World Wide West

On 27 December 2009 · Leave a Comment · In Estados Unidos, Internet, Marketing directo, Redes sociales

En menos de un mes Facebook ha modificado por dos veces su política de privacidad (19 de noviembre y 9 de diciembre). El 17 de diciembre,  el Electronic Privacy Information Center (EPIC) y varias asociaciones defensoras de la privacidad denunciaron a Facebook ante el Departamento Federal de Comercio (Federal Trade Commission). Tiene ciertos puntos que [...]

En menos de un mes Facebook ha modificado por dos veces su política de privacidad (19 de noviembre y 9 de diciembre). El 17 de diciembre,  el Electronic Privacy Information Center (EPIC) y varias asociaciones defensoras de la privacidad denunciaron a Facebook ante el Departamento Federal de Comercio (Federal Trade Commission).

Tiene ciertos puntos que me resultan interesantes por la deslealtad hacia el usuario que demuestra esta empresa. Hay que tener en cuenta que en USA no existe una normativa omnicomprensiva sobre la privacidad, sino que es sectorial y está bastante fragmentada, y la mayoría de las infracciones contra la privacidad son tratadas como prácticas comerciales engañosas (“deceptive trade practices”). Por esto es por lo que la FTC puede llegar a sancionar a Facebook en este caso.

El primer asunto que se plantea es que Facebook ha ampliado los datos que considera “información pública”. En la versión anterior sólo se consideraba de este tipo al nombre de usuario y a su red de contactos. Ahora la cosa cambia bastante, atentos al siguiente párrafo:

Ciertas categorías de información, como tu nombre, foto de perfil, sexo, región geográfica, lista de amigos, redes y las páginas de las que eres fan se consideran información pública y son visibles para todos, incluidas las aplicaciones compatibles con Facebook. Por lo tanto, estos datos no tienen configuración de privacidad. Sin embargo, puedes limitar el acceso que otros usuarios tienen a esta información cuando hacen búsquedas a través de tu configuración de privacidad de las búsquedas.

Por defecto, con la nueva política de privacidad todos esos datos son públicos, se comparten con cualquier aplicación y además el usuario no tiene opción de controlarlos, no tienen configuración de privacidad, tan sólo en las búsquedas. Son condiciones que Facebook pone, y cualquier usuario tiene que ser consciente de esto. Usarlo es exponerse a toda la web, e información que puede parecer en principio poco comprometedora e inocua no lo es tanto. En la misma denuncia se ponen varios ejemplos, desde que la simple publicación de lista de amigos puede conducir a saber si una persona es homosexual, hasta que una opinión en contra del régimen iraní puede llevar a la detención de tus parientes o a que te retengan el pasaporte durante un mes por tener una cuenta en Facebook y haber hecho estos comentarios.

Otro de los cambios es que la Plataforma de Facebook transfiere datos personales de los usuarios sin su consentimiento a los desarrolladores de aplicaciones con su API. Cuando alguien utiliza alguno de los típicos pasatiempos, estas aplicaciones recogen por defecto toda la información que ha sido catalogada como “información pública”, además de la que autorice el usuario expresamente. Antes se permitía desactivar esta acción con un solo botón, con una sola opción (“No compartir ninguna información a través de Facebook API”); pero ahora el usuario tiene que pasar por la penosa tarea de tener que desactivar qué datos no quiere que se compartan. Y también puede ir desactivando una por una las aplicaciones que ya tienen datos suyos. Pero no olvidemos que  SIEMPRE se comparten los datos mencionados más arriba como “información pública”.

Los denunciantes básicamente piden a la FTC que ordene a Facebook restaurar la anterior política de privacidad, que permitía a sus usuarios controlar la cesión de su información, y obligarle a que clarifique sus prácticas de recogida de datos.

No hace mucho oí la expresión “World Wide West”. Es la definición que mejor expresa esta situación tan alejada de nuestros cánones de protección de datos. Quien utilice Facebook tiene que ser consciente de que se ha metido en un agujero negro que lo que quiere es su información personal porque es monetizable. Esta vez nos han traído ellos el salvaje Oeste a casa a través de Internet.

Tagged with:
 

Cambios en la regulación de las "cookies"

On 20 December 2009 · 4 Comments · In E-Commerce, Legislación, Unión Europea

Este viernes pasado el DOCE ha publicado la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa [...]

Este viernes pasado el DOCE ha publicado la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación en materia de protección de los consumidores.

De entre las novedades que trae la que más me llama la atención es la nueva redacción que se da en su artículo 2.5) al artículo 5.3 de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas):

3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

Me quedo con el matiz de que la redacción anterior no incluía la palabra después; ahora las “cookies” han de ser colocadas una vez que el usuario ha sido informado sobre las finalidades del tratamiento de datos.

Nuestra LSSICE tendrá que ser retocada, porque cuando habla de los derechos de los destinatarios de servicios de la sociedad de la información, dice lo siguiente (artículo 22.2):

Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de datos mediante un procedimiento sencillo y gratuito

Hasta ahora tenemos la costumbre de incluir un aviso en las páginas web que en ningún caso es previo, y en cuanto aparece el visitante, se le coloca la “cookie” si no lo impide mediante la configuración del navegador o con otro medio.

Aunque la nueva Directiva ha de ser traspuesta por los Estados miembros a más tardar el 25 de mayo de 2011, ya toca empezar a pensar en cómo vamos a implementar esto en las páginas web. Creo que cambia bastante la filosofía de trabajo, y si tenemos en cuenta que las “cookies” son unos de los instrumentos fundamentales para analizar el comportamiento de los visitantes (pensemos en el tan de moda “behavioral marketing”), supone todo un reto, porque el usuario va a ser más consciente de que se le está analizando.

Tagged with: