BITácora
Microsoft va a incluir la funcionalidad "Do not track" en su Internet Explorer 10, que vendrá con el nuevo sistema operativo Windows 8. Además, el DNT estará activado por defecto. El anuncio lo ha hecho su CPO, Brendon Lynch, en el blog de la empresa Microsoft on the issues. Así se cumple con el objetivo de la empresa de proteger la privacidad de los usuarios permitiéndoles el absoluto control de esta característica. También remarca que así Microsoft cumple con su compromiso con la privacidad en el diseño.
El usuario, activando el DNT, envía a los anunciantes el mensaje de que no quiere ser rastreado. El navegador no bloquea "cookies", sino que envía esa información al servidor al que hace la petición de la página web que visita el usuario. No es que el anunciante no pueda mostrar su publicidad, sino que no podría ejecutar lo que se llama la publicidad comportamental o contextual, que por otra parte es la más eficaz. Simplificando, el anunciante pasan de tener una diana en el usuario, del que conoce las preferencias, a tener que poner un anuncio sin utilizar esas preferencias. Poco menos que es una vuelta a un cartel pegado en un muro de cualquier calle.
Los anunciantes esperaban que Microsoft dejara al usuario la elección de activar el DNT, permitiendo la instalación del navegador con él desactivado. Pocos usuarios se molestarían en activarlo, sólo los más concienciados con su privacidad.
Aunque nos parezca que esta decisión de Microsoft les deja con unas perspectivas bastante preocupantes para su negocio, los anunciantes discuten que, al estar activado por defecto, el usuario no ha mostrado su preferencia real, por lo que pueden no tomarlo en cuenta. Basan esta decisión en que no hay un consentimiento explícito del usuario, ya sea para ser rastreado, o para no serlo. Y en esa discusión se encuentran.
No tenemos que olvidar que este debate queda enmarcado en la autorregulación que fabricantes de software y redes de anunciantes están intentando llevar a cabo. La FTC ya advirtió que, en este caso, no está funcionando bien, y se oyen cada vez más voces a favor de una regulación federal.
Imaginemos por un momento el mismo caso en España… ¿qué ocurriría?… ¿qué validez puede tener la opción DNT?… Interesante.
¿Cuántas veces hemos oído utilizar el término "política de privacidad"? Que si una web tiene o no tiene política de privacidad, que si hay que indicar en la política de privacidad tal o cual cosa… Pues tengo una mala noticia: en la legislación española NO existen las políticas de privacidad tal y como se han venido entendiendo desde hace un tiempo en el gremio.
Suelen aparecer esas políticas después de llegar a ellas desde un enlace que en muchas ocasiones está escondido a pie de página de inicio. Cuando las tienes delante, te das cuenta de que se trata de un conjunto de largos párrafos de información inútil e innecesaria, la mayoría simple copia de artículos de la Ley y Reglamento. Cuantas más cosas se pongan, mejor. Cada vez que leo alguno de estos engendros, pienso que es una justificación de minuta frente al cliente, porque ¿cómo se le explica que con colocar pequeños avisos en los formularios oportunos, y poco más, ya sirve? Así hay más letras juntas, y da la sensación de horas de trabajo de gabinete. Los hay que venden servicios al peso de las letras.
Es un término importado e impostado. Ya que no está en las normas, vayamos al Diccionario de la RAE a ver si nos da una pista o nos ayuda. Entre las diversas acepciones encontramos que define política como las "orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto determinado". ¿Cuáles son las orientaciones y directrices que rigen la actuación del responsable, o de cualquier otro, que recoja y trate datos? Por esta definición parezca que la entidad puede optar o decidir qué hace o qué no, y de qué manera, nada más lejos de la realidad. La Ley y el Reglamento, básicamente, son esas orientaciones y directrices. Nuestro ordenamiento es taxativo en este sentido, y permite poco margen de maniobra.
Si algo tiene nuestro cuerpo normativo sobre protección de datos, es que deja pocos puntos a merced de las decisiones de quien los trata. Nuestro sistema normativo es muy claro en qué información hay que aportar al titular de los datos, y cuándo hacerlo, porque de ello depende que tengamos el consentimiento necesario para tratar datos. Por eso la información al titular de los datos es esencial. La información que hay que dar viene marcada por varios artículos de la L.O.P.D.:
- Artículo 5: información en la recogida de los datos
- Artículo 11, punto 3: información mínima que hay que proporcionar sobre el cesionario si se tiene prevista o se realiza una cesión de datos
- Artículo 27: información que hay de proporcionar el responsable de fichero cuando efectúa la primera cesión de datos
- Artículo 30, punto 2: información al destinatario de comunicaciones comerciales cuyos datos han sido obtenidos de fuentes accesibles al público
Hemos de sumar a éstos los artículos dedicados por el Reglamento a la obtención del consentimiento, donde impone ciertos deberes formales que no hacen sino complementar al artículo 5 de la Ley. Y si abandonamos la L.O.P.D., puede añadirse la obligación de informar que impone la L.S.S.I.C.E., que no es más que una remisión a la anterior para el caso de que se recojan datos de carácter personal, y además, en el caso de instalación y uso de "cookies", qué información previa ha de darse: información clara y completa, y los fines de los tratamientos de datos que se pretendan realizar. Y no hay más, el resto es pura literatura.
Ninguna de esas diversas manifestaciones del deber de información debiera catalogarse como políticas de privacidad. Para dar una muestra de cómo debe informarse en páginas web podemos leer las más que añejas Recomendaciones al Sector del Comercio Electrónico redactadas por la AEPD en el año 2000, como consecuencia de una inspección sectorial. En concreto, en su Recomendación Primera (página 10), referente a la información en la recogida de datos, dice lo siguiente:
En todas y cada una de las páginas web desde las que se recaben datos de carácter personal se incluirá claramente visible la información a la que hace referencia el artículo 5 de la LOPD, que el usuario deberá poder obtener con facilidad y de forma directa y permanente.Podrá optarse por incorporar en todas esas páginas un texto o un botón adecuadamente etiquetado que, al ser seleccionado mediante un “click”, permita obtener la citada información. No obstante, se considera más adecuada una opción según la cual la lectura de dicha información se presente como ineludible (y no optativa) dentro del flujo de acciones que deba ejecutar el usuario para expresar la aceptación definitiva de la transmisión de sus datos a la entidad que los está recabando.
El subrayado y la negrita son míos. De verdad, qué recomendaciones aquéllas, de hace ya más de una década… Es que les pasa como a los vinos. Esto era Gran Reserva. Particularmente echo de menos en el haber de la AGPD documentos de esa claridad y utilidad, y no guías insulsas que se dedican a recopilar legislación, sus propias resoluciones y cuatro cositas más. Vino de mesa.
Es más fácil contagiarse de lo malo que imitar las virtudes ajenas. Sin embargo, hay razones para no seguir la moda de las susodichas políticas. La de más peso, que no existe obligación legal alguna, y que poco o nada aportan, salvo demostrar que el asesoramiento no es del todo correcto. La segunda, que además los titulares de los datos, en concreto los vascos, no las leen, como ayer contaban en Iurismática. Y finalmente y para colmo de males, si los usuarios las leyeran, el coste de oportunidad sería demasiado alto. Esto ya lo han demostrado en el país de las "políticas de privacidad", e incluso comienza a haber iniciativas para acortarlas porque les empiezan a parecer inútiles.
Parece mentira que mientras ellos buscan cómo simplificar, nosotros, que tenemos algo simple, estamos intentando complicarlo.
Miembro de
