bookmark_borderOpinión 2/2010 sobre la publicidad de comportamiento

CookiesEl Grupo de Trabajo del Artículo 29 emitió el 22 de junio su Opinión 2/2010 sobre publicidad comportamental online. Ya comenté en diciembre que se avecinaban cambios en la regulación de las “cookies” por la entrada en vigor de la Directiva 2009/136/CE, y que España, como el resto de los países de la Unión Europea, quedaba obligada a adecuar su legislación a más tardar en mayo de 2011. Este documento da las líneas maestras de esos cambios, y la verdad es que no debiera dejar indiferente a nadie, ni a usuarios, ni a las empresas que viven de los anuncios, ni a los fabricantes de software.

De la Opinión destaco lo siguiente:

1. Aclara que ha de disponerse del consentimiento previo del usuario. Sólo después podrán colocar la “cookie”, y para esto es necesario proveer al usuario de la información correspondiente sobre las finalidades para las que se utilizarán los datos obtenidos. El consentimiento obtenido a través de las típicas políticas de privacidad o condiciones generales, a juicio del GT29, no cumple con los requisitos del artículo 5.3 de la Directiva, así como tampoco alegar que los navegadores disponen de opciones técnicas para rechazar las “cookies”.

2. Remarca que hay ocasiones en las que será aplicable la Directiva sobre protección de datos si después de colocar la “cookie” la información recogida puede considerarse dato de carácter personal. Da el ejemplo de la dirección IP, de procesos donde se utilizan identificadores únicos, y de los que posteriormente usan esa información para asociarla a un usuario registrado.

3. Marca las obligaciones para cada uno de los agentes que intervienen en la publicidad comportamental online: proveedores de redes de anuncios, editores y anunciantes.

4. No sólo es aplicable a las “cookies”, sino a cualquier otro dispositivo que pueda colocarse en cualquier medio. Pensemos en los teléfonos móviles, por ejemplo.

5. Estas disposiciones son aplicables al proceso de datos que tenga lugar utilizando medios situados en la U.E.

6. El GT29 considera este cambio una oportunidad de innovación para las empresas implicadas.

Lo cierto es que no dice nada que descuadre dentro del sistema europeo de protección de datos. ¿Qué va a cambiar? Nada de nada. El sector ya está rasgándose las vestiduras y haciendo de víctima, porque claro, todo esto implica que tienen menos de 1 año para cambiar radicalmente su modelo de recogida de información, y eso “duele”. Me quedo con las declaración que ha publicado IAB Spain en su página web, en especial con el párrafo siguiente:

…las cookies se limitan al conocimiento de hábitos de navegación de un equipo, no de una persona, sin que en ningún caso identifiquen a un usuario concreto, a no ser que éste haya facilitado de manera voluntaria sus datos.

Va a resultar que es mi equipo el que navega él solito, no soy yo el que lo hace, y que a esta industria no le importan lo más mínimo mis preferencias… ¿así que la publicidad la dirigen a las máquinas, no a las personas? De todas maneras, que estén tranquilos, porque nadie llegará a sancionarles por no cumplir con estas cosas. Estoy convencido. Tiempo van a tener, desde noviembre del 2009, que se aprobó la Directiva, hasta mayo de 2011, que sea aplicable en cada país de la U.E., para ir cambiando su modo de trabajo. Pero eso cuesta mucho dinero, y disminuiría gravemente la cantidad ingente de información de los usuarios que podrían recoger.

A quien le parezca esto una nimiez, y quiera enterarse bien de cómo funcionan, le recomiendo la lectura de esta queja interpuesta en EE.UU. contra las prácticas de varias empresas del ramo.

bookmark_borderA reducir, anonimizar y borrar, que está de moda.

suspiciousMe resulta muy interesante la supuesta lucha que han entablado los diferentes buscadores de Internet en cuanto a ver quién reduce más los períodos de conservación de los datos de navegación de sus usuarios. El sector económico TI que más dinero proporciona, como Google ha demostrado, tiene que cumplir la normativa europea de protección de datos, pero claro, ¿qué consecuencias tiene el no cumplirla?. En caso de no hacerlo, no van a producirse millonarias sanciones como las impuestas a Microsoft por abuso de posición dominante. Qué va. Dependerá de la legislación de cada país. Y a ver quién es el majo que les dice algo a estas empresas.

Ya en 2007 el Grupo de Trabajo del Artículo 29 se molestó en dirigirse a Google para preguntarle qué medidas estaba tomando conforme a la Resolución sobre protección de la privacidad y los motores de búsqueda adptada en Londres en 2006. David contra Goliath. Google respondió con cuestiones a aclarar y buenas palabras, pero ningún hecho concluyente.

El Grupo de Trabajo del Artículo 29 emitió el Dictamen 1/2008 sobre cuestiones de protección de datos relacionadas con los motores de búsqueda, donde entre otras cosas declaraba la aplicabilidad de la Directiva 95/46/CE a éstos, a pesar de que se sus sedes puedan encontrarse fuera del Espacio Económico Europeo, y estableció una serie de obligaciones a cumplir.

En septiembre del año pasado, Google redujo el período de retención de direcciones IP de “entre 18 a 24 meses” a “solo” 9 meses. En diciembre Microsof propuso a la UE reducir el tiempo de conservación a 6 meses si sus competidores también lo hacían, solicitando que se abriera un debate abierto a los ciudadanos sobre el asunto. Acto seguido, se une Yahoo a esta orgía reductora, y afirma que “volverá anónimas todas las búsquedas de sus clientes pasados 3 meses”.

Hay que preguntarse por qué primero hay resistencia, y de repente todos parecen ponerse de acuerdo y comienzan a prometer reducciones. Por temor a sanciones no es. ¿Qué está ocurriendo entonces? Quizá han visto que los usuarios le empiezan a dar importancia al tema, y que haciendo este tipo de anuncios puedan ganarse su simpatía. O se han dado cuenta de que esto de la privacidad puede resultar una ventaja competitiva.

Nadie da duros a peseta, y el cambio de actitud me parece sospechoso. La tecnología avanza muy rápido y posiblemente tengan medios más potentes para analizar la información y sacar conclusiones en menos tiempo.

Navegando me he encontrado con un razonamiento muy lógico de por qué en particular el anuncio de Yahoo no es tan espectacular. Esta empresa dice anonimizar los datos eliminando los últimos dígitos de la IP, pero claro, esto no garantiza el anonimato por completo, tal y como cuenta Julián Sánchez: que eliminen el último dígito sólo les amplía la identificación a 256 máquinas; pero los tres primeros números garantizan la identificación del proveedor de servicios de acceso a Internet y una localización muy aproximada…

Haciendo de abogado del diablo, la movilidad a la hora de realizar búsquedas debiera quitar fiabilidad a ese perfilado: una misma persona puede fácilmente utilizar internet desde su teléfono móvil, desde el PC de casa y el del trabajo… no veo muy claro tampoco cómo pueden integrarse esos diferentes perfiles de una misma persona y detectar que sean la misma. Se admiten aclaraciones y sugerencias, lo mismo es muy, muy facilito, pero yo no lo veo.

El GT29 en su comunicado de prensa de 10 de diciembre anuncia una reunión con Google, Ixquick, Microsoft y Yahoo para el próximo mes de febrero, teniendo como punto de partida el Dictamen… ¿llegarán a alguna conclusión? En mi opinión, seguiremos teniendo casos como el de AOL en 2006, y cada vez más a menudo.