Cookies, publicidad contextual y publicidad basada en el comportamiento

El 24 de febrero de 2010, con motivo de mi participación como ponente en el I Congreso Internacional IAB Spain de regulación publicitaria en medios digitales, pude asistir a la ponencia de IAB UK en la que se presentaba una guía sobre Behavioral Advertising.

El ponente comentó que, en un estudio que habían realizado sobre la disposición de los usuarios a recibir publicidad online personalizada, se había confirmado que, a la hora de consumir contenidos en Internet, los usuarios preferían un modelo basado en la publicidad frente a un modelo basado en el pago por contenidos. Y puestos a aceptar la publicidad como contrapartida a la gratuidad del servicio, los usuarios preferían que esa publicidad se adaptase a sus gustos y preferencias.

Esta posición del consumidor queda patente en las revistas especializadas. Nunca veremos un anuncio de zapatos o de coches en una revista de informática, debido al rechazo que una publicidad descontextualizada tendría entre los lectores.

Esta adaptación de la publicidad a los gustos y preferencias del usuario puede hacerse de forma objetiva o subjetiva:

  • Objetiva: la publicidad se adapta al contexto, es decir, al tema tratado en la página web o a las palabras introducidas en un motor de búsquedas, en un mensaje o en un comentario. La selección del anuncio puede basarse en información facilitada en tiempo real por el usuario, a través de la que expresa un interés inmediato y tal vez efímero.
  • Subjetiva:  la publicidad se adapta a la información generada por el usuario de forma acumulativa, a través del comportamiento demostrado en una secuencia de tiempo que puede ser de horas, días, semanas e incluso meses. La selección de los anuncios se basa en el perfil del usuario, los intereses, gustos y preferencias que ha manifestado al visitar sitios web, realizar búsquedas y expresar opiniones. Ya no hablamos de intereses efímeros, sino de rasgos de personalidad.

Mientras la publicidad basada en el contexto puede prescindir de datos acumulativos, la publicidad basada en el comportamiento del usuario convierte la ruta seguida por el usuario en la clave de su efectividad. (NOTA: En este post utilizo el término “contextual” porque me gusta y no utilizo el término “comportamental” porque no me gusta, independientemente de que el primero esté en el diccionario de la RAE y el segundo no.)

El problema aparece cuando, aceptada la adecuación de la publicidad a mis gustos y preferencias, los anunciantes (o sus agentes o encargados del tratamiento) tienen que recogerlos y tratar estos datos para poder ofrecerme los anuncios más adecuados a ellos. No estamos hablando ya de segmentación o inclusión de mi perfil en una categoría donde puedo convivir con otros usuarios parecidos a mi. Estamos hablando de un segmento en el que sólo voy a estar yo y por lo tanto, de una publicidad basada en lo que he hecho en Internet durante los últimos meses.

Es en ese momento cuando, salvo que sea un nativo digital que publica en las redes sociales hasta la última radiografía de sus cervicales, me debería empezar a preocupar quién recaba esos datos, con qué finalidad y para quién.

Dado que estos datos se recogen a través de las cookies y de otros mecanismos análogos, es lógica la preocupación del legislador para regular su uso, y prueba de ello es la reciente modificación de la LSSI en este sentido.

Pero lo que no podemos hacer es tratar todos los tipos de cookies por igual. Analizando la normativa y las finalidades posibles, se me ocurren varias categorías:

1. Cookies orientadas a cuestiones técnicas de las comunicaciones: no necesitan consentimiento.

2. Cookies necesarias para la prestación de un servicio online: aceptación a través de las CGC que regulan el servicio.

3. Cookies orientadas a personalizar el diseño gráfico, mejorar la experiencia de usuario, realizar estadísticas y perfiles disociados de la actividad de los usuarios en ese sitio web únicamente y cualquier otra finalidad que pueda ser considerada no intrusiva: aceptación a través del aviso legal (consentimiento tácito)

4. Cookies obtenidas en las páginas web visitadas y orientadas a almacenar datos de navegación y datos del comportamiento del usuario a lo largo de las páginas que visita con fines de publicidad: necesitan consentimiento previo e informado. La cuestión es cómo se materializan tanto la información como el consentimiento, y cómo se obtienen y conservan las evidencias electrónicas de ambos actos. Si el navegador bloquea este tipo de cookies por defecto, la acción expresa de modificar esta configuración equivaldría a consentimiento, pero entonces el log del servidor debería conservar el tipo y versión del navegador como evidencia. Una combinación de aviso legal, configuración del navegador y log podría ser suficiente, pero las empresas más prudentes podrían recabar el consentimiento a través de un popup, un interstitial o un banner en la página web visitada.

5. Cookies de terceros, es decir, de páginas web no visitadas: implican un acuerdo de cesión de datos o de encargado del tratamiento entre los responsables de las páginas web visitadas y las no visitadas, y exigen un consentimiento previo e informado. Al no existir relación con el tercero, debería analizarse en profundidad el protocolo de aceptación de este tipo de cookies. Lo ideal sería que la configuración del navegador diferenciase entre cookies de páginas web visitadas y cookies de terceros para poder discriminar estas últimas. El navegador debería bloquear este tipo de cookies por defecto, requiriéndose una acción expresa del usuario para aceptarlas.

6. Cookies del proveedor de hosting: analizando el almacén de cookies de mi navegador he comprobado que todos los blogs que he visitado, incluido el mío propio, han instalado cookies en mi ordenador. En realidad no han sido los blogs, sino los proveedores del servicio de albergue del blog. Dado que las cookies de publicidad y de terceros están bloqueadas por defecto, entiendo que las cookies instaladas son meramente técnicas. En cualquier caso, sería recomendable confirmar este extremo con el proveedor, y modificar el aviso legal advirtiendo sobre sobre el origen y la finalidad de las cookies instaladas por el proveedor. En mi blog en WordPress y en Typepad no inserto publicidad, pero en el de Expansión, sí hay un banner que no gestiono ni exploto. Si los responsables del servicio instalan cookies y obtienen datos que van más allá de los meramente técnicos, entiendo que deben advertirlo a los usuarios en su aviso legal y comunicarlo a los bloggers que utilizan el servicio. Aunque estos proveedores pudiesen llegar a ser considerados encargados de tratamiento, es evidente que generan un nuevo vínculo con los usuarios y son responsables de los datos que recaben de ellos. Lo mismo sucede con los datos suministrados por los lectores del blog al publicar un comentario.

Las opciones de configuración de los navegadores en materia de cookies han tenido una gran evolución en los últimos años. De una lista original de dos opciones: bloquear o no bloquear, se ha pasado a la posibilidad de discriminar distintos tipos de cookies.

Mi navegador, por ejemplo, conserva la configuración de origen, de manera que por defecto bloquea las cookies de publicidad y de terceros. Prueba de ello es que, al visitar la sección de preferencias de la guía antes comentada, un popup me confirma que la configuración del navegador bloquea la instalación de cookies destinadas a realizar publicidad basada en el comportamiento. Esta página actúa como una especie de lista Robinson, en la que el usuario puede seleccionar los proveedores (encargados del tratamiento en su mayor parte) que pueden instalar cookies en su equipo por cuenta de sus cliente, y los que no.

Finalmente, cabe añadir que el GT29 se ha pronunciado recientemente en relación al protocolo DO NOT TRACK (DNT), recomendando un consentimiento basado en una opción informada y activa en el momento de configurar la función DNT en el navegador y estableciendo un sistema OPT-OUT que permita el borrado de toda la información almacenada en el caso de que el usuario decida aplicar la opción DNT para evitar el seguimiento o rastreo de su actividad en Internet.

Como todo lo relacionado con la red, la evolución es imparable y vamos a asistir a cambios ante los que, como usuarios, anunciantes, encargados del tratamiento y profesionales tendremos que tomar decisiones, aprendiendo a convivir con las nuevas formas de personalización de la publicidad. Y el legislador tendrá que hacer un esfuerzo para no convertirse en el amigo gordete y entrañable que nos acompañaba a todas partes cuando éramos niños y nos pedía que lo esperásemos cuando nos poníamos a correr.

Nuevas obligaciones en relación a las cookies

1. CAMBIO LEGISLATIVO

Tal como avanzamos en el post de 18 de noviembre de 2009, mañana entrará en vigor una modificación del artículo 22.2 de la Ley de servicios de la sociedad de la información y del comercio electrónico (LSSI) con el fin de adecuarlo a la nueva redacción dada por la Directiva 2009/136/CE a la Directiva 2002/58/CE.

La nueva redacción del artículo 22.2 exige el consentimiento del usuario sobre los archivos o programas informáticos que, como en el caso de las cookies, almacenan información en el equipo del usuario y permiten posteriormente acceder a ellas con distintas finalidades.

Como decíamos en el post de 12 de noviembre de 1997, estos dispositivos pueden facilitar la navegación por la red, pero también pueden desvelar aspectos de la esfera privada del usuario. Esta visión de las cookies, que entonces considerábamos exagerada, ha adquirido una nueva dimensión con el llamado behavioral marketing, o marketing del comportamiento y de las cookies flash o LSO.

2. NUEVO RÉGIMEN DE LAS COOKIES

1. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos (entre ellos las cookies) en los equipos de los destinatarios del servicio.

2. Previamente, los prestadores de servicios tendrán que haber facilitado información clara y completa sobre el uso de estos dispositivos.

3. Dicha información deberá incluir las finalidades del tratamiento de los datos obtenidos.

4. Una vez facilitada esta información, el usuario deberá dar su consentimiento.

5. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

6. Para que este procedimiento sea válido, el usuario deberá proceder a la configuración de estos parámetros, permitiendo la entrada de cookies, en el momento de la instalación o actualización del navegador mediante una acción expresa a tal efecto.

7. Este nuevo régimen no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas.

8. Tampoco impedirá, en la medida que resulte estrictamente necesario, el posible almacenamiento o acceso para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

3. VÍAS PARA INFORMAR Y OBTENER EL CONSENTIMIENTO

1. Aviso legal

En mi opinión, sería desproporcionado exigir a los prestadores de servicios el cumplimiento de la obligación de información y la recogida del consentimiento mediante una ventana emergente o pop-up que con un texto informativo y un botón que el usuario debería aceptar. Ello sería alertar excesivamente al usuario, y podría tener un efecto disuasorio injustificado. Entiendo que resultará suficiente con incluir de forma destacada en el aviso legal del sitio web o en una sección específica para ello, la advertencia del uso de cookies, informando sobre las finalidades del tratamiento de los datos obtenidos.

El uso de un sitio web debe ser interpretado como un consentimiento para el tratamiento de los datos de los visitantes, dada la imposibilidad de obtener de forma individualmente el consentimiento de cada uno de ellos. Hasta ahora se ha considerado suficiente para el tratamiento de direcciones IP la información suministrada en el aviso legal o en la política de privacidad. Lo mismo debería suceder en el caso de las cookies, dado que el legislador habla de “facilitar” la información y no de entregarla con acuse de recibo, y no exige que el consentimiento sea expreso.

2. Configuración del navegador

En este caso el legislador sí exige una acción expresa, permitiendo la entrada de cookies en el equipo en el momento de la instalación o actualización del navegador. Ello significa que la configuración por defecto del navegador a partir de ahora debería impedir la entrada de cookies, y el usuario debería modificar dicha configuración de manera expresa para admitir cookies en el equipo.

3. Aceptación de CGC

El usuario también puede ser informado de las finalidades del uso de las cookies en las Condiciones Generales de Contratación del servicio solicitado, dando su consentimiento para su uso al hacer clic en el botón de aceptación.

En cualquier caso, recomendamos una revisión, caso por caso, del alcance y las finalidades en el uso de cookies y del protocolo de información y aceptación de las mismas, por parte de un experto en la materia.

Descifrando el interés legítimo

Presentación divulgativa para no expertos en la que se analizan los efectos de la sentencia del Tribunal Supremo que anula el artículo 10.2.b del Reglamento de la LOPD y se dan algunas pistas para descifrar el concepto de interés legítimo exigido en la LOPD y en la Directiva.

El análisis se refiere a una fase anterior al tratamiento, por lo que no se hace referencia a la obligación de informar al interesado, entre otros extremos, sobre la incorporación de sus datos a un fichero con el fin de que pueda ejercitar los derecho de acceso, rectificación, cancelación y oposición.

Para mejorar la visualización se puede seleccionar la resolución 720 (HD) haciendo clic en el engranaje del vídeo.

El Tribunal Supremo anula el artículo 10.2.b del Reglamento de la LOPD

El Tribunal Supremo ha dictado sentencia anulando el artículo 10.2.b del Real Decreto 1720/2007 de desarrollo de la LOPD, por ser contrario al derecho comunitario.

Dicho artículo exigía que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpliese el requisito adicional de que dichos datos figurasen en fuentes accesibles al público.

Entrada anterior en la que explicaba la trascendencia de la anulación de este artículo.

Sentencia del Tribunal Supremo

Más opciones para el tratamiento de datos sin consentimiento

La sentencia dictada el jueves pasado por el Tribunal de Justicia de la UE declara inaplicables el artículo 6.2 de la LOPD y el artículo 10.2.b del Reglamento de la LOPD, en relación a la exigencia de que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpla el requisito adicional de que dichos datos figuren en fuentes accesibles al público.

Consecuencias inmediatas

Los efectos de esta sentencia en los tratamientos de datos personales que se realicen a partir de ahora son, a mi modo de ver, los siguientes:

– La relación restrictiva de fuentes accesibles al público pierde relevancia.

– Los datos personales podrán ser tratados sin consentimiento del interesado aunque no provengan de fuentes accesibles al público.

– Los únicos requisitos que deberán cumplirse serán: 1) el interés legítimo del responsable del fichero y 2) que no se vulneren los derechos y libertades fundamentales del interesado.

– Ello significa que cualquiera que sea el origen de los datos, incluido Internet, éstos podrán ser objeto de tratamiento y cesión, siempre que se cumplan los dos requisitos comentados y exista un equilibrio entre el interés legítimo y los derechos fundamentales del interesado. Las comunicaciones electrónicas comerciales seguirán precisando el consentimiento expreso del destinatario de las mismas, salvo en el caso de clientes.

– Vuelven a estar dentro de la ley muchos tratamientos que resultan inocuos para la intimidad del interesado y que hasta ahora estaban vedados a las empresas.

– Es recomendable seguir el protocolo que hasta ahora venía aplicándose para asegurar el cumplimiento del deber de información y la no vulneración del derecho a la intimidad, de manera que se pondere el equilibrio entre interés legítimo y derechos fundamentales.

– Se incluirá en este protocolo, entre otras medidas, el filtro de las listas Robinson, el filtro de las cancelaciones recibidas, la ponderación del justo equilibrio de intereses y la información sobre los derechos ARCO en las comunicaciones y en los plazos establecidos para ello.

El Tribunal declara el efecto directo del artículo 7.f en España, debido a una incorrecta trasposición de la misma, por lo que, en mi opinión, no es necesario esperar al pronunciamiento del Tribunal Supremo, que fue el que planteó las dos cuestiones prejudiciales. Por ello, no estoy de acuerdo con el contenido de la nota informativa de la AEPD y pienso que la sentencia puede abrir la posibilidad de que las empresas soliciten la devolución de las sanciones pagadas por determinadas infracciones relacionadas con la falta de consentimiento en las que había equilibrio entre interés legítimo y derechos fundamentales.

Sentencia del Tribunal de Justicia de la UE

Nota informativa de la AEPD

Medidas y contramedidas en la investigación de candidatos en Facebook

 Versión completa del artículo publicado en Expansión el 11/10/11 (página 36) bajo el título: “Cómo se protegen los candidatos en Facebook”

¿Existe un juego de búsqueda y ocultación entre investigadores e investigados en los procesos de selección de personal que utilizan las redes sociales para obtener información adicional de los candidatos?

Sí, pero dada la escasa trayectoria de las redes sociales, es difícil saber quién está ganando la carrera, aunque sí pueden apreciarse los intereses en juego. Mientras la empresa que realiza la selección de personal desea tener la máxima información sobre sus candidatos, éstos quieren establecer una clara separación entre lo laboral y lo privado.

A pesar de que entre los usuarios de Facebook o Tuenti predomina el afán por contar aspectos de su vida privada, especialmente en el caso de los nativos digitales, persiste una percepción selectiva de la privacidad que excluye naturalmente a la empresa en la que trabajan o en la que quieren trabajar.

Facebook varía la configuración por defecto de la privacidad, y ello puede desorientar a los usuarios poco avezados en separar su vida laboral de su vida privada. Algunos usuarios incluso hablan de su empresa en su muro, y ello ha obligado a crear manuales corporativos orientados a encauzar la actividad de los trabajadores en las redes sociales.

Pero si hablamos de manuales, desde la realidad cotidiana hasta la leyenda urbana, podemos encontrar compendios de instrucciones para las dos partes implicadas en un proceso de selección.

Primero encontraremos las recomendaciones esenciales para que un departamento de RRHH pueda complementar los datos obtenidos con los currículums, las pruebas psicotécnicas, las entrevistas con los candidatos y las referencias, con información extraída de la red. En algunos sectores, un aspecto clave de la personalidad o la actividad de un usuario en Facebook puede ser útil para recomendar o no su contratación.

Para determinar si la captura de estos datos y su posterior tratamiento exige el consentimiento del candidato deberían analizarse las condiciones generales aceptadas por el usuario en el momento de abrir una cuenta en Facebook, el alcance del acto de publicar voluntariamente la información como prueba del consentimiento, la finalidad y los destinatarios de esa información, la configuración dada por el usuario a su cuenta en materia de privacidad y la consideración o no de Facebook como un  medio de comunicación social, entre otros factores.

Como mecanismo de defensa basado en la voluntad del candidato de dejar que lo investiguen, ya que quiere el puesto de trabajo, pero también en el deseo de limitar el alcance de dicha investigación, podemos encontrar recomendaciones para hacer que la parte visible de la cuenta del candidato en Facebook represente un perfil altamente confiable.

El juego de búsqueda y ocultación podría finalizar aquí, pero los investigadores expertos tal vez no se conformen con un muro impecable y consigan, con cualquier estrategia de ingeniería social, que el candidato los agregue a su círculo de amigos.

La contramedida del candidato a este acceso a la zona privada de su cuenta sería, si no desea enemistarse con el investigador expulsándolo de ella, haber aplicado desde el inicio una política de limpieza similar a la aplicada a la zona pública.

En caso de no conseguir que el candidato lo agregue, un investigador persistente podría lograr que lo hiciesen uno o varios amigos del candidato. Ello permitiría al investigador acceder a información compartida y explotar la utilidad del “dime con quién andas y te diré quién eres”.

Como en un fractal de Mandelbrot, este juego de búsqueda y ocultación podría seguir hasta el infinito, y llegar hasta las máximas cotas de la paranoia: “Por favor, no publiques esta foto en Facebook”, “Por favor, no cuentes esto en Facebook”, “Estoy buscando trabajo, cuidad lo que contáis de mi en Facebook, por favor.”

Herramientas de monitorización, prueba del debido control e intimidad

La reforma del Código Penal y las obligaciones de control previo al delito que se establecen en el artículo 31 bis para evitar la responsabilidad penal de la empresa están obligando a replantear el alcance de la monitorización de los recursos TIC corporativos. 

A ello hay que añadir el modelo de seguridad Zero Trust propuesto por Forrester que consiste en tratar a los usuarios internos con confianza cero, es decir, como si fuesen usuarios externos. Este modelo se centra en la necesidad de monitorizar y analizar todo el tráfico de la red corporativa y la actividad de los usuarios mediante herramientas específicas para ello.

Además, la actual crisis económica ha enrarecido el clima laboral en las empresas, incrementando el riesgo de ataques desde el interior y de fuga de datos. Además de los casos de entrega de información confidencial a competidores, la alta valoración de la cartera de un comercial o un directivo fichado por otra empresa del sector puede provocar una explotación ilícita de datos de CRM de la empresa anterior.

El problema es que una medida preventiva, como la simple publicación de las normas de uso de los recursos TIC de la empresa, puede resultar insuficiente para acreditar el debido control. Hasta ahora se ha buscado un equilibrio entre disuasión, prevención, detección y prueba. Pero el nuevo escenario exige un mayor compromiso, ya que en muchos casos se llega tarde y es imposible obtener pruebas del delito. Por ejemplo, las empresas aplican un protocolo de seguridad informática en el momento del despido que no puede prevenir las fugas de información previas a una baja voluntaria.

Ello nos lleva a la aplicación de esquemas de forensic readiness que permitan capturar y almacenar de forma segura las pruebas electrónicas que puedan ser necesarias en el futuro para acreditar la comisión de un delito, así como la existencia de controles para evitarlo o, al menos, detectarlo.

Para cumplir esa función surgen herramientas de monitorización capaces de cumplir a la vez una función disuasoria, preventiva, detectiva y probatoria. Tras aplicar el protocolo exigido legalmente para su instalación, este software realiza varios controles de forma rutinaria. Uno de ellos consiste en capturar las pantallas de cada ordenador con la frecuencia que cada empresa estime necesaria. En frecuencias inferiores al minuto la información capturada ocupa 4GB al año por cada ordenador. Es decir, 4T al año para una empresa con 1.000 ordenadores.

Este sistema actúa como una auténtica caja negra, que va registrando toda la actividad de los usuarios sin necesidad de intervención humana. Aunque pueden configurarse diversos tipos de alertas, lo normal es que sólo se acuda a la información almacenada en el caso de que exista una sospecha razonable de la existencia de un delito. Se trataría de un acceso similar al que se produce con las cajas negras de los aviones en el caso de un accidente aéreo, aunque, en el caso de las pruebas informáticas, se aplicará un protocolo que garantice la proporcionalidad, idoneidad y necesidad del acceso a la información. También puede contratarse un servidor de almacenamiento controlado por un tercero para dotar al sistema de mayores garantías.

En este sentido, cabe recordar la sentencia del Tribunal Supremo de 27/09/07 a la que dediqué un slidecast. En ella se establece que la empresa, de acuerdo con las exigencias de buena fe, debe establecer previamente las reglas de uso de los recursos TIC corporativos (con aplicación de prohibiciones absolutas o parciales) e informar a los trabajadores de que va existir control y de los medios que se aplicarán papa comprobar la corrección del uso de dichos recursos por los trabajadores.

De esta manera, si los recursos TIC se utilizan para usos privados, en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado una expectativa razonable de intimidad. Lo mismo cabe decir respecto al secreto de las comunicaciones.

De acuerdo con estos antecedentes, mi opinión se resume en las siguientes conclusiones:

  1. Existen fundamentos legales para establecer controles destinados a disuadir, prevenir, detectar y crear pruebas en relación a los delitos que puedan cometerse utilizando los recursos TIC corporativos.
  2. En la actualidad concurren diversos factores que aconsejan incrementar el nivel de control sobre los recursos TIC de las empresas.
  3. Existen herramientas de monitorización que permiten capturar y almacenar la actividad de los usuarios, a modo de caja negra del sistema.
  4. La aplicación de protocolos de investigación adecuados a la doctrina del Tribunal Supremo permiten aplicar los controles y obtener pruebas de eventuales delitos sin violar el derecho a la intimidad y el secreto de las comunicaciones.

Zynga, Facebook y los nuevos modelos de negocio y marketing

La próxima salida a bolsa de Zynga, la empresa que desarrolla la mayoría de los juegos más populares de Facebook, parece consolidar una plataforma de negocio que también es apta para los nuevos formatos de publicidad, marketing y merchandising.

Aunque el nivel de popularidad de estos juegos es notorio, no fue hasta hace unos meses, en una sesión de trabajo con clientes en la que estábamos analizando el tipo de datos del perfil de Facebook a los que este tipo de aplicaciones pedían acceso, cuando vi que mis hijos ya eran usuarios avanzados de Farmville, una aplicación que te permite administrar un granja virtual.

El modelo de negocio de Zynga, que puede ser una pesadilla para los padres pero una gran oportunidad para el sector, consiste en que el usuario necesita comprar artículos virtuales (semillas, herramientas, vehículos, terreno) para progresar en el juego. A partir de aquí, no es necesaria demasiada imaginación para ver hasta dónde puede llegar en el futuro la explotación de estos recursos:

  1. Contrato de merchandising en relación a las marcas, productos y personajes que pueden adquirirse en el juego.
  2. Contrato de licencia en materia de propiedad intelectual e industrial para el uso de imágenes, diseños, marcas, etc.
  3. Contrato de publicidad contextual para que aparezcan anuncios relacionados con cada escenario en los espacios publicitarios del juego: vallas, autobuses, vídeos, diálogos…
  4. Contrato de behavioral targeting en relación al comportamiento y al perfil de los usuarios.
  5. Contrato de cesión de datos segmentados en función del perfil del usuario y de las preferencias demostradas a través de su comportamiento y los productos adquiridos en el juego. Como es natural, el usuario dede dar su consentimiento previo para que dicha cesión pueda realizarse.

También se plantean retos como la correcta información que debe suministrarse al usuario sobre el tratamiento de sus datos, el alcance y proporcionalidad de la recogida de datos, la prueba del contenido y de la aceptación de las condiciones generales de contratación, entre otros.

Con este modelo de negocio, Zynga facturó en 2010 cerca de 850 millones de dólares y obtuvo un beneficio neto de 400 millones de dólares. 

El mercado de los bienes virtuales, como los que pueden adquirirse en los juegos de Zynga, registró el año pasado un volumen de negocio de 9.280 millones de dólares. ThinkEquity prevé que lleguen hasta los 20.300 millones en 2014. 

Fundada hace tan sólo cuatro años por el emprendedor Mark Pincus, 247 millones de personas entran en Facebook cada mes para jugar a títulos creados por Zynga, según Expansión. Entre estos juegos figuran el ya mencionado Farmville, Cityville, Mafia Wars y Texas Holdem Poker.

Venta de productos con datos personales en grandes superficies

Es la tercera vez que me ocurre y evidencia una mala gestión de las devoluciones por parte de las grandes superficies.

La primera vez fue un smartphone. Un cliente lo había comprado antes que yo y lo había devuelto sin borrar sus datos. La gran superficie se había limitado a ponerlo de nuevo en la vitrina, y ahí se quedó hasta que lo compré. Era el último que quedaba. En su interior había datos suficientes para saber lo que el anterior usuario había hecho durante los cinco días que lo tuvo en su poder. Las fotos y vídeos de su viaje a Palma de Mallorca, la agenda, los contactos, las llamadas realizadas y recibidas. Todavía ahora estaría avisándome del cumpleaños de una tal Marta si no fuese porque borré todos los contenidos. Al no devolverlo ni protestar por el incidente me sumé a la lista de clientes conformistas que hacen que tengamos los proveedores que nos merecemos.

La segunda vez fue un disco duro multimedia. Estaba lleno de películas familiares y fotos de un matrimonio con tres hijos.

La tercera vez (ayer) fue un disco duro de red. Había pertenecido a una empresa de electrodomésticos muy conocida. En la configuración de la red había los siguientes datos:

  • Dominio y contraseña de acceso del servidor corporativo.
  • Direcciones MAC de los ordenadores autorizados a acceder.
  • Nombres de los usuarios y derechos de acceso a las carpetas.
  • Cuota de disco de cada usuario.
  • Registro de la actividad del servidor.
  • Casi 1 TB de documentos borrados perfectamente recuperables.

No hace falta ser un experto para sacar algunas conclusiones de estas tres experiencias:

  1. Absoluta despreocupación de los dos usuarios domésticos por los datos incluidos en el producto que devolvieron.
  2. Conducta negligente de la empresa que devolvió el disco duro de red sin borrar adecuadamente los datos. Si hacen lo mismo cada vez que cambian los sistemas informáticos al acabar el renting, no podrán quejarse si alguien recupera esos datos y busca la forma de conseguir algún rendimiento económico con ellos.
  3. Gestión nefasta, por parte de las grandes superficies implicadas, de los productos devueltos, cuando éstos tienen capacidad para almacenar información.
  4. Escasa precaución del comprador al no comprobar si la caja ha sido abierta previamente. En mi caso, las tres cajas estaban precintadas pero se notaba que habían sido abiertas previamente. El problema es que, a veces, todas las cajas disponibles están igual, o bien es la última que queda y no puedes esperar. En una ocasión, la persona que me atendió se justificó diciendo que el fabricante les había pedido que actualizaran el firmware!! (sic). Si aún así acabas quedándote el producto, no es que no sepas comprar, es que no puedes reprimir la impaciencia y confías en que la tienda no te va a suministrar un producto en mal estado.

La política de aceptar devoluciones es buena porque garantiza la satisfacción del cliente que realiza la primera compra, pero, mal gestionada, genera un gran rechazo en el cliente que realiza la segunda compra, porque piensa que se trata de un producto de segunda mano que le han vendido como nuevo.

Me ahorro los comentarios relativos a la LOPD por ser más que evidentes.

 

Cancelación de datos en buscadores (I)

"Si un condenado por robo puede cancelar sus antecedentes penales al cabo de los años, ¿por qué no puedo eliminar la referencia a una multa de tráfico en Google?".

Probablemente esta pregunta ha asaltado a todo usuario que ha introducido su nombre en un buscador y ha tenido la amarga sorpresa de ver que algunos actos del pasado que le perjudicaban ocupaban posiciones privilegiadas en los resultados de la búsqueda y que no había ninguna referencia a su brillante expediente académico, a su trabajo o a cualquier otro aspecto de su vida del que podía sentirse más orgulloso.

En ciertas condiciones los buscadores de Internet pueden tener efectos desfavorables para la reputación de una persona. Ello es debido a las características de los buscadores que más definen su utilidad para los usuarios y su capacidad para diferenciarse de los competidores. Entre ellas cabe destacar las siguientes:


1. Indexación de gran alcance

El rastreo de los robots de los buscadores llega hasta el último rincón de la red, incluyendo sitios a los que nadie accede por desconocer que existen o por que carecen de interés. Sólo se excluyen de este proceso las páginas web que dan instrucciones a los robots para que no indexen su contenido.


2. Neutralidad

El buscador indexa tanto lo bueno como lo malo del pasado de una persona. La credibilidad de un buscador reside justamente en tratar por igual la información positiva y la información negativa. El buscador defiende al máximo este principio de neutralidad por muchas razones: credibilidad, garantía de no manipulación del algoritmo, imposibilidad de control, alto coste de gestión de las cancelaciones y oposiciones, posible responsabilidad como proveedor de servicios de información si introduce controles en la indexación, en el suministro de los enlaces y en los resultados de las búsquedas, etc. Por ello, los buscadores recurren todas las resoluciones de la Agencia Española de Protección de Datos en las que se les obliga a no indexar los contenidos negativos de una determinada persona.


3. Prioridad basada en la popularidad

Los contenidos negativos acostumbran a estar en boletines oficiales, periódicos, revistas…, es decir, en medios de comunicación que pueden llegar a ser más populares que los sitios que albergan los contenidos positivos: blogs, páginas personales, etc. También puede ocurrir que los propios usuarios seleccionen, por curiosidad o por morbo, los resultados más negativos, contribuyendo así a incrementar su nivel de popularidad en el buscador. Por ejemplo, la detención de un famoso por conducir bajo los efectos del alcohol genera más interés en los usuarios que su candidatura a un premio.


4. Localización instantánea o "efecto chivato"

Difícilmente una persona dedica su tiempo libre a leer el Boletín Oficial de la Provincia ni a buscar lo que se dice en él de sus amigos o conocidos. Sin embargo, si alguien introduce el nombre de una persona con poca actividad en la red en un buscador, es probable que los anuncios de embargos, multas o edictos judiciales publicados en los boletines oficiales aparezcan instantáneamente entre los primeros resultados. Existe una especie de ley de Murphy en los buscadores que hace que el contenido venga a ti aunque no lo estés buscando. Aunque sea una impresión subjetiva del afectado, parece que la ley de la fatalidad convierte la información negativa en un contenido "push" y a la información positiva en un contenido "pull".


5. Efecto amplificador

En algunos casos, el buscador amplía el alcance de difusión de un contenido, ya que permite que muchas personas que ni siquiera lo buscaban, ni conocían su existencia o localización, puedan acceder a él. Es posible que alguien se haya mantenido al margen de la red y los únicos contenidos relacionados con él en Internet sean los que aparecen en boletines oficiales, registros públicos y otras fuentes ajenas a su control.

En esos casos es posible que se convierta en relevante, por único o escaso, un dato negativo que se diluiría en el conjunto de la información relativa a una persona si esos datos positivos estuviesen también en la red. Por eso la primera estrategia de una persona que desea mejorar su reputación en la red consiste en publicar contenidos positivos sobre su persona en la red, que desplacen a los contenidos negativos a posiciones menos privilegiadas en los resultados de las búsquedas.

También se amplifican notablemente los contenidos por aparecer en las primeras posiciones de los resultados, debido a la popularidad de la fuente, a los clics de los usuarios de los buscadores o, como he dicho, a la ausencia de otros contenidos sobre esa persona. En estos casos se genera un círculo vicioso, ya que los primeros resultados son los más seleccionados por los usuarios y ello hace que se perpetúen en las primeras posiciones.

El efecto más dramático se produce cuando el nombre de una persona es indexado de forma asociada a una patología, defecto, adicción o afición. El efecto amplificador puede llegar al extremo de mostrar dicha asociación al facilitar el autocompletado de la búsqueda de los usuarios. Por ejemplo, completando de forma automática el nombre de una persona con palabras como alcohol, drogas, suicidio, etc.


6. Persistencia en el tiempo

La red no olvida. Hace unos años, visitar la hemeroteca de un periódico era como hacer arqueología entre montañas de papel llenas de polvo o pilas de rollos de celuloide rancio. Ahora Internet alberga todas las hemerotecas de los periódicos y constituye en sí mismo el mayor archivo de información creado por el hombre. Pero mientras unos se afanan en conseguir la máxima popularidad y las primeras posiciones en los buscadores, otros harían lo que fuese por desaparecer. Se trata de un colectivo que reclama el derecho al olvido, como acaba de reseñar la AEPD en su Memoria de 2009.

La persistencia en el tiempo de los contenidos alcanza su máximo exponente en la caché de los buscadores y en los grandes repositorios históricos, como Archive.org, que con su WayBack Machine permite visitar todas las versiones de una página web desde 1996.

Evitar la persistencia en el tiempo de un dato personal negativo exige por lo tanto la cancelación del mismo en la caché del buscador y en los repositorios históricos, así como la oposición a futuros tratamientos de indexación por parte del buscador.


Confluencia de varios intereses

El tratamiento de los datos personales con impacto reputacional negativo en los buscadores puede ser visto desde diferentes ópticas y provoca la confluencia de intereses tan legítimos como contrapuestos:

  1. El interés del usuario del buscador en encontrar tanto la información positiva como negativa de una persona.
  2. El interés de la fuente de la información en que sus contenidos sean indexados por los buscadores y aparezcan en las primeras posiciones de los resultados de la búsqueda.
  3. El interés del afectado en poder cancelar las referencias a datos que le perjudican y a que la red se olvide de él o de ciertos aspectos de su pasado.
  4. El interés del buscador en ofrecer un servicio que garantice la neutralidad de las búsquedas, indexando y haciendo accesibles los contenidos que existen en la red, sin manipulaciones ni privilegios.

En las siguientes entregas de este artículo, analizaré:

  1. Los casos en los una persona puede tener interés en que sus datos dejen de ser indexados por los buscadores.
  2. Las resoluciones de la AEPD en las que se ha exigido a un buscador que dejase de indexar datos de una persona.
  3. Los requisitos necesarios para que una persona pueda gestionar su reputación online oponiéndose a la indexación de sus datos.