en Comercio electrónico, Derecho a la Privacidad, Derechos fundamentales, Protección de datos personales, Regulación

Regulación sobre datos personales y publicidad basada en identidad

Hace poco hablaba sobre el manejo de datos personales por parte de los proveedores de servicios en un mercado online cada vez más basado en la identidad y no en la privacidad de sus usuarios. Así, conforme crece la demanda de contenidos en Internet y sus aplicaciones se hacen más sofisticadas, surgen modelos de negocio cuyo ingreso se sustenta en ofrecer publicidad dirigida a grupos de consumidores específicos seleccionados utilizando la información que poseen de ellos como edad, gustos, ciudad.

En un artículo reciente, Online Advertising, Identity and Privacy, Randal Picker ensaya la teoría de que cuando la regulación establece que ciertos agentes pueden usar la información libremente y otros están sujetos a una serie de obligaciones legales para hacerlo, modificamos sustancialmente el equilibrio competitivo de un mercado. Sin embargo, precisa, eso no significa que debamos construir nuestra regulación desprotegiendo por completo a los usuarios. Por el contrario, propone diseñar un marco legal que propicie el equilibrio entre el uso de información personal con fines comerciales y el derecho de los usuarios.

En este escenario, según Picker, importa mucho dónde se coloque la regulación sobre privacidad frente a la publicidad basada en identidad y en comportamiento del usuario, al ser un mecanismo de financiamiento privilegiado. El modelo de regulación clásico, pensado para casos como el envío de publicidad no deseada, impide a las empresas utilizar la información de sus usuarios sin su consentimiento previo. Pero nuevos usos de esa información, como mostrar publicidad basada en identidad, nos hacen replantearnos este modelo si tenemos en cuenta que financia la mayoría de contenido gratuito y, cuando no lo hace, puede ser útil ver publicidad basada en su perfil (ej. las recomendaciones de compra Amazon). La pregunta es si dicho permiso debe ser un ajuste por defecto y con opción a restringirlo por parte del usuario del servicio (sistema opt-out) o un ajuste que el usuario podría implementar manualmente si lo desea (sistema opt-in).

Dos respuestas distintas

En Estados Unidos, la Federal Trade Comission ha emitido cuatro principios de autorregulación para la publicidad basada en identidad y comportamiento (como la de Facebook o la de Google, si usa mi historial de búsquedas anteriores) invocando a las empresas a transparentar sus prácticas al respecto, obtener autorización expresa siempre que se trate de datos sensibles (salud, finanzas) o cambie sus políticas y tomar las medidas de seguridad razonables para proteger los datos. Sobre la pregunta del ajuste por defecto, ha optado porque los servicios puedan usar sistemas opt-in u opt-out y que sean los usuarios quienes modifiquen sus preferencias de consumo según el sistema con el cual se sientan más cómodos. Se ha excluído expresamente de estos principios los supuestos de publicidad de la propia empresa y la publicidad contextual (AdWords) porque considera que, en estos casos, no hay potenciales brechas de privacidad.

Por su parte, la Unión Europea ha señalado que los buscadores y los servicios de redes sociales deben de ajustar sus políticas por defecto en forma respetuosa de la privacidad de los usuarios (privacy-friendly manner). Es decir, se ha indicado claramente que los proveedores de contenidos y servicios deben de implementar un sistema opt-in para recolectar información. Picker reconoce que este sería el modelo más adecuado para el mercado y cree que existen las herramientas para que las empresas puedan incentivar a sus usuarios a cambiar su configuración por defecto hacia una que permita la privacidad basada en conducta. Elegir un sistema opt-in, a la vez, protege los datos personales de los usuarios que no desean compartirlos.

Lo que resulta de la concurrencia de ambos modelos regulatorios en un mercado internacional como Internet es una situación inicial de desventaja entre competidores. De un lado Facebook, con base en Estados Unidos, puede programar por defecto que podrá usar la información de sus usuarios para mostrarle publicidad dirigida. Del otro, Tuenti, un servicio de red social español competidor suyo, no podrá aplicar ese ajuste por defecto y necesitará de la autorización expresa de sus usuarios. Como es evidente, esta diferencia de tratamiento pone en mejor posición a Facebook que a Tuenti. La posibilidades de éxito de la segunda dependerá de su capacidad para persuadir a sus usuarios.

Picker cree que existen buenos incentivos para que los usuarios elijan revelar su información personal. Una Internet de consumidores identificados aumenta la posibilidad de que se haga clic en los anuncios y se puede cobrar más por ellos. Una red de usuarios anónimos relativiza esa posibilidad y es necesario incrementar la cantidad de anuncios, perjudicando la experiencia del usuario, o termina haciendo inviable el negocio. Con un nivel de información adecuada sobre sus beneficios (menos publicidad, más exacta), no sería muy difícil que los usuarios acepten que su información no sensible sea utilizada por los proveedores de contenidos para ofrecerle publicidad dentro del mismo servicio y mejorar su experiencia del servicio.

Perú

En nuestro país, el Proyecto de Ley de Protección de Datos Personales no sería aplicable a cualquier servicio que trate los datos personales fuera de Perú, según su Artículo 3, con lo que Facebook o Google quedan fuera del ámbito de aplicación (la normativa europea, en cambio, reconoce expresamente que podría aplicarse a quienes tratan datos en otras jurisdicciones). En el caso de servicios que traten datos personales en Perú, el artículo 18 del Proyecto señala que si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones información sobre la forma en la que se utilizarán los datos personales al usuario podrán satisfacerse mediante la publicación de políticas de privacidad, que serán accesibles e identificables fácilmente.

Según el Proyecto, servicios de redes sociales como El Comercio o La Mula solo necesitarían de la autorización del usuario (que puede darse junto con la suscripción al servicio) y no está obligado a ajustar por defecto su gestión de datos a un sistema opt-in u opt-out. En sus políticas de privacidad podría incluir que por defecto toda la información de los usuarios necesaria para mostrarle publicidad basada en su identidad y conducta. No habría problema mientras le de la oportunidad al usuario de cambiar posteriormente ese ajuste.

Es un modelo más parecido al que ha adoptado la FTC en Estados Unidos que al de la Unión Europea. Creo que si lo que queremos es que crezca el mercado de servicios peruanos en Internet, esta parece ser la regla más adecuada en tanto permite que las empresas nuevas puedan acceder a financiamiento a través de publicidad basada en perfiles y que ello sea un ajuste por defecto en su servicio. Cualquier brecha de privacidad o uso no autorizado por las Políticas, sin embargo, siempre podrá ser reclamado administrativa o judicialmente.

Foto: Thomas Riggs (CC BY-NC)

Comentar

Comentario

Webmenciones

  • CONACUP
    Notice: Trying to get property 'comment_date' of non-object in /var/www/blawyer.org/wp-includes/comment-template.php on line 606

    RT @watsamara: http://tinyurl.com/2bul5zf Regulación sobre datos personales y publicidad basada en identidad

  • Able Overdoer
    Notice: Trying to get property 'comment_date' of non-object in /var/www/blawyer.org/wp-includes/comment-template.php on line 606

    http://tinyurl.com/2bul5zf Regulación sobre datos personales y publicidad basada en identidad

  • Abel Revoredo
    Notice: Trying to get property 'comment_date' of non-object in /var/www/blawyer.org/wp-includes/comment-template.php on line 606

    http://tinyurl.com/2bul5zf Regulación sobre datos personales y publicidad basada en identidad

  • miki
    Notice: Trying to get property 'comment_date' of non-object in /var/www/blawyer.org/wp-includes/comment-template.php on line 606

    RT @blawyer La regulación sobre datos personales y publicidad basada en identidad http://bit.ly/cAQ6HT

  • miki
    Notice: Trying to get property 'comment_date' of non-object in /var/www/blawyer.org/wp-includes/comment-template.php on line 606

    hablando de behavioral advertising y competencia en Blawyer http://bit.ly/d1EINP

  • lopd
    Notice: Trying to get property 'comment_date' of non-object in /var/www/blawyer.org/wp-includes/comment-template.php on line 606

    La regulación sobre datos personales y publicidad basada en identidad: Hace poco hablaba sobre el… http://bit.ly/a9j9m4 #privacidad #lopd

  • Olga Toy
    Notice: Trying to get property 'comment_date' of non-object in /var/www/blawyer.org/wp-includes/comment-template.php on line 606

    RT @blawyer: La regulación sobre datos personales y publicidad basada en identidad http://goo.gl/fb/g7X9K (BLAWYER POST)

  • Oscar Montezuma
    Notice: Trying to get property 'comment_date' of non-object in /var/www/blawyer.org/wp-includes/comment-template.php on line 606

    La regulación sobre datos personales y publicidad basada en identidad:
    Hace poco hablaba sobre el manejo de datos… http://bit.ly/d1EINP

  • Blawyer.org
    Notice: Trying to get property 'comment_date' of non-object in /var/www/blawyer.org/wp-includes/comment-template.php on line 606

    La regulación sobre datos personales y publicidad basada en identidad http://goo.gl/fb/g7X9K (BLAWYER POST)

  • Tweets that mention La regulación sobre datos personales y publicidad basada en identidad -- Topsy.com
    Notice: Trying to get property 'comment_date' of non-object in /var/www/blawyer.org/wp-includes/comment-template.php on line 606

    […] This post was mentioned on Twitter by Olga Toy. Olga Toy said: RT @blawyer: La regulación sobre datos personales y publicidad basada en identidad http://goo.gl/fb/g7X9K (BLAWYER POST) […]