bookmark_borderWorld Wide West

facebookEn menos de un mes Facebook ha modificado por dos veces su política de privacidad (19 de noviembre y 9 de diciembre). El 17 de diciembre,  el Electronic Privacy Information Center (EPIC) y varias asociaciones defensoras de la privacidad denunciaron a Facebook ante el Departamento Federal de Comercio (Federal Trade Commission).

Tiene ciertos puntos que me resultan interesantes por la deslealtad hacia el usuario que demuestra esta empresa. Hay que tener en cuenta que en USA no existe una normativa omnicomprensiva sobre la privacidad, sino que es sectorial y está bastante fragmentada, y la mayoría de las infracciones contra la privacidad son tratadas como prácticas comerciales engañosas (“deceptive trade practices”). Por esto es por lo que la FTC puede llegar a sancionar a Facebook en este caso.

El primer asunto que se plantea es que Facebook ha ampliado los datos que considera “información pública”. En la versión anterior sólo se consideraba de este tipo al nombre de usuario y a su red de contactos. Ahora la cosa cambia bastante, atentos al siguiente párrafo:

Ciertas categorías de información, como tu nombre, foto de perfil, sexo,región geográfica, lista de amigos, redes y las páginas de las que eres fanse consideran información pública y son visibles para todos, incluidas las aplicaciones compatibles con Facebook. Por lo tanto, estos datos no tienen configuración de privacidad. Sin embargo, puedes limitar el acceso que otros usuarios tienen a esta información cuando hacen búsquedas a través de tu configuración de privacidad de las búsquedas.

Por defecto, con la nueva política de privacidad todos esos datos son públicos, se comparten con cualquier aplicación y además el usuario no tiene opción de controlarlos, no tienen configuración de privacidad, tan sólo en las búsquedas. Son condiciones que Facebook pone, y cualquier usuario tiene que ser consciente de esto. Usarlo es exponerse a toda la web, e información que puede parecer en principio poco comprometedora e inocua no lo es tanto. En la misma denuncia se ponen varios ejemplos, desde que la simple publicación de lista de amigos puede conducir a saber si una persona es homosexual, hasta que una opinión en contra del régimen iraní puede llevar a la detención de tus parientes o a que te retengan el pasaporte durante un mes por tener una cuenta en Facebook y haber hecho estos comentarios.

Otro de los cambios es que la Plataforma de Facebook transfiere datos personales de los usuarios sin su consentimiento a los desarrolladores de aplicaciones con su API. Cuando alguien utiliza alguno de los típicos pasatiempos, estas aplicaciones recogen por defecto toda la información que ha sido catalogada como “información pública”, además de la que autorice el usuario expresamente. Antes se permitía desactivar esta acción con un solo botón, con una sola opción (“No compartir ninguna información a través de Facebook API”); pero ahora el usuario tiene que pasar por la penosa tarea de tener que desactivar qué datos no quiere que se compartan. Y también puede ir desactivando una por una las aplicaciones que ya tienen datos suyos. Pero no olvidemos que  SIEMPRE se comparten los datos mencionados más arriba como “información pública”.

Los denunciantes básicamente piden a la FTC que ordene a Facebook restaurar la anterior política de privacidad, que permitía a sus usuarios controlar la cesión de su información, y obligarle a que clarifique sus prácticas de recogida de datos.

No hace mucho oí la expresión “World Wide West”. Es la definición que mejor expresa esta situación tan alejada de nuestros cánones de protección de datos. Quien utilice Facebook tiene que ser consciente de que se ha metido en un agujero negro que lo que quiere es su información personal porque es monetizable. Esta vez nos han traído ellos el salvaje Oeste a casa a través de Internet.

bookmark_borderLista Robinson (2ª y última parte)

IslaDesiertaTras demasiado tiempo sin escribir por razones que no vienen al caso, no tengo más remedio que hacerlo a petición expresa de un amigo que me envía un email contándome que se me cita en una respuesta a un post escrito hoy por Samuel Parra. En este post en cuestión, Samuel hace unas buenas observaciones relativas a la Lista Robinson de FECEMD.

En junio publiqué una primera parte sobre el tema tras asistir a la pomposa presentación de la dichosa lista. Así que hoy toca la segunda.

No voy a utilizar argumentos jurídicos muy elaborados, porque considero que contribuiría a confundir más todavía a quien se dedique al marketing directo, que es lo que opino que ha hecho FECEMD en la presentación del servicio, muy ayudada consciente o inconscientemente por la prensa.

La consulta de la Lista Robinson, por mucho que se empeñe FECEMD, no es obligatoria. ¿Por qué? Hay varias razones, pero voy a poner dos que me parecen muy fáciles de entender:

Cualquier entidad o persona puede crear un “fichero común de exclusión de envío de comunicaciones comerciales”. FECEMD no tiene ninguna exclusiva.

Léanse despacio el punto 1 del artículo 49 del Real Decreto 1720/2007. Fíjense que dice que es posible la creación de estos ficheros, y que pueden ser “de carácter general o sectorial”. En ningún momento el Reglamento atribuye a ninguna entidad privada u organismo público en particular una gestión exclusiva, que es lo que aparentaba la comunicación hecha por FECEMD a la hora de presentar su servicio. Nunca podía haberlo hecho. Así que ya saben: pueden Vds. mismos elaborar un fichero de este tipo, y tras atraer a una masa crítica de usuarios, ofrecer el servicio a empresas. Imagínense un ecosistema empresarial donde nos aparecen tres, cuatro, diez o cien “listas robinson”, y todas las entidades o particulares que las crean nos cobran por utilizarlas. Total, hay libertad para crearlas… ¿quién me razona que no la hay? ¿en base a qué se podría hacer esa afirmación?

No es obligatoria su consulta para todos los que pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial.

Ahora toca leer el punto 4 del mismo artículo, y párense a reflexionar cuando lleguen al siguiente texto: “… deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación…”. No hace falta que lean nada más. Si hay ficheros comunes que pueden afectarme, es que los hay también de los que no me afectan. Más sencillo imposible, ¿dónde está entonces la obligatoriedad?.

¿Y qué es lo que me indica si un fichero de exclusión me afecta o no? Pues me resulta muy gracioso escribirlo, pero es el hecho de que me haya comprometido a utilizarlo.

Cuando le solicitamos a FECEMD información de cómo utilizar SU fichero de exclusión, nos trata comoCLIENTE, y nos impone unas obligaciones respecto de ese fichero. Primero te cuentan que es obligatorio, pero cuando te lees el contrato, ves que todo eso se cae como un castillo de naipes: es un contrato de prestación de servicios, y tú eres su cliente. Quien lo hace obligatorio para sí mismo es la empresa que lo contrata.

Como conclusiones:

– el artículo 49 del Reglamento es una pifia más resultado, en mi opinión, de la poca firmeza de sus redactores ante la presión de “lobbies” del marketing directo

– FECEMD ha aprovechado la confusión todavía reinante en el sector para rehacer y relanzar SUservicio de Lista Robinson, presentándolo como un importante acuerdo con la Agencia, algo a lo que la Agencia jamás hubiera debido prestarse

– el establecimiento de servicios de ficheros de exclusión de cumplimiento obligatorio, al modo de los “National Do not Call Registry” norteamericano y canadiense, no es posible en nuestro ordenamiento por la regulación del consentimiento que hace la Ley Orgánica de Protección de Datos.

RECOMENDACIÓN: Lean el genial blog de Samuel Parra, que creo que tiene el don de transmitir con sencillez y mucha claridad asuntos “del dato” y los acerca pero que muy bien al ciudadano.