Diferencias entre normativas


Hace unos días leí un curioso caso ocurrido en EE.UU. que veo interesante comentar porque es un buen ejemplo de lo dispares que son las normativas de privacidad o protección de datos españolas de las norteamericanas. El editor de una revista dirigida a público gay de Nueva Jersey llamada XY, presentó concurso de acreedores. Esta revista tenía un sitio web con más de un millón de usuarios que habían dado información personal, incluyendo  obviamente sus preferencias sexuales. Los acreedores solicitaron medidas encaminadas a adquirir la titularidad de la base de datos que contenía información acerca de sus abonados. 

Está claro que lo único que podría quedar de valor de aquel negocio era el fichero de clientes. La controversia llegó a la FTC, que envió a los acreedores de la editorial una carta advirtiendo de que cualquier venta, transferencia o de la divulgación de la información podría ser ilegal porque iba en contra de la política de privacidad establecida en su momento por el propio magazine XY, donde se declaraba que "la información no se daría o vendería a nadie". Con cualquier acto de transmisión de la bases de datos podría violarse entonces la Ley de la FTC y cometer prácticas comerciales engañosas o desleales.

Tras la advertencia, las partes llegaron a este acuerdo: el editor tendría que destruir toda la información, y conservar sólo los datos personales necesarios para servir algunos números atrasados a clientes que ya los habían pedido. Vamos, que como consecuencia práctica esa "política de privacidad", nos encontramos con que la base instalada de usuarios no valía ni un dólar…

La Electronic Frontier Foundation, asociación que hizo un seguimiento exhaustivo del asunto, describe así el problema que plantea el caso:

…el Código de Bancarrota en sí mismo no maneja esta situación muy bien. Las empresas que poseen información personal de sus clientes es probable que, a través de sus propias políticas de privacidad, se permitan vender esa información si van a la quiebra o sufren un cambio en la titularidad. Serán raros casos en que una empresa prometa a sus clientes que su información personal nunca será compartida con nadie, y así un juzgado que gestione la bancarrota podrá pemritir que los datos se alquilen o vendan, ya que no violan la ley.

Me impresiona que incluso en caso de concurso de acreedores haya prevalecido hasta la última consecuencia la promesa inicial de la empresa de que los datos no se cederán a ningún tercero. Para comprobar si algunas empresas actúan así, he cogido la última política de privacidad que recordaba haber visto, y efectivamente, esta hipotética situación la evitan los más listos de la clase. Este es el párrafo donde Twitter nos lo cuenta, en el apartado "Intercambio y difusión de información" de su política de privacidad:

Transferencias de empresas: En el caso de que Twitter esté involucrada en una bancarrota, fusión, adquisición, reestructuración o venta de activos, puede vender o transferir la información del usuario como parte de la transacción. Los compromisos establecidos en esta política de privacidad serán aplicados tal y como están a la información del usuario por la nueva entidad.

¿Cómo tenemos esto en nuestra legislación? La legislación española es permisiva, y como se indica en el artículo 19 del Real Decreto de desarrollo de nuestra Ley Orgánica de Protección de Datos, las empresas no tienen que prever este evento:

En los supuestos en los que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos , aportación o transmisión de negocio, o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.

Así de fácil. En nuestro ordenamiento no hubiera habido, a mi juicio, problema alguno… ¿qué valor vinculante tendría que en una de estas eternas "políticas de privacidad" americanizadas que nos ha dado por copiar redactar, una empresa incluyera esa misma aseveración? En el reparto de bienes que entre acreedores que se hiciera en un hipotético caso parecido al de la revista XY, el fichero pasaría a tener otro titular, y sería legítimo tratar esos datos conforme a las finalidades a las que se estaban dedicando antes. El nuevo titular resultante sólo tendrá que informar a los clientes sobre la nueva situación, y si quisiera realizar nuevos tratamientos con esos datos, nos bastaría con solicitar el consentimiento de los titulares para hacerlos.

Visto lo visto, ¿quién "protege" más los datos en estos casos?… ¿la normativa norteamericana, o la española?… hay ocasiones en las que el asunto se presta a duda razonable.

Algo sobre geolocalización

La geolocalización está de moda, no cabe duda alguna. La generalización de los teléfonos móviles con conexión a Internet nos ha  llevado a que tengamos en nuestras manos un instrumento que permite localizarnos con mucha facilidad a través de las redes sociales, o de servicios específicos de geolocalización, como Foursquare o Gowalla, que ya son otro tipo de redes sociales. Hace poco Facebook ha puesto en marcha su funcionalidad de geolocalización "Places" en Estados Unidos, Reino Unido y Japón, y dentro de poco sus más de 500 millones de usuarios "disfrutarán" de este servicio.

He puesto "disfrutarán" entre comillas ¿Es que es malo utilizar la geolocalización? Depende. He de confesar que me produce bastante estupefacción la afición de los usuarios a revelar su posición y actividades, y más cuando cualquier persona puede acceder a éstas… ¿recordáis aquella canción de Objetivo Birmania, "los amigos de mis amigas, son mis amigos…"? Pues eso, que cualquiera puede acceder a esa información con facilidad. Resulta que nos convertimos automáticamente en objetivo localizado para cualquiera que conozca esa información. Y los habrá que la  usen para bien, como los habrá que la usen para mal. Un apunte inquietante: daros una vuelta por la web de Please Rob Me, y comprobaréis qué fácil es.

Con esto del "over-sharing" han de estar encantadas las empresas de marketing directo. Compartir más información de la necesaria se ha convertido en el deporte nacional de los adictos a la tecnología, y ya resulta normal en los adolescentes, así que se dispone de cantidades enormes de información muy fiable sobre preferencias de los usuarios. Y en tiempo real. El siguiente paso es enlazar esa disponibilidad con ofertas también en tiempo real, de negocios cercanos al usuario, y dejando atrás el "emailing", que no tardará en quedar como algo casi prehistórico, o un complemento de las nuevas formas de dirigirse al "target". La oferta exacta, en el momento y LUGAR adecuados. Una delicia.

Este mismo pasado fin de semana Twitter me ofreció añadir geo-ubicación a mis "twits" con un aviso la mar de simpático:

 

 

Bien, aparte la incitación a "sobre-compartir" que contiene, hay que ver más allá. Historial de ubicaciones. Twitter va a guardar un historial de los lugares por donde me muevo, la hora en la que estoy en ellos, y lo que hago. Contado por mí. Antes, era la empresa la que tenía que invertir esfuerzo y dinero en conocerme, en tener algún dato que otro para poder hacer un perfil mío y adecuar sus ofertas a mis preferencias. Ahora no. Ahora soy yo mismo el que le voy haciendo el perfil en tiempo real… ¡y además estoy contento de hacerlo! El giro que está dando el asunto es digno de estudio, ¿no os parece?

Las empresas ya están tomando nota y preparando sus esquemas para ello. La última de la que tengo constancia, Apple. Aprovechó el lanzamiento del Iphone 4 para hacer un imperceptible cambio en su política de privacidad, donde en el apartado "Recogida y tratamiento de datos de carácter no personal" avisa de lo siguiente:

 

Apple también lleva a cabo la recogida de datos de carácter no personal − datos en un formato que impide que sean asociados directamente con una persona determinada. Podremos recoger, tratar, transferir y divulgar datos de carácter no personal para cualquier fin. Estos son algunos ejemplos de las categorías de datos de carácter no personal que podrá recoger Apple y los fines para los que podremos llevar a cabo el tratamiento de los mismos:

  • Podremos recoger datos tales como profesión, idioma, código postal, código de área, Identificador Único de Dispositivo (Unique Device Identifier – UDID), ubicación y zona horaria en la que se utiliza un producto de Apple para conocer mejor la conducta de nuestros clientes y mejorar nuestros productos, servicios y anuncios publicitarios.

 

Así que van a recoger la localización, el identificador único de mi Iphone y la hora, y además pueden utilizar esa información para cualquier propósito. Y eso son datos que considera "de carácter no personal". Fantástico. Todo está bien preparado para emplear los datos de geolocalización, que ellos consideran "no personales", y poder traspasarlos a cualquier tercero interesado en ellos y usarlos para cualquier fin. Eso es seguridad y concreción en la información al usuario, sí señor. Hay que decir que Apple, tras la petición de la Ministra de Justicia alemana de que siguiera la política de transparencia de la que la empresa siempre se jacta, declaró que se permitiría  que los usuarios pudieran optar por que no se les recogieran estos datos y que no fueran cedidos a terceros… en Alemania.

A punto de cerrar este post, me entero de que la empresa Location Labs anunció ayer que los desarrolladores de aplicaciones pueden acceder a través de una API en la nube a los datos de geolocalización de más de 250 millones de usuarios de telefonía móvil en Estados Unidos, de los operadores AT&T, Verizon, T-Mobile y Sprin-Nextel. Podrán usar el servicio, llamado Universal Location Service, para multitud de propósitos.

Tras estas pinceladas, está claro que los que nos dedicamos a esto de la protección de datos tenemos un reto bastante interesante, y sobre todo, que se está abriendo un campo en el que las empresas han de tener muy, muy en cuenta nuestra disciplina ¿Dónde queda ahora con todo esto la legislación sobre conservación de datos y sus "datos para identificar la localización del equipo de comunicación móvil" ?…