Imagine

No, no se trata de la canción de John Lennon, aunque pudiera parecerlo. Es parte de la contestación que me dio este verano una empresa a través de un sistema de “tickets” de atención al cliente cuando le pregunté que de dónde habían sacado mi dirección de correo electrónico. Después de recibir publicidad sobre un asunto en el que jamás he tenido ni el más mínimo interés, y de una empresa desconocida, entré en su página web y me encontré con que disponían de un formulario donde dirigirte a ellos. Lo rellené preguntando por el origen y recibí la siguiente contestación:

STecnico

Sería aplicable aquello de que es preferible estar callado y parecer tonto que hablar y despejar la incógnita. En tres líneas se cubren de gloria. Resulta que el origen del dato es que “un anterior empleado lo había dejado en un ordenador…”. Por arte de magia, mi dirección de correo estaría paseando por allí, y algún empleado la invitó a entrar en ese ordenador, y se quedó allí a vivir. Claro, en esa situación, ya había que tratarla como si fuera de la casa.

Lo mejor de todo es la excusa… “imagine usted”. Saber de dónde vienen los datos que tenemos, y su origen, es que puede llegar a ser una tarea muy pesada. Imagínese tener que dar explicaciones, por Dios. El caso es que lo imagino, y además, es que es así. Tienen que tienen dar explicaciones con el origen de todos y cada uno de los datos de los que dispone la empresa, por supuesto.

¿Cuántas cosas afloran en tan solo tres líneas? Primero, que la atención al usuario o cliente es penosa. No es admisible una contestación de este tipo. Segundo, que a la empresa le importa más bien poquito esto de gestionar la información, cumplir con la normativa, y que los empleados no han sido formados ni en atención al cliente, ni en el asuntillo de los datos. El problema es que esto es casi generalizado. Muchas pequeñas empresas han caído en las redes de los estafadores del “coste cero” o en las garras de cualquier Chiquilicuatre que dice trabajar con protección de datos, y el resultado son cosas como esta. Piensan que basta con declarar dos o tres ficheros al Registro y hacer un documento de seguridad “copypasteado”. Pero no es así.

Ahora sí que aprovecho la canción de Lennon: querido empresario, sí, sí que tienes que dar explicaciones sobre el origen de mis datos. Es fácil si lo intentas…

LinkedIn cede información a terceros sin consentimiento de sus usuarios

LinkedInParece que no se va a escapar ninguna tecnológica ni red social de cometer alguna pifia con los datos… LinkedIn fue denunciada el mes pasado por violar la privacidad de sus usuarios. El ciudadano de San Francisco, Kevin Low, demandó a la empresa por ceder información personal a diversos anunciantes sin su permiso, entre los que se encuentran IMR/Nielsen, Quancast, Scorecard Research y Doubleclick. Según la demanda (vía Eric Goldman), LinkedIn asocia los identificadores únicos de sus usuarios gracias a las cookies y “beacons” de terceras empresas, y hace paquetes de información del siguiente modo:

1.- Al registrarse en el servicio, asigna a cada miembro un número único (ID) que se asocia al nombre del usuario

2.- Las páginas del sitio de LinkedIn enlazan y transmiten el ID gracias a las diferentes cookies, puesto que hay colocados “beacons” de terceros en éstas.

3.- LinkedIn envía ese paquete de información no sólo una vez, sino que lo va poniendo al día cada vez que se entra en el servicio y se visitan esas páginas. Y de dos formas diferentes: una, enviando las cabeceras (“HTTP Referer”), que indican qué página está visitando el usuario, y otra, añadiendo explícitamente la ID del usuario como un parámetro URL cuando se solicita una página.

Lo cierto es que la demanda está muy bien fundamentada, y de entre sus razonamientos, me quedo con el siguiente:

LinkedIn ha cedido información personal identificable del Sr. Low en conexión con su historial de navegación sin su consentimiento. Si se le hubiera dado ocasión, el Sr. Low no hubiera permitido que se cediera su historial a terceras partes, sintiéndose humillado y avergonzado por la divulgación de su historial. Por otra parte, el historial de navegación del Sr. Low es una valiosa propiedad personal con un valor de mercado. Como resultado de este comportamiento ilegal, se ha utilizado este historial sin dar al Sr. Low la compensación que se merece.

¿Podemos considerar el historial de navegación como una propiedad? Más que una propiedad, ya estamos hablando de una mercancía de tráfico común para las páginas web y las empresas anunciantes. En este caso ya incluso no hacen falta grandes esfuerzos para identificar a la persona a la que pertenece el historial de navegación, porque ya la red social se encarga de enviar esa información.

Lo más penoso es que LinkedIn indica en su política de privacidad que “la privacidad de los usuarios es muy importante para LinkedIn. No vendemos, alquilamos ni ofrecemos de modo alguno sus datos personales a terceros con fines publicitarios”. Pues menos mal. Hay que recordar que les ocurre lo mismo que en el caso de Google Buzz: si LinkedIn no se hubiera comprometido a nada, no estaría obligado a nada. Pero al afirmar que no se ceden datos a terceros, cualquier acción contraria a ese compromiso puede considerarse como una práctica engañosa.

Con que se hubiera indicado lo que se hace realmente, y con qué información, no hubiera sucedido nada en absoluto. Los usuarios hubieran estado informados sobre las finalidades para las que se emplean tanto sus perfiles como su historial de navegación. Desconozco qué grado de impacto hubiera tenido sobre el número de usuarios de LinkedIn, pero apostaría a que casi ninguno: recordemos que los usuarios no leen esas políticas de privacidad, y si lo hicieran, costaría demasiado

¿De carácter no personal?

Apple utilizará la geolocalización de los usuarios de sus sistemas.

Hace un tiempo comenté que Apple había aprovechado el lanzamiento del iphone 4 para cambiar su política de privacidad para poder recoger y ceder a terceros datos de diversa índole que la empresa consideraba como “de carácter no personal”. El párrafo con la modificación es el siguiente:

Apple también lleva a cabo la recogida de datos de carácter no personal -datos en un formato que impide que sean asociados directamente con una persona determinada. Podremos recoger, tratar, transferir y divulgar datos de carácter no personal para cualquier fin. Estos son algunos ejemplos de las categorías de datos de carácter no personal que podrá recoger Apple y los fines para los que podremos llevar a cabo el tratamiento de los mismos:

– podremos recoger datos tales como profesión, idioma, código postal, código de área, Identificador Único de Dispositivo (Unique Device Identifier – UDID), ubicación y zona horaria en la que se utiliza un producto de Apple, para conocer mejor la conducta de nuestros clientes y mejorar nuestros productos, servicios y anuncios publicitarios

Toda esa información asociada a un identificador único, aquí, en España, debiera ser sin ninguna duda tratada como si fuera un conjunto de datos de carácter personal, ya que son fácilmente asociables a una persona física identificada o identificable. Sin profundizar mucho, todos los usuarios de un iphone han que pasar por el trámite de registro, por lo que la afirmación que Apple de que se trata de datos que tienen carácter “no personal”, no es en absoluto cierta, ya que el dichoso UDID se transmite a Apple, y por ende, todos esos datos que “no son personales” pueden asociarse fácilmente a un usuario.

Como también puede transmitir esos datos a terceras partes (la política de privacidad habla de “transferencia”), ¿hasta dónde pueden esas terceras partes identificar al usuario? Existe a priori una duda más que razonable. Y así es: para quienes quieran profundizar, en este enlace pueden encontrar un documento elaborado por la Universidad de Bucknell donde se explican los riegos asociados con ese UDID, y donde se demuestra que la mayoría de las aplicaciones del iphone transmiten información a los servidores de sus desarrolladores (…¿alguien podría dudarlo?…).

Por eso le han colocado a Apple y a diversas empresas desarrolladoras de aplicaciones (Pandora, The Weather Channel, dictionary.com y Backflip) una “class action” en California. No es noticia, ni mucho menos, pero sí que me resulta novedoso el argumento principal que se ha utilizado: que todos esos datos “no personales” pueden llevar a la identificación de la persona física usuaria del aparatito… El razonamiento parece calcado de la definición de dato de carácter personal de nuestra Ley Orgánica de Protección de Datos. Estaremos atentos a ver en qué concluye el asunto.