Insinuaciones

IcebergEn un repaso a resoluciones de la AEPD me encuentro con una que me ha resultado muy interesante, y de la que no he visto comentario alguno en mis “feeds” habituales. FACUA denunció a Google por tratar datos de carácter personal incluidos en los mensajes de correo de “Gmail” para mostrar publicidad relacionada con el contenido de los mensajes (publicidad contextual).

La Inspección de Datos realiza pruebas con una cuenta de Gmail creada para la ocasión, y comprueba que, efectivamente, la publicidad que Gmail muestra en el lateral guarda estrecha relación con el contenido de los mensajes recibidos en esa cuenta de correo.

La Agencia no tiene duda alguna de que el cribado automático del contenido de los mensajes de correo electrónico constituye un tratamiento de datos de carácter personal aunque se haga sin intervención humana.

En el primero de sus Fundamentos de Derecho deja muy claro que FACUA concreta el objeto de su denuncia en la presunta infracción de la LOPD y de la LSSI por vulnerar el derechos de los usuarios a oponerse al tratamiento de sus datos con fines publicitarios y la prohibición de enviar publicidad no autorizada […] La denuncia describe su objeto de forma genérica sin acompañar referencias de usuarios individualizados en cuyos correos electrónicos se haya constatado el objeto de la misma

En el Fundamento Jurídico V la Agencia define muy bien lo que ocurre. Si quieres Gmail, consientes en el tratamiento de tus datos (textual: “… el precio del servicio que paga el usuario es autorizar el tratamiento de sus datos personales para recibir publicidad”).

Justifica su decisión en que el usuario presta un consentimiento expreso para el tratamiento de sus datos personales y para la asociación de publicidad personalizada, ya que es la contrapartida para la prestación gratuita del servicio. Se cumplen así tanto el artículo 21.1 LSSI como el 6.1 LOPD.

La Agencia afirma que la información facilitada por Google a los usuarios del servicio Gmail presenta deficiencias:

– el conocimiento íntegro de los tratamientos a que van a ser sometidos los datos personales se encuentra disperso, siendo preciso para ello acudir a distintos hiperenlaces sucesivos;

las cláusulas informativas resultan en bastantes ocasiones genéricas para el conjunto de los servicios de Google, de forma que no se facilita que el usuario tenga un conocimiento claro y preciso sobre cómo se traducen aquellas informaciones respecto de cada uno de los concretos servicios que utiliza

La denuncia de FACUA a archivo, sin pena ni gloria. Con las deficiencias apuntadas, ¿está insinuando la Agencia por dónde hacerle cosquillas a Google?… A lo mejor en España hace falta algo más que un periodista para que nos pongan  la información “sin deficiencias”…

Recomendaciones

spamDurante toda esta semana pasada he visto diversas reacciones a la sanción de 600 euros por “spam” impuesta por la AEPD a una empresa que ponía a disposición de sus usuarios en su página web la opción de “Recomendar a un amigo”. Hay de todo, como en la viña del Señor, pero la mayoría se asombra de la resolución, y hasta el sector del marketing directo llora y se escandaliza alegando que las sanciones son muy altas, y que claro, esto les parece desproporcionado y por eso España es menos competitiva.

Haciendo una lectura atenta de la resolución llama mi atención que la empresa sancionada es incapaz de identificar al supuesto emisor del mensaje de correo electrónico, y claro, sólo puede alegar que “la empresa no participa en la decisión de enviar el email”, pero sin señalar a ningún emisor en concreto:

La dirección de correo electrónico (emisor) pertenece a un cliente de Iniciativas Virtuales registrado el día 8 de noviembre de 2006, quien supuestamente ha recomendado, a través de la página (web) los servicios a (receptor denunciante). No consta en el fichero información relativa al domicilio o medio de contacto del usuario (emisor).

Muchas empresas tienen inmensas bases de datos de direcciones de correo electrónico “huerfanas”, sin un usuario claro al que asociarlas. Pero claro, a la hora de venderlas y argumentar los precios de la publicidad… “nuestra base de datos tiene 200.000 direcciones de email perfectamente segmentadas por sector, y bla, bla, bla…”.

Ni por asomo llamarles clientes. Un cliente no es alguien que se registra hace dos años, no sabemos quién es, ni dónde vive…. Eso se llama un registro incompleto, y que por supuesto, debiera haber sido cancelado hace tiempo, teniendo en cuenta el tipo de negocio en el que se mueve esta empresa, y por supuesto la LOPD.

No tiene desperdicio tampoco la cabecera del correo electrónico que recibe el denunciante:

¡Hola!, este es un mensaje de tu amigo Internauta 123, que está disfrutando de las ventajas de… Y…, y te manda este mensaje

Vamos, hombre, un poco más de imaginación. Ya sólo faltaba que me enviaran recomendaciones R2D2C3PO… ¿pueden ser más impersonales?

Si me llega un mensaje así no le hago ni puñetero caso, y si me coge en un mal día les denuncio. Yo no me relaciono con “amigos Internautas”, sino con Angelito, Paco, Javi y demás. Y con su apellido y todo. De este modo cuando me encuentre con Angelito, Paco o Javi, les comentaré que no quiero recibir nada, o puede pasar algo mucho mejor: “oye, cuéntame, ¿de verdad esto es tan bueno como para que me lo envíes?”.

Supongamos ahora dos cosas:

Primero.- que cuando ponemos a disposición de los internautas un formulario para registrarse, exigimos unos mínimos datos de identificación que han de ser de obligatoria declaración. Y luego filtro “amanuense”, hay que ver que no se nos ha inscrito perfectamente con su nombre y apellidos Peter Pan o La Pantera Rosa… Esa base de datos será más valiosa (Cuestión diferente es que aún y con datos supuestamente correctos, sean quien digan ser…).

Segundo.- que hacemos que el emisor se dirija con esa plena identificación al receptor objetivo, a su amigo, colega o familiar. “Hola, soy tu amigo Paco Porras, y te invito a visitar esta página y registrarse, porque son unos genios de…”.

Estaremos creando una base de datos de calidad (*), llevamos el “boca a oreja” del mundo real al mundo virtual y viceversa, y lo hemos personalizado al máximo… ¿Quién denunciaría? Y una vez denunciados… ¿Creéis que nos sancionarían?

(*) Nota: aquí la mayoría de los “marketinianos” siempre te dicen que los usuarios que se registran son reacios a dar sus datos reales, o que no te los dan todos. Siempre les contesto lo mismo: házselo atractivo, ¿qué quieres? ¿que por eso que les ofreces te den su partida de nacimiento o qué? ¡haz tu trabajo, atrae a los clientes y que confíen en nosotros! Yo también se hacer formularios, colocarlos en una web y luego ametrallar con emails a los que se registren…

Ahora le toca a Gmail

logogmailEn octubre del año pasado y de modo casi casual me fijé en los anuncios que te colocan cuando utilizas el servicio de correo electrónico de Gmail. Todo por la declaración de Steve Ballmer de que Google lee el correo electrónico de los usuarios.

FACUA ha colgado hoy mismo en su sitio web la siguiente noticia:Gmail, el “correo espía” de Google, ilegal en Europa

Ahí es nada. Ni más ni menos afirman que están pendientes de recibir la respuesta oficial de la Agencia Española de Protección de Datos, que “ha declarado ilegal el modelo de negocio” en el que está basado el negocio de correo electrónico Gmail. La noticia está redactada en un tono bastante sensacionalista: “FACUA ha ganado al gigante estadounidense Google la primera batalla contra la intromisión en la privacidad del correo electrónico”, “Google debe reorientar el negocio”, “la empresa no tiene otra salida en la UE que reconducir el negocio”…

FACUA menciona el Dictamen 2/2006 del GT29 sobre el respeto a la privacidad en relación con la prestación de servicios de cribado de correo electrónico, de 21 de febrero de 2.006, y la “Declaración sobre buscadores de Internet”, aunque la AEPD ya se pronunció sobre el asunto en octubre del año pasado con su Informe Jurídico 391/2007, sobre cribado de correo electrónico.

Estos de FACUA no saben con quién están jugando la partida. Por mucho que diga la AEPD, poco hará Google, que ya ha pasado olímpicamente de las peticiones de la Unión Europea sobre conservación de logs y cookies, riéndose de cualquier institución a la que se le ocurra aconsejarle algo. Y también de la misma AEPD: ¿creen que van a hacer caso de la “Declaración sobre buscadores”?

Permítanme que me desternille: el negocio es el negocio, y cuando es tan rentable como el de Google… ni AEPD, ni UE, ni nada.

A veces las consideraciones que hacemos los que nos dedicamos a esto de la protección de datos, o asociaciones como FACUA, están en el plano de la teoría, del “deber ser”. El “ser” a menudo es muy diferente, más de lo que nosotros creemos. Los usuarios quieren servicios que funcionen y están dispuestos (o anestesiados) a ni pensar en lo que FACUA llama “derechos ciudadanos”. También piensan que su privacidad es suya y solo suya, y que con pueden disponer de ella como quieran. Eligen el servicio Gmail o cualquier otro porque les sirve, y les importa tres pimientos que les coloquen anuncios al lado de los mensajes aunque estén relacionados con el contenido del mensaje. Esta es la realidad.

¿Cuántos usuarios de Gmail van a dejar de utilizarlo por esto?