oferta de trabajo residual, no se han consolidado, y las empresas desconocen la existencia de este tipo de profesionales.

2. En el mercado de los servicios a empresas. Aquí tampoco ha habido acciones para dar prestigio a la certificación. Las empresas españolas no buscan que los servicios se los presten profesionales certificados, o las empresas que cuentan con ellos, porque no saben que existen y que prestan servicios de calidad.

Ninguna de las dos se ha preocupado de promover ese doble reconocimiento más allá del mismo círculo de los profesionales de la privacidad, y esto es un grave error. Al menos yo no tengo noticia de ninguna acción dirigida en exclusiva a alcanzar esos objetivos. Uno de los mayores esfuerzos que debieran acometer es ese: contarles a las empresas en general que existen estos profesionales, y que prefieran sus servicios a los de otros que ni tan siquiera se han preocupado de certificarse.

Insisto: esta es una visión personal de ambas asociaciones, basada en mi propia experiencia y en mis percepciones.