Básicamente, las cookies son unos pequeños archivos que permiten a las páginas web reconocernos cuando las visitamos y actuar en consecuencia: mostrarnos la información en nuestro idioma, recordar nuestro nombre de usuario y contraseña... Sin embargo, también pueden ser utilizadas para almacenar nuestros hábitos de navegación. Todo un filón para las empresas de marketing digital, que las usan para segmentar a los internautas con una precisión sin precedentes.
Lo que para unos es un lucrativo nicho de mercado, para otros supone un inasumible riesgo para la privacidad. En especial por un pequeño detalle: muy pocas páginas web gestionan su propia publicidad. El negocio está controlado por un puñado de empresas, conocidas como "redes de anunciantes", entre las que destacan Google y su filial Doubleclick. Redes que son capaces de recabar información no sólo desde sus propias páginas, sino también desde muchos de los millones de sitios web que les alquilan un espacio para que coloquen sus anuncios. Les he preparado un esquemita, para que entiendan mejor la idea:
La Unión Europea, preocupada por el fenómeno, introdujo en noviembre una modificación en la Directiva ePrivacy (2002/58/CE), y en concreto en su artículo 5.3, que quedó como sigue (atentos a los cambios):
"Los Estados miembros velarán por que únicamente se permita el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información, o de la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que se facilite a dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE y de que el responsable del tratamiento de los datos le ofrezca el derecho de negarse a dicho tratamiento. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste proporcionar a una empresa de información un servicio expresamente solicitado por el abonado o el usuario."Conclusión: el consentimiento informado del usuario se hace condición sine qua non para el uso de cookies que no sean meramente técnicas. La cuestión es: ¿debe este consentimiento ser previo (opt-in), o se pueden realizar perfiles de navegación de los usuarios en tanto en cuanto éstos no se nieguen expresamente (opt-out)?
Hace sólo un par de días, el Grupo de Trabajo que reúne a las agencias de protección de datos de la Unión Europea (el llamado Grupo del Artículo 29) publicó en su página web su Dictamen 2/2010, sobre publicidad online basada en el comportamiento. De él, a grandes rasgos, se extrae lo siguiente:
- Debe facilitarse al usuario una información clara y completa del funcionamiento de estos sistemas y de los tratamientos que se realicen con sus datos.
- Los sistemas opt-out no son suficientes.
- Es preciso obtener el consentimiento informado de los usuarios antes de instalar cookies "de rastreo" en sus equipos.
- Esto es así aunque no se traten datos de carácter personal, porque la Directiva 2002/58/CE se aplica a todos los abonados y usuarios de Internet, y su artículo 5.3 a todo tipo de información.
5 comentarios:
Que dilema, proteger los datos personales o fomentar los negocios.
Excelente post, lo he encontrado altamente informativo sobre la cuestión.
Saludos y te has ganado un seguidor nuevo.
Buenas,
En mi opinión se está generando bastante confusión e inseguridad jurídica con la mal llamada Directiva de e-Privacidad, pues me temo que el ámbito de aplicación de esta Directiva, y de las normas españolas de transposición, son quienes exploten redes públicas de comunicaciones electrónicas y quienes presten servicios de comunicaciones electrónicas, así como tales redes y servicios.
No veo de qué manera encaja el sector del marketing digital en una Directiva como ésta, de no ser que nos centremos en redes sociales, que en su carácter multiprestador encajan en la definición de prestador de servicios de comunicaciones electrónicas (foros, chat, mails,...), cosa que ya se dijo en el Dictamen sobre Redes Sociales del Grupo del Art. 29. De hecho, desde principios de 2010 Tuenti figura registrada como operador en el registro de la CMT, pero me temo que no están del todo adecuados a la legislación que por ello les aplica, por ejemplo la normativa sobre interceptación de telecomunicaciones y la Ley de Conservación de Datos de Tráfico y Localización.
Vale que tras el punto seguido de la nueva versión del artículo 5.3 de la Directiva 2002/58/CE se establece una excepción a los deberes de información y consentimiento (por cierto, bastante descafeinado) en relación a las cookies de los proveedores de servicios de la sociedad de la información que sean estricamente necesarias para la prestación del servicio, pero ¿realmente ello implica que el resto de cookies, léase por ejemplo, publicidad, analítica web,... han de estar sometidas al deber de información y a la obligación de recabar el consentimiento cuando tal tipo de proveedores no forman parte del ámbito de aplicación de la Directiva? Dado que los servicios on-line generalmente son "gratis", precisamente por el uso de cookies y la presentación de publicidad, ¿no es el uso de cookies estricamente necesario para la prestación del servicio?¿O debe abandonarse el modelo del todo gratis en pos de la privacidad y hacer los servicios de pago? Como además caiga también la neutralidad de la red, estamos apañados para seguir usando Internet como hemos hecho hasta ahora, es decir, de forma "gratis".
...
...
Lo mismo puede decirse de la regulación relativa al RFID o las obligaciones de notificación de los problemas de seguridad. O también de los datos de tráfico y localización por parte de los prestadores de servicios de la sociedad de la información.
Al final se la están cargando los operadores de telecomunicaciones mientras que los proveedores de servicios de la Sociedad de la Información se quedan en un terreno de ambigüedad muy bien aprovechado.
Me temo que una verdadera Directiva de e-Privacidad debería contemplar no sólo a los operadores de telecomunicaciones, sino también a los proveedores de servicios de la Sociedad de la Información y de comercio electrónico.
Debería haber puesto coto también a las flash cookies o elementos similares que hacen del ejercicio del derecho de cancelación o al olvido una falacia.
Otras preguntas que surgen son por ejemplo si las cookies son datos personales, dado que se regulan en una Directiva con tal título, y si ello implica que lo son también los identificadores, direcciones ip y demás datos incluidos en ellas. Sobre todo teniendo en cuenta lo que dicen ya los investigadores al respecto de la escasa realidad efectiva de las técnicas de disociación y la creciente potencialidad de las técnicas de reidentificación o de-anonimización. Te recomiendo que leas el blog 33 bits of entropy al respecto.
En mi opinión, tenemos un grave problema, aún no resuelto con el concepto de dato de carácter personal y de persona identificable o como llaman los americanos "personal identifiable information".
En mi opinión, lo relevante no es llegar a conocer nombre y apellidos de la persona, sino que al tratar los datos personales de alguien sus derechos puedan verse afectados. Por ejemplo, una compradora compulsiva en proceso de tratamiento, que por desgracia lo tiene que seguir haciendo y lo hace por Internet. Una persona anoréxica que quiere dejar de serlo, pero un día compró ciertos productos adelgazantes.
Estamos muy lejos de poner las adecuadas reglas al mundo virtual en la que ya vivimos y no desde hace poco.
Un saludo
¿Y cuándo nos contará alguna empresa de marketing digital qué perfiles tiene definidos y cuáles son las reglas en base a las que dado nuestro comportamiento se nos ubica en una u otras características?
Claro, no se quiere dar información a la competencia ;-p
Te recomiendo también el especial "What do Online Advertisers Know About You? del Wall Street Journal
http://online.wsj.com/public/page/what-they-know-digital-privacy.html
Un saludo
Muchas gracias por tus comentarios, Antonio. La verdad es que planteas una serie de cuestiones de un calado tal, que merecerían uno o incluso varios nuevos post para poder ser abordadas. Recojo el guante, y en cuanto tenga un hueco (a ver si este fin de semana) intento darle una vuelta.
Un saludo.
Publicar un comentario