Segmentación de “públicos personalizados” en Facebook y LOPD

Facebook ha lanzado “públicos personalizados“, una nueva herramienta de segmentación que permite a los anunciantes dirigir su publicidad a los usuarios de Facebook que tienen un perfil parecido al de los consumidores habituales de sus productos.

Hasta ahora, los anunciantes podían facilitar a Facebook datos identificativos de sus clientes, por ejemplo la dirección de correo electrónico, el teléfono o el identificador de usuario (UID), y Facebook mostraba los anuncios a los usuarios de Facebook que eran clientes del anunciante.

Esta función se extiende ahora a atributos demográficos y a intereses manifestados a través del botón “me gusta”, por ejemplo, de manera que los destinatarios de la publicidad serán también los usuarios de Facebook que tengan atributos iguales o similares a las personas que actualmente están comprando los productos del anunciante o que han manifestado su interés en hacerlo.

El funcionamiento de este sistema es el siguiente:

  1. Cuando un usuario se da de alta, Facebook cifra su dirección de correo electrónico y su teléfono y genera el hash de estos datos.
  2. Cuando el anunciante inicia el uso de la herramienta “públicos personalizados”, debe introducir la lista de direcciones de correo electrónico o de teléfonos de sus clientes en el editor múltiple de Facebook.
  3. Según el manual, la lista se cifra antes de enviarla a Facebook.
  4. Facebook compara el hash del correo electrónico de cada cliente del anunciante con el de los usuarios activos de Facebook y crea un público personalizado en la cuenta del anunciante con todos aquellos usuarios cuyo hash coincide con el de la lista del anunciante.
  5. Al crear una campaña, el anunciante puede decidir si dirige sus anuncios solamente a los usuarios activos de Facebook que son sus clientes o también a los usuarios que tienen un perfil de intereses similar.

Riesgos jurídicos de este sistema

El potencial de esta herramienta es innegable y por ello, el análisis jurídico de su funcionamiento se ha hecho desde una óptica posibilista. Nos obstante, se han detectado una serie de riesgos que merecen una especial atención.

  1. Facebook explica que los “publicos personalizados” pueden ser creados utilizando datos de clientes actuales, clientes potenciales, miembros del club de fidelización, usuarios actuales o antiguos y de cualquier persona a la que el anunciante desee hacer llegar mensajes de segmentación precisa. Es posible, por lo tanto, que las direcciones de correo electrónico introducidas en el editor múltiple de Facebook no correspondan a clientes del anunciante ni a personas que hayan dado su consentimiento para recibir publicidad del anunciante.
  2. Facebook asegura que cifra los datos personales facilitados por el anunciante y que la comparación con los datos de los usuarios activos sólo se realiza a nivel de hash. Dado que la introducción de datos en el editor múltiple se realiza en el servidor de Facebook, la Agencia Española de Protección de Datos (AEPD) podría considerar que se ha producido una cesión de los datos y una posterior disociación. El acceso previo, y el control del proceso de disociación por parte de Facebook podría hacer pensar a la AEPD que esta disociación no es irreversible, a pesar de que Facebook declare que lo es.
  3. También podría entenderse aplicable a este proceso el artículo 47 del Reglamento de la LOPD, que establece que cuando dos o más responsables por sí mismos o mediante encargo a terceros pretendieran constatar sin consentimiento de los afectados, con fines de promoción o comercialización de sus productos o servicios y mediante un tratamiento cruzado de sus ficheros quiénes ostentan la condición de clientes de una u otra o de varios de ellos, el tratamiento así realizado constituirá una cesión o comunicación de datos.

Con el fin de evitar estos riesgos, Facebook exige al anunciante que, al realizar la introducción de los datos, acepte unas condiciones especiales para la creación y administración de “públicos personalizados”, entre las que destacan las siguientes:

  1. El anunciante ha informado y ha obtenido el consentimiento necesario de las personas a las que los datos corresponden.
  2. En el caso de que los datos no provengan directamente de ellos, el anunciante debe declarar que tiene los derechos y autorizaciones necesarias para utilizar los datos.
  3. Los datos no pertenecen a personas que han manifestado el deseo de no recibir publicidad.
  4. La información generada para identificar correspondencias con usuarios activos de Facebook no será compartida por ésta con otros anunciantes y será destruida inmediatamente después de realizar el análisis comparativo.
  5. Facebook aplicará medidas de seguridad y confiencialidad sobre los “públicos personalizados” creados por el anunciante.
  6. Si una agencia crea y administra “públicos personalizados” por cuenta de un anunciante, la agencia deberá estar habilitada para utilizar los datos (contrato de encargado del tratamiento) y para vincular al anunciante en la aceptación de las condiciones aceptadas en su nombre.

Más allá de la interpretación estricta de la figura de la depuración de datos contenida en el artículo 47 del Reglamento de la LOPD, pueden identificarse en este proceso elementos característicos de un encargo de tratamiento. Si analizado el caso ello fuese así, y Facebook pudiese ser considerado como un encargado del tratamiento del anunciante, cuya función consiste en mostrar anuncios a los usuarios que cumplan determinados criterios de segmentación establecidos por el anunciante, este proceso no exigiría consentimiento del usuario. La cesión inicial podría quedar amparada con el contrato de encargado de tratamiento, salvo en el caso de que efectivamente se apreciase la existencia de un proceso de depuración de datos. La exhibición del anuncio estaría cubierta por el consentimiento dado por el usuario en el momento de aceptar los términos y condiciones de uso de Facebook, en la que se advierte que la publicidad es la contrapartida a la gratuidad del servicio.

Recomendaciones

Dada la acumulación de leyes estatales, normas generales de la red social y normas específicas de cada modalidad de campaña, la principal recomendación es contar con asesoramiento jurídico especializado en marketing en redes sociales. Este asesoramiento deberá dirigirse a comprobar, en cada caso específico:

  1. Si es aplicable la figura del encargo de tratamiento.
  2. Si es aplicable la figura de la depuración de datos.
  3. Si se produce realmente una disociación irreversible.
  4. Si el anunciante necesita un consentimiento específico para ceder datos antes de iniciar una campaña basada en segmentación de “públicos personalizados”.

 

Responsabilidad por rumores y cotilleos publicados en Gossip e Informers

Marc Rius
Ribas y Asociados

Este fin de semana se ha hablado mucho de las redes de cotilleos y rumores, capitaneadas por la aplicación de smartphone Gossip y las páginas de Facebook de los “Informers”, que se han popularizado con contenidos que van desde pueblos hasta institutos o empresas.

Dichas aplicaciones son el escenario perfecto para las injurias o calumnias, por lo que ya su propia existencia debería ser cuestionable (si bien nuestras televisiones y sus exitosos programas del corazón indican que existe mercado para ello). Sin embargo, existe un problema más grave que se está dando en escuelas, institutos y universidades.

Se trata del cyberbulling, o ciberacoso, y es un fenómeno que se extiende a gran velocidad. Por ello, me gustaría analizar brevemente la responsabilidad que tienen, o podrían tener, los responsables y administradores de este tipo de aplicaciones o páginas en Facebook (al propio autor del comentario, cotilleo o rumor, se le presupone responsable). Puesto que de momento se trata de plataformas informáticas, analizaré las responsabilidades desde un punto de vista de la Ley de la Sociedad de la Información (LSSI) y el Código Penal.

Responsabilidad vía LSSI:

a) Gossip: la aplicación de Gossip basa su funcionamiento en la existencia de “canales”, que son los que definen la temática concreta que se trata en él. Por ejemplo, el nombre del pueblo, instituto, universidad. La libertad para publicar es total, requiriendo únicamente el registro del usuario y publicándose cualquier comentario bajo pseudónimo y sin ningún tipo de moderación previa (aunque esto es relativo, ya que parece que desde Gossip están trabajando en métodos de control de este tipo de comentarios).
La responsabilidad de los administradores de Gossip tendría su cabida en el artículo 16 de la LSSI, sobre los prestadores de servicios de alojamiento o almacenamiento de datos, tal y como ocurre en los foros de internet y ya se debatió cuando se trataron las webs de enlaces a contenidos ilegales. En todo caso, nos dice el mencionado artículo que estos prestadores tendrán responsabilidad siempre que (i) No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o (ii) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.
Por tanto, desde el desconocimiento del sistema de control que pueda estar elaborando Gossip (o que ya haya implementado), y presuponiendo que aún no existe, debería descartarse su responsabilidad en caso de no existir solicitud para la eliminación del comentario por parte de un órgano competente, o “otros medios de conocimiento efectivo que pudieran establecerse” (¿los mecanismos de denuncia del propio comentario?). En caso de que se comunicara la ilicitud del contenido y los administradores de Gossip no actuaran de forma diligente para eliminarlo, sí serian responsables.

b) “Informers” de Facebook: El caso de los Informers es sustancialmente distinto. Si bien la finalidad es la misma, la publicación de forma anónima de cualquier tipo de comentario, rumor o cotilleo, funciona manera opuesta, ya que en este caso sí existe un control previo por parte de los administradores, puesto que el usuario manda un mensaje privado a la página y éstos lo publican de forma anónima.
Aquí por tanto, y amparándonos en el mismo artículo 16 de la LSSI (aún cuando la página de los Informers se encuentran dentro de la plataforma de Facebook, los responsables de sus contenidos son los administradores de dicha página), no puede en ningún caso considerarse que el administrador que ha publicado el comentario desconocía que éste podía ser susceptible de lesionar bienes y derechos.
Cierto es sin embargo que habría que estar un poco a cada caso concreto, ya que pueden haber comentarios que, fuera de contexto, no presuponen un carácter vejatorio, injurioso o calumnioso, y en cambio así lo puede interpretar el destinatario o las personas que sí conocen el contexto, pero por la forma de funcionar creo que la responsabilidad debería presuponerse de inicio para poder estudiar luego cada caso concreto.

A nivel penal, cabe indicar que nuestra intención era relacionar la existencia de estas plataformas y la responsabilidad de sus administradores, no de las personas titulares del comentario, si bien si sólo nos centráramos en injurias y calumnias, el artículo 212 del Código Penal establece que será responsable civil solidaria la persona física o jurídica propietaria del medio informativo a través del cual se haya propagado la calumnia o injuria.

En cuanto al ciberacoso, es más complicado establecer la responsabilidad de los administradores, puesto que el título que trata los delitos contra la integridad moral habla del responsable o autor, en un ejemplo de texto legal que ha quedado superado por la tecnología, ya que ni se prevé que pueda efectuarse por medios telemáticos ni tampoco con la ayuda de terceros. En todo caso, establece el artículo 173 del Código Penal pena de prisión de seis meses a dos años para el que infligiera a otra persona un trato degradante, menoscabando gravemente su integridad moral. Cabría a lo mejor aquí incluir el artículo 28 del mismo Código, según el cual, también serán considerados autores (b) los que cooperan a su ejecución con un acto sin el cual no se habría efectuado.

eDNI para Facebook: solución desproporcionada

He estado analizando la noticia de ayer sobre la propuesta de exigir el DNI electrónico como prueba de la edad de los usuarios y me ha parecido realmente desproporcionada. Mis reflexiones son las siguientes:

Como padre

– Mis tres hijos tienen una gran actividad en Facebook desde los 16, 13 y 10 años respectivamente.

– Para darse de alta contaron con mi consentimiento expreso.

– Los tres utilizan la red social para comunicarse con sus amigos de clase, compartir contenidos, organizar deberes y preparar exámenes.

– El menor de ellos entró a los 10 años porque era el único de la clase que no tenía cuenta en Facebook y se sentía excluido.

– Me pidió que lo ayudase a darse de alta y fue muy gratificante para ambos configurar juntos la privacidad y los demás parámetros importantes de la cuenta: visualización de fotos, alta de amigos, etc.

– Ello me permitió sensibilizarle sobre los riesgos y hacerle comprender la necesidad de que tutelase su actividad hasta que tuviese 14 años, para lo cual acordamos que no cambiaría las claves de acceso, y así lo ha hecho hasta ahora.

– El sabe que tengo acceso a su cuenta y nos hemos reído juntos con los vídeos y chistes que han pasado por ella.

– Como padre he preferido siempre que mis hijos asuman responsabilidades desde pequeños y que conozcan los riesgos de lo que hacen, en vez de mantenerlos alejados de una realidad a la que podrían acceder igualmente, sin mi conocimiento y sin mis recomendaciones.

– Creo que la confianza genera responsabilidad y prefiero compartir y tutelar estas experiencias que reprimirlas y convertirlas en clandestinas, porque si sus amigos están ahí, ellos acabarán estando, por un medio o por otro.

– Si hubiese tenido que utilizar el DNI electrónico para cursar el alta, probablemente lo habría dejado para otro día.

– Entiendo como padre que la tutela no es algo ocasional, sino continuado. Pedir la intervención de los padres sólo en el momento del alta es como pensar que escogiendo un buen colegio para tus hijos ya es suficiente. Se entiende que la supervisión y el acompañamiento de la actividad de tu hijo es algo mucho más exigente y duradero.

Como observador

– La medida puede dar impulso al DNI electrónico, ya que los niños tendrán una motivación para que ellos y sus padres lo utilicen. Ya sabemos lo que pueden llegar a insistir hasta que consiguen lo que quieren.

– Lamentablemente, la experiencia es que la exigencia del DNI electrónico puede ser un obstáculo para el crecimiento de las actividades relacionadas con las redes sociales.

– En el comercio electrónico el eDNI ha sido rechazado sistemánticamente por las empresas y los usuarios. Cualquier paso o trámite adicional que se introduce en el proceso de compra es disuasorio e incrementa el número de transacciones frustradas.

– A todo ello se une el escaso uso de los lectores de eDNI, la caducidad de dos años del certificado electrónico y la habitual no renovación del mismo.

– Las redes sociales se han convertido en un nuevo motor para la economía y muchas empresas has diseñado una estrategia de marketing y publicidad adaptada a sus actuales presupuestos exiguos. Los menores de 14 años y sus padres son un público muy importante al que no tenemos que poner obstáculos para utilizar las redes sociales si los padres dan su consentimiento.

– Entiendo que exigir el DNI electrónico puede ser altamente disuasorio y es una medida desproporcionada que va a entorpecer y dificultar la entrada en una plataforma de comunicaciones que está aportanto muchos más beneficios que riesgos a nuestros hijos. No existe alarma social ni estadísticas negativas que aconsejen tal medida.

Mi propuesta es que estudiemos soluciones más imaginativas, que eduquemos a nuestros hijos ayudándolos a asumir responsabilidades, que definamos modelos de tutela colaborativa, que estemos más con ellos, que aprendamos juntos. Por muchos cerrojos que pongamos no conseguiremos que dejen de comunicarse. Sólo haremos que la brecha sea mayor.

En vez de contenerla, canalicemos esa ilusión.

Pasos para vender en Facebook

Muchas veces hemos comentado que Facebook es una gran herramienta para posicionar la marca con un pésimo ratio de conversión en ventas. Facebook es consciente de esta carencia y está realizando pruebas con el botón “lo quiero”.

El funcionamiento de este nuevo botón, que ya están utilizando empresas como Victoria’s Secret o Wayfair, será el siguiente:

1. Las empresas podrán incluir nuevos botones en sus páginas que irán orientados a convertir el interés del usuario en una acción de compra.

2. El inicio del proceso de compra partirá de un clic en el botón “lo quiero”.

3. A través de este botón se podrá acceder a la nueva función “colecciones”.

4. Una vez en ella, se accederá a un catálogo de productos muy parecido al álbum de fotos de Facebook actual.

5. En cada producto el usuario encontrará varios botones, entre los que destacarán el botón “comprar” y el botón “coleccionar”.

6. El botón “comprar” remitirá al usuario a la tienda online de la empresa anunciante.

7. En la actualidad el reenvío del usuario a la tienda online o al sitio web del anunciante se efectúa con aplicaciones como nShup o Social-buy, y también con enlaces en las imágenes del álbum de fotos.

8. Facebook no ha manifestado su intención de participar en el proceso de compra ni de cobrar un porcentaje de las ventas que se produzcan, por lo que se entiende que los ingresos que obtenga serán en concepto de publicidad.

9. Facebook tampoco se hará responsable de las transacciones ni de los productos, ya que la relación jurídica se establecerá directamente entre el anunciante y el usuario, por lo que se descarta la aplicación de un modelo de negocio como el de Amazon.

10. Las colecciones aparecerán en el feed de noticias y el usuario podrá recomendarlas a sus amigos.

En conclusión, parece que Facebook está decidida a convertir su plataforma en un canal que promueva la venta de forma activa y social, potenciando el retorno de la inversión a los anunciantes y ofreciendo nuevas oportunidades a las empresas que carecen de presencia internacional o de una gran red de distribución.

En cualquier caso, será importante revisar los términos y condiciones que regularán el llamado fCommerce y las contrapartidas directas o indirectas que Facebook exigirá a los anunciantes.