Etiqueta: consentimiento

bookmark_borderLinkedIn cede información a terceros sin consentimiento de sus usuarios

Posted on by Félix J. Haro

LinkedInParece que no se va a escapar ninguna tecnológica ni red social de cometer alguna pifia con los datos… LinkedIn fue denunciada el mes pasado por violar la privacidad de sus usuarios. El ciudadano de San Francisco, Kevin Low, demandó a la empresa por ceder información personal a diversos anunciantes sin su permiso, entre los que se encuentran IMR/Nielsen, Quancast, Scorecard Research y Doubleclick. Según la demanda (vía Eric Goldman), LinkedIn asocia los identificadores únicos de sus usuarios gracias a las cookies y “beacons” de terceras empresas, y hace paquetes de información del siguiente modo:

1.- Al registrarse en el servicio, asigna a cada miembro un número único (ID) que se asocia al nombre del usuario

2.- Las páginas del sitio de LinkedIn enlazan y transmiten el ID gracias a las diferentes cookies, puesto que hay colocados “beacons” de terceros en éstas.

3.- LinkedIn envía ese paquete de información no sólo una vez, sino que lo va poniendo al día cada vez que se entra en el servicio y se visitan esas páginas. Y de dos formas diferentes: una, enviando las cabeceras (“HTTP Referer”), que indican qué página está visitando el usuario, y otra, añadiendo explícitamente la ID del usuario como un parámetro URL cuando se solicita una página.

Lo cierto es que la demanda está muy bien fundamentada, y de entre sus razonamientos, me quedo con el siguiente:

LinkedIn ha cedido información personal identificable del Sr. Low en conexión con su historial de navegación sin su consentimiento. Si se le hubiera dado ocasión, el Sr. Low no hubiera permitido que se cediera su historial a terceras partes, sintiéndose humillado y avergonzado por la divulgación de su historial. Por otra parte, el historial de navegación del Sr. Low es una valiosa propiedad personal con un valor de mercado. Como resultado de este comportamiento ilegal, se ha utilizado este historial sin dar al Sr. Low la compensación que se merece.

¿Podemos considerar el historial de navegación como una propiedad? Más que una propiedad, ya estamos hablando de una mercancía de tráfico común para las páginas web y las empresas anunciantes. En este caso ya incluso no hacen falta grandes esfuerzos para identificar a la persona a la que pertenece el historial de navegación, porque ya la red social se encarga de enviar esa información.

Lo más penoso es que LinkedIn indica en su política de privacidad que “la privacidad de los usuarios es muy importante para LinkedIn. No vendemos, alquilamos ni ofrecemos de modo alguno sus datos personales a terceros con fines publicitarios”. Pues menos mal. Hay que recordar que les ocurre lo mismo que en el caso de Google Buzz: si LinkedIn no se hubiera comprometido a nada, no estaría obligado a nada. Pero al afirmar que no se ceden datos a terceros, cualquier acción contraria a ese compromiso puede considerarse como una práctica engañosa.

Con que se hubiera indicado lo que se hace realmente, y con qué información, no hubiera sucedido nada en absoluto. Los usuarios hubieran estado informados sobre las finalidades para las que se emplean tanto sus perfiles como su historial de navegación. Desconozco qué grado de impacto hubiera tenido sobre el número de usuarios de LinkedIn, pero apostaría a que casi ninguno: recordemos que los usuarios no leen esas políticas de privacidad, y si lo hicieran, costaría demasiado

bookmark_borderTirón de orejas a Google Buzz, pero no por privacidad

Posted on by Félix J. Haro

GoogleBuzzHace poco más de un año dediqué un post a describir la metedura de pata de Google en el lanzamiento de su servicio Google Buzz. Resumiendo, lo pusieron en funcionamiento de un modo temerario, sin pedir permiso a los usuarios de Gmail para compartir información de su lista de contactos.

Pues bien, ayer Google anunció en su blog que había llegado a un acuerdo con la Federal Trade Commission. La primera parte del comunicado es una exposición de sus buenas actuaciones, contando las maravillas de los diferentes instrumentos con los que ha puesto la privacidad bajo control de los usuarios, poniendo ejemplos como el Panel de Control, el Administrador de Preferencias de Anuncios y el Data Liberation Front. Justifica que «la confianza del usuario le importa a Google», pero no entra en la materia…

¿En qué consiste el acuerdo? Tenemos que acudir a la página web de la FTCpara saber lo que se le impone. Lo más destacable para mí no es que se le ponga prácticamente bajo vigilancia y auditorías durante 20 años; es que se le dice a Google cómo tiene que informar a sus usuarios en el caso de que decida compartir datos de los usuarios con terceros. Si lo analizamos, es muy similar a cómo hay que informar aquí conforme a nuestra normativa:

De modo previo a cualquier nueva o adicional cesión de información del usuario de Google a terceros que suponga 1) un cambio en las prácticas en efecto al tiempo de haber recogido su información, o 2) resulte de cualquier cambio, adición o mejora a un servicio, deberá

A. informar, separado y aparte de cualquier licencia de usuario final, política de privacidad, términos de uso o documentos similares, de manera clara y prominente, de:
a) que la información del usuario de Google se revelará a una o más terceras partes
b) de la identidad o categorías específicas de esos terceros, y
c) los propósitos de esa cesión

B. Obtener consentimiento expreso del usuario de Google para esa cesión 

Habrá que estar atentos al próximo lanzamiento de servicio que hagan, para ver cómo instrumentan esto del consentimiento expreso a varios millones de usuarios a la vez, aunque ya firmaba yo poder hacerlo todo mediante un «clic», como pueden ellos…

Destaco que si Google no hubiera establecido condiciones algunas de privacidad en el servicio Buzz, la FTC no hubiera podido intervenir. Ha actuado bajo denuncia de unos usuarios: Google prometió unas condiciones relativas a la gestión de la información de los usuarios del servicio, y luego actuó incumpliéndolas. En otras palabras, el caso no trata sobre privacidad, sino sobre la comisión de prácticas engañosas. Cosa diferente es que la práctica engañosa lo haya sido con las condiciones de privacidad. No es que quiera quitarle sensacionalismo al caso, pero así es.