Empresas, gobiernos, publicistas… Son muchos los interesados en conocer la mayor cantidad posible de datos sobre usuarios y ciudadanos. Debido a la facilidad que brindan las nuevas tecnologías y al cruce de diferentes bases de datos, la privacidad en la Red empieza a parecer una utopía. ¿Qué opciones tiene el usuario para defenderse?
Un negocio emergente
¿Qué ocurre con los datos cuando se pulsa el botón de ‘aceptar los términos del contrato’ en el último servicio de moda web 2.0 al que el usuario se ha suscrito?
Un usuario que lleva un tiempo navegando por Internet, sonríe al recibir una cadena de emails de un conocido, debido a que ha aprendido que la finalidad de esas cadenas, entre otras cosas, es recopilar miles de direcciones de correo electrónico por parte de empresas ubicadas en cualquier parte del mundo, para posteriormente enviar centenares de correos basura a sus cuentas.
Sin embargo, ¿qué ocurre con los datos cuando se pulsa el botón de ‘aceptar los términos del contrato’ en el último servicio de moda web 2.0 al que el usuario se ha suscrito? ¿Lee la gente la letra pequeña y es consciente de las cláusulas que se le imponen sólo por utilizar servicios como Flickr, Youtube o Gmail? El pasado año fue notable la polémica que se desató en el Reino Unidos con las cláusulas de MySpace.
En esta época donde la gran mayoría de los servicios webs son de acceso gratuito y sólo se requiere rellenar un formulario previo de registro para acceder al servicio, el usuario debe aceptar una serie de cláusulas sobre los datos que está dando, sin tener un conocimiento claro de los usos que se harán de ellos.
El usuario debe aceptar una serie de cláusulas sobre los datos que está dando, sin tener un conocimiento claro de los usos que se harán de ellos
En muchas ocasiones, las condiciones del contrato especifican que la utilización del servicio supone la cesión de los datos utilizados en la inscripción a la empresa X, que posteriormente los venderá a las empresas de marketing online a fin de que éstas perfilen los gustos del usuario, hagan estudios detallados de mercado e incluso envíen publicidad que colapsa los servicios web y termina casi siempre en la carpeta de Spam. El tráfico legal de datos personales es un negocio próspero y emergente.
Según unestudiopresentado recientemente por la Asociación de Publicidad Directa y Bases de Datos (PD&BD), y elaborado por la consultora PricewaterhouseCoopers, el mercado de bases de datos para marketing directo facturó en España, durante 2006, 31,07 millones de euros. La mayor actividad del sector se centró en la creación de las bases de datos, pero respecto a la venta de las mismas, actualmente el 7,13% de las ventas de bases de datos se realiza online.
El mercado de bases de datos para marketing directo facturó en España, durante 2006, 31,07 millones de euros
El sector registra una gran concentración; las cinco principales empresas del mismo alcanzan el 71,7% del volumen de negocio, suponiendo el 93,34% de la facturación. Sin embargo, la PD&BD considera que el actual marco legal es excesivamente restrictivo, con sanciones desproporcionadas que frenan la competitividad y limitan la inversión.
En España, laAgencia de Protección de Datoses la encargada de supervisar la legislación vigente sobre protección de datos y sobre la gestión de las bases de datos comerciales (se cuentan por miles) que están en poder de las empresas y de la propia administración.
Empresas extracomunitarias
Si se lee la letra pequeña del contrato de uso de Youtube, allí se dice que los datos de carácter personal que dejen los usuarios serán recopilados según las leyes de Estados Unidos
En Internet, la problemática radica en que la mayoría de los servicios que los usuarios utilizan en España están realizados por empresas extranjeras, cuya legislación puede variar respecto a la comunitaria y a la adoptada por España.
Por ejemplo, si se leela letra pequeñadel contrato de uso de la plataforma de vídeos Youtube, allí se dice que Youtube se dirige únicamente a los usuarios residentes en los Estados Unidos, y que si algún otro usuario accede a sus servicios desde otros lugares del planeta, sus datos de carácter personal serán recopilados según las leyes de Estados Unidos.
También se avisa de que desde el portal están transfiriendo toda su información personal al gobierno de los Estados Unidos, en una clara cesión a las exigencias de éste. No hay que olvidar que Youtube pertenece a Google, y el buscador siempre se ha pronunciado en contra de la cesión de los datos de sus usuarios a cualquier gobierno.
Hace mas de un año, se conoció que el gobierno de Estados Unidos había pedido a los principales buscadores los datos de las búsquedas que hacían sus usuarios
Yahoo! y MSN Searcher también están en el centro de la polémica por parte de las asociaciones de ciberderechos y privacidad. Hace mas de un año, se conoció que el gobierno de Estados Unidos había pedido a los principales buscadores los datos de las búsquedas que hacían sus usuarios. Yahoo! y MSN enviaron con más o menos reticencias estos reportes, pero Google levantó la voz de alarma y se resistió a entregarlos.
Por su parte portales de contactos sociales como Meetic, Match y otros necesitan una descripción detallada sobre los gustos del usuario para conformar sus perfiles y ponerlos en conexión con otros usuarios con los que puedan hacer amistad.
Si bien en la mayoría de estos servicios se asegura que sus datos serán preservados en secreto, y los niveles de seguridad son en general excelentes, no es menos cierto que en caso de hubiera alguna filtración de datos personales, el usuario que no perteneciera al país de origen del servicio, o a países donde exista una sede, difícilmente podría reclamar ante un juez. Este problema ya se puso de manifiesto en el estudio que CONSUMER EROSKI realizó sobre este tipo de servicios.
Portales como Meetic, Match y otros necesitan una descripción detallada sobre los gustos del usuario para conformar sus perfiles
Otro caso inquietante es el del servicio de descargas de archivos MP3 de la tienda de música iTunes, que si bien ha anunciado sus primeros servicios de música sin sistemas anti copia (DRM), no ha avisado que los nuevos archivos que vendeincluyen datos ocultos sobre el usuario que los compra, de modo que al depositarlos, por ejemplo, en una red P2P, extiende su privacidad por la Red.
Niveles de seguridad y derechos del usuario
Niveles de Seguridad
No todas las empresas necesitan conocer todos los datos del usuario; la gran mayoría sólo pide a los internautas los datos mínimos para poder realizar el servicio al que se están suscribiendo. Por este motivo, la Ley Orgánica de Protección de Datos (LOPD), contempla tres escenarios posibles. Según la sensibilidad de los datos que se suministren, las medidas de seguridad y control deben ser mayores.
Nivel Básico:Se aplica a los ficheros de recopilación de datos de carácter personal. Según la ley, el responsable de los ficheros deberá adoptar una serie de medidas técnicas y organizativas tales como que los datos sean almacenados en un lugar seguro y con acceso restringido al personal no autorizado, o establecer procedimientos de recuperación y reconstrucción de los datos en caso de pérdida. La gran mayoría de las webs con acceso mediante registro estarían en este nivel.
Nivel Medio:Este nivel se aplica a los ficheros que contengan información sobre servicios financieros o patrimoniales. También estarían los datos relativos a infracciones administrativas o penales y de la hacienda pública. Respecto a las medidas de seguridad, además de las contempladas en el nivel básico, estos ficheros deben de contemplar medidas para el cumplimiento periódico del documento de seguridad y realizar un informe de auditoria, interna o externa y bianual, que verifique el cumplimiento de todas las medidas de seguridad adoptadas. Datos de bancos, brokers online y de las administraciones electrónicas formarían parte de este nivel de protección.
Nivel Alto:Aquellas empresas que recopilen datos sobre ideología, religión y creencias, origen racial, vida sexual o salud formarían parte de este grupo. También los datos recopilados con fines policiales sin el consentimiento de los afectados. En este nivel, la seguridad es máxima. Junto con la adopción de medidas físicas y técnicas para el registro detallado, al menos durante dos años, del tipo de acceso y registro consultado por parte del personal autorizado, es necesario la adopción de medidas para la transmisión cifrada de estos datos a través de la Red y la realización de copias de seguridad de forma externa. En este grupo estarían las webs de contactos personales y algunas redes sociales.
Las sanciones por el incumplimento de la ley, dependen del nivel de gravedad, pero son de elevada cuantía. Las leves son sancionadas con una multa entre los 600,01 euros y 60.001,01 euros; las graves con una multa de 60.001,02 euros a 300.000,00 euros, y las infracciones consideradas como muy graves son sancionadas con una multa entre de 300.000,01 euros y 601.012,10 euros.
Derechos del usuario
Los usuarios, según la legislación vigente de la LOPD, tienen una serie de derechos sobre los datos que han aportado a las empresas donde se han suscrito para disfrutar de un servicio.
Derecho de acceso: El usuario tiene derecho a solicitar y obtener de forma gratuita la información sobre sus datos, así como el origen de los mismos y las posibles comunicaciones que recibirá. Según la legislación, este derecho sólo podrá ser ejercitado en intervalos no inferiores a 12 meses.
Derecho de cesión: Normalmente en muchos servicios se pide al usuario su consentimiento para ceder sus datos a terceras empresas, sin saber la finalidad de la transmisión de los mismos ni la comunicación que desde ellos se hará. Según la ley, sólo se podrán ceder datos a un tercero cuando la información facilitada al usuario le permita conocer la finalidad de la comunicación y destino de sus datos. En caso contrario, será de nulo consentimiento.
Derecho de cancelación y rectificación: En el plazo de diez días desde la incorporación de los datos de los usuarios a un fichero, el responsable del mismo tiene la obligación de hacer efectivo el derecho de rectificación o cancelación. Por otra parte, aquellos datos inexactos o incompletos deberán ser cancelados o rectificados.
Derecho de oposición: El usuario puede oponerse en cualquier momento por razones legítimas a que sus datos sean objeto de tratamiento. También puede oponerse a que sus datos sean comunicados por primera vez a terceros.
Derecho de Indemnización: Como consecuencia del incumplimiento de la ley, los usuarios podrán ser indemnizados en virtud del daño o lesión de los bienes por los que se vean afectados.