Tecnología GPS y privacidad

Recientemente la Corte Suprema de Estados Unidos ha enfrentado un caso muy interesante que pone nuevamente sobre el tapete la relación entre la tecnología y el derecho. La Corte Suprema se hizo la siguiente pregunta: ¿puede el gobierno monitorear a un individuo por la supuesta comisión de un delito utilizando un dispositivo GPS sin contar con una orden judicial? Primero abordaremos algunos aspectos técnicos sobre el sistema GPS para luego comentar los aspectos legales involucrados.

¿Qué es el GPS?

Son las siglas detrás de Global Positioning System (GPS), un sistema de navegación satelital compuesto de veinticuatro satélites puestos en órbita y gestionados por el gobierno de los Estados Unidos. Inicialmente se trató de un tipo de tecnología de uso exclusivamente militar; sin embargo, a inicios de los años ochenta se liberalizó de manera que pudiera ser utilizado por cualquier individuo y de manera gratuita. Es este sistema el que nos permite ubicar direcciones a través de nuestros dispositivos móviles, ubicarnos geográficamente de manera efectiva en lugares desconocidos y hasta ubicar vehículos (no en vano ingeniosos taxistas limeños anuncian sus servicios de transporte ofreciendo como garantía de seguridad el contar con un sistema de GPS).

¿De qué trata el caso?

La policía y el FBI colocaron, subrepticiamente y sin contar con una orden judicial, un dispositivo GPS en el auto de Antoine Jones ubicado en una playa de estacionamiento ante las sospechas de que éste era narcotraficante. Jones fue monitoreado por veinticuatro horas al día durante veintiocho días y parte de la evidencia obtenida por las autoridades fue utilizada en el proceso judicial que se abrió en su contra y llevó a su eventual condena. Posteriormente una corte de apelación revirtió el fallo de la instancia inferior al descubrir que la utilización del dispositivo violó la Cuarta Enmienda que indica lo siguiente:

El derecho de los individuos a que tanto ellos como sus domicilios, papeles y efectos se encuentren a salvo de inspecciones y embargos arbitrarios, será inviolable, y no se expedirán para tales efectos ordenes ó autorizaciones que no se encuentren sustentandas en un motivo verosímil (probable cause), estén fundamentados a través de juramento o declaración y describan con particularidad el lugar que deba ser inspeccionado y las personas o cosas que han de ser detenidas o embargadas.

El caso fue elevado a la Corte Suprema y ésta aceptó revisarlo. El clásico análisis de la cuarta enmienda consiste en determinar si la persona contaba con una expectativa de privacidad y si dicha expectativa es una que la sociedad se encuentra preparada para asumir como ‘razonable’. Un análisis nada sencillo pero sobre el cual existe diversa jurisprudencia que ha ido sentando los criterios a tomar en cuenta.

Posiciones de las partes.

Durante la audiencia pública llevada a cabo el pasado 8 de noviembre, el procurador general declaró que la propia Corte Suprema había indicado en casos anteriores que no existía expectativa de privacidad cuando un individuo se moviliza en la vía pública y que la tecnología GPS permitió acceder a información que ya se encontraba expuesta y a disposición de cualquier interesado en acceder a ella. Al respecto cabe precisar que, efectivamente, en United States v. Knotts (1983) la Corte Suprema no calificó como inspección el monitoreo que hizo la policía con un beeper del vehículo de un individuo. Asimismo, indicó que no existió una expectativa razonable de privacidad en su traslado de un lugar a otro a través de la vía pública. En tal sentido la policía no tuvo la necesidad de solicitar un mandato judicial y actuó correctamente.

Por su parte, la defensa indicó que no existiría ninguna expectativa razonable de privacidad en que una autoridad instale un dispositivo subrepticiamente de manera que éste monitoree la vida de un ciudadano veinticuatro horas por veintiocho días.

En el Perú la regulación de la privacidad no goza de un desarrollo profundo y extenso. En todo caso existe culturalmente una preocupación más cercana a la utilización de la información personal por parte de privados que por parte del Estado (contrario a lo ocurrido en Estados Unidos, donde hay mayor presión regulatoria con respecto al accionar del gobierno). Curioso ya que tenemos antecedentes de gobiernos que han hecho uso irresponsable de vasta información personal para fines ilícitos.

El caso resulta interesante además porque plantea muchas interrogantes como dónde queda el límite entre el uso de la tecnología y la esfera íntima del individuo, más aún en aquellos casos donde existen razones de interés público que requieren una acción rápida de las autoridades. Por otro lado que ocurre con las cámaras de vigilancia ciudadana que se encuentran instaladas en diversas ciudades del mundo incluso en Lima, ¿existe ahí una expectativa razonable de privacidad ó en el presente caso nos encontramos frente a una situación distinta?¿el interés público contenido en la seguridad ciudadana implica acaso cierta renuncia de la privacidad? Estaremos pendientes de la resolución final de este caso ya que sentará nuevos criterios dentro de la regulación de la privacidad en Estados Unidos.

Mayores detalles del caso acá

¿Soñó Henry Ford con dirigir un panóptico?, en Gaceta Constitucional

Gaceta Constitucional 44
El número en distribución de la revista Gaceta Constitucional incluye un artículo que he escrito junto a mi amigo el abogado laboralista Felipe Gamboa Lozada. Nuestro artículo se publica dentro de un dossier especial sobre derechos y deberes de los trabajadores al usar las herramientas informáticas que les facilita el empleador, a propósito de una sentencia reciente del Tribunal Constitucional.

Partiendo de la imagen de Henry Ford como ideólogo de la empresa moderna, nos preguntamos si este modelo asumía al trabajador no solo como un insumo sino como un sujeto de derecho. En el centro del debate está la pregunta de qué puede y qué no puede hacer un empleador para controlar la forma en que sus trabajadores usan las herramientas informáticas de las que dispone.

Nuestro estudio parte de un repaso del escenario legal, jurisprudencial y tecnológico que rodea el asunto. Concluímos que el marco legal existente permite al empleador adoptar una serie de medidas de supervisión sobre la forma en la que se utilizan los recursos informáticos de la empresa. Sin embargo, dichas potestades no incluyen el escrutinio de mensajes de comunicaciones personales. El alcance del derecho a la inviolabilidad de las comunicaciones, conforme está denido en la Constitución, obliga a que los mecanismos de intervención sean menos intrusivos en la esfera del trabajador.

También participan del número también Jorge Toyama, Javier Dolorier, Luz Pacheco, Sandro Núñez, Daniel Ulloa, entre otros especialistas. Más información en su página web.

Descarga :
¿Soñó Henry Ford con dirigir un panóptico? Uso y control de herramientas tecnológicas en el centro laboral (pdf)

El registro obligatorio de usuarios de cabinas de Internet


El mes pasado, el Tribunal Constitucional Chileno declaró inconstitucional una norma de la ley contra el abuso infantil que ordenaba la creación de un registro de usuarios de cabinas de Internet. La disposición, aprobada dentro de la ley que sanciona el acoso sexual de menores y pornografía infantil, obligaba a todo establecimiento cuyo negocio principal sea ofrecer Internet a llevar un registro pormenorizado de cada usuario de cada computadora y a condicionar la prestación del servicio a la entrega de los datos personales. Este registro sería de carácter reservado y solo podría ser puesto a disposición del Ministerio Público bajo orden judicial.

En su Sentencia, el Tribunal determinó que la medida afectaba el derecho a la vida privada de las personas, tal como había señalado la ONG Derechos Digitales, al obligarlos a ser parte de una base de datos de posibles infractores por el solo hecho de acceder a Internet. Al mismo tiempo, el Tribunal señaló que no resultaba válido imponer esta obligación a las cabinas de Internet y no a otros espacios como universidades, hoteles o restaurantes que también ofrecían ese servicio.

En Perú debemos de leer esta noticia con cuidado. Nuestra Ley 28119 (.pdf), que prohíbe el acceso a de menores de edad a páginas pornográficas a través de cabinas de Internet, contiene desde el año 2007 una norma similar. Al igual que en el caso chileno, ordena a las cabinas a llevar un registro detallado de todos sus usuarios:

Artículo 5.— Registro de usuarios
Los administradores de cabinas públicas de internet llevan un registro escrito de los usuarios mayores de edad, que incluye el número del Documento Nacional de Identidad – DNI o el documento que, por disposición legal, esté destinado a la identificación personal, número de cabina y hora de ingreso y salida, por un período no inferior a los seis (6) meses.

En el Reglamento de la Ley (.pdf), aprobado en diciembre de 2010, se amplía el registro para incluir también a los acompañantes de los usuarios de las cabinas. Sobre su régimen de publicidad, al Reglamento le basta con indicar que deberá de ser exhibido “cuando así sea requerido por una autoridad competente”. Las sanciones por el incumplimiento de la norma, administradas por una Comisión Multisectorial bajo el ámbito de los gobiernos locales, van desde el cierre por cinco días hasta la clausura definitiva del local.

Siguiendo la línea de lo sostenido por el Tribunal chileno, creo que nuestra norma plantea serios cuestionamientos constitucionales. Entiendo que, en atención al interés superior del menor, pueden plantearse límites a los derechos fundamentales. Sin embargo, creo que en este caso la obligación de entregar los datos personales a los administradores de cabinas, sin las garantías ni las responsabilidades del caso, es colocar en estado de indefensión al ciudadano. Esta obligación, además, pasa por alto el derecho a acceder en forma anónima a la red como parte del derecho a la libertad de expresión. Más aún, exigir este registro podría traer dos consecuencias alternativas: (1) que ninguna cabina lo lleve, por engorroso, como sucede actualmente; o, (2) que, para salvaguardar su privacidad, los usuarios empiecen a preferir otros establecimientos como restaurantes o establecimientos con wifi gratuito lo que afectaría el negocio de las cabinas de Internet.

Por último, en Chile, el propósito de la norma era lograr identificar a los usuarios que no pueden ser identificados porque se conectan desde cabinas de Internet. Aquí, la norma es sobre el acceso de menores a cabinas de Internet y el potencial riesgo que ello entraña. Entonces, ¿por qué resulta necesario un registro? Lo cierto es que el contenido de la Ley y su Reglamento ha sido desarrollado en varias ordenanzas municipales, pero no he encontrado ninguna que recoja la obligación del registro.  ¿A qué se debe esta ausencia? ¿Será que las municipalidades no han querido hacerse cargo de esta obligación desproporcionada?

Foto: Bill Herndon (CC BY-ND)

La privacidad después de Facebook, en Gaceta Constitucional


El número 40 de la revista Gaceta Constitucional, publicación de Gaceta Jurídica, incluye un artículo mío titulado “La privacidad después de Facebook” (.pdf). El artículo describe la problemática existente entre el uso de servicios de redes sociales a través de Internet y el derecho fundamental a la privacidad. En particular, analizo la forma en que los límites de lo público y lo privado han sido redibujados por el influjo de servicios de redes sociales como Facebook y los posibles escenarios de vulneración del derecho a la privacidad en estos entornos.

Agradezco al equipo editorial de Gaceta Constitucional por haber tenido la gentileza de volverme a invitar a participar en su revista. Pueden visitar su página web para enterarse de dónde y cómo pueden adquirirla.

Avanza la Ley de Protección de Datos Personales

Existe un género de leyes en Perú que nunca llegan a aprobarse. Entre ellas, junto a la Ley Orgánica de Bases de la Administración Pública o la Ley General del Trabajo, hasta hace unos meses descansaba la Ley de Protección de Datos Personales. El año pasado, sin embargo, saludamos con entusiasmo que por fin haya una voluntad firme desde el Ejecutivo por lograr su aprobación y se lleve la discusión al Congreso. Actualmente, el Proyecto se ha nutrido de algunos comentarios y la Comisión de Justicia y Derechos Humanos del Congreso ha emitido un dictamen favorable y publicado el texto sustitutorio [pdf], que está pendiente de discusión en el Pleno del Congreso.

Qué es y qué no es

No voy a explayarme sobre el contenido y finalidad de este Proyecto de Ley. Basta decir que, en esencia, pretende establecer la obligación legal para todo aquel agente público o privado que trate información personal (números de teléfono, correos electrónicos, entre otros) de informar y transparentar sus prácticas con el mercado. Para mayores señas, sugiero leer los varios artículos de Oscar Montezuma al respecto.

Creo que su promulgación ayudará a ordenar nuestro sistema legislativo sobre el tema y nos pondrá al nivel de nuestros socios comerciales. Actualmente, la preocupación por estos temas es absolutamente formal y no hay mayor conciencia sobre su importancia. De aprobarse, agentes públicos y privados serán más cautelosos con lo que hacen y no hacen con nuestros datos privados y la forma en la que redactan sus contratos. Intenten googlear parte de los Términos de Uso de El Comercio y se darán cuenta de que son las mismas que hay en otros cientos de páginas web. Además, dará un marco legal a una serie de iniciativas de modernización del Estado, interoperabilidad e interacción entre públicos y privados para lograr un mejor servicio al ciudadano.

Pero tampoco es que estemos descubriendo la pólvora. Como sucedió en el caso de la tristemente celebrada Ley Antispam, la promulgación de esta Ley no cambiará nada si no existe la voluntad política y la capacidad institucional de hacerla cumplir. ¿O acaso desde que tenemos una Ley Antispam dejamos de recibir SPAM? De hecho, la única sanción por SPAM impuesta en Perú demoró dos años en tramitarse ante Indecopi solo fue de 5 mil dólares. Con ese precedente, y las herramientas tecnológicas necesarias, hay un gran espacio para el incumplimiento eficiente de la norma.

De la misma forma, esta Ley es y no es lo que dice ser. Para empezar, actualmente ya es posible iniciar un poceso de hábeas data ante cualquier amenaza o violación del derecho a la privacidad de datos personales. Es decir, no viene a defendernos de nada de lo que no podamos defendernos actualmente. El propio Proyecto de Ley lo reconoce y señala que el nuevo procedimiento administrativo ante la Autoridad Nacional de Protección de Datos Personales no constituirá una vía previa. Probablemente, esta Autoridad no será más que una oficina lúgubre dentro del Ministerio de Justicia, sin una partida presupuestal propia ni mayores fondos que las multas que imponga. ¿En esas condiciones hará cumplir la norma?

La polémica con Google

Esta semana, han aparecido en varios medios las declaraciones de Pedro Less, representante de Google en Latinoamérica, manifestando su disconformidad con el Proyecto de Ley. Concretamente, lo que a Less le parece cuestionable es que se requiera del consentimiento previo y expreso por parte de cada persona respecto de las condiciones en que se tratarán sus datos. Cabe señalar que este artículo no ha sido introducido de contrabando, sino que se encuentra desde sus primeras versiones.

Artículo 13.— Alcances
(…)
13.5. Los datos personales sólo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.

Esto significa que todo sitio web que intente tratar mis datos personales (que pueden ir desde correos electrónicos hasta información sobre IPs y preferencias) deberá de contar con mi consentimiento expreso. Conforme al Código Civil, donde la ley dice expreso no puede operar un consentimiento tácito. A Google, este asunto le preocupa porque significa que necesaitará de que los usuarios hagan clic en “Aceptar” antes de que ofrezcan sus servicios de búsqueda y eso, obviamente, le quitaría toda la gracia a su servicio.

Pero las cosas no son tan malas como las pintan. Para empezar, la norma solo será aplicable a quienes realicen el tratamiento de datos personales en el territorio nacional. Es decir, ni Facebook, ni Twitter, ni Foursquare, ni ninguna empresa domiciliada legalmente y cuyos servidores están en el extranjero será obligada a cumplirla (a diferencia de la norma europea, que sí amplía su aplicación a otros territorios). En el caso de que algún sitio en Internet trate los datos en Perú, le será de aplicación el artículo 18 del propio Proyecto, que establece una excepción interesante.

Artículo 18.— Derecho de Información
(…)
Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesíbles e identificables.

Es decir, el derecho de información del usuario puede verse satisfecho con la publicación y puesta a disposición de Políticas de Privacidad accesibles e identificables en el sitio. Al existir una disposición particular para Internet, creo que se cumple el requisito de contar con una “ley autoritativa al respecto” para exceptuarnos de recabar un consentimiento expreso señalado en el Artículo 13.

En el caso particular de Google, existen dos escenarios. Los usuarios que acceden estando logueados con su cuenta Google y aquellos que acceden libremente. En el caso de los usuarios registrados, esta autorización ya se dio en forma expresa e inequívoca al aceptar las Políticas de Privacidad durante el procedimiento de registro (contrato click). Por otro lado, los usuarios que entran libremente a usar sus servicios tienen a su disposición como uno de los pocos links de la página las Políticas de Privacidad (contrato browse). Esto, en mi interpretación, también significaría cumplir con la norma. Además, según el artículo 14.8 del Proyecto, Google podría optar por anonimizar los datos recopilados de los usuarios no registrados (enmascarar el IP o disociarlo de la fecha, búsqueda, navegador y OS) y, de esa forma, no necesitar de autorización expresa del titular de los datos personales.

Tanto la ley chilena como la argentina exigen un consentimiento expreso, por lo que no veo cuál es la gran preocupación dado que Google ha establecido su operación en ambos países. El problema de permitir que basta con una autorización tácita para el tratamiento de datos personales es la posibilidad de que se cometan abusos. Si actualmente nadie lee las Políticas de Privacidad, peor sería la situación si las empresas ni siquiera están obligadas a publicarlas o informar que se hará el tratamiendo de datos. De la misma forma en que no puede haber una autorización tácita para usar mi propia imagen o voz, no puede existir una autorización tácita general para tratar datos personales. A este respecto, el nivel de protección impuesto por la ley me parece el adecuado con la flexibilidad señalada para sitios web.

Foto: Luca Cerabona (CC BY-NC-ND)

Uso de Internet en el trabajo: el turno del Ejecutivo

El uso de Internet en el centro de trabajo y los límites del empleador para supervisarlo parecen ser el tema de moda en el derecho laboral peruano. Pocos días después de que una congresista presentara una propuesta legislativa sobre el tema, el Poder Ejecutivo ha enviado al Congreso su propio Proyecto de Ley [pdf] sobre el asunto. Si bien el Proyecto del Ejecutivo va en el mismo sentido que el anterior, mejora su técnica legislativa en varios aspectos:

  • En lugar de distinguir según la propiedad del recurso informático, el Proyecto define taxativamente los medios informáticos que el empleador puede proporcionar al empleado y sus fines (ej. uso de Internet para buscar información, uso de redes sociales para contacto con clientes, entre otros). A contrario, todo medio y uso no amparado se entendería como parte de las comunicaciones privadas del trabajador y no podría ser inspeccionado sin orden judicial.
  • Respecto del uso de los medios informáticos contemplados, el empleador deberá de elaborar unas Políticas de Uso Aceptable que regulen la forma en la que autoriza al trabajador a usarlos. Estas Políticas deberán de comunicadas al trabajador previamente a la entrega de los recursos. De no existir, se presumirá que su uso es ilimitado.
  • Sin embargo, la no existencia de un documento de Políticas de Uso Aceptable no significa que el trabajador podrá hacer un uso “irracional” o “desproporcionado” de los medios electrónicos. Así mismo, tampoco enerva la posibilidad de que el empleador implemente medidas tecnológicas de bloqueo de tráfico o filtros de contenido.
  • El empleador queda autorizado a usar los medios “técnicamente idóneos” para que, en ejercicio de su poder de fiscalización, supervise el uso adecuado de los medios informáticos otorgados al trabajador conforme a las Políticas. Esta potestad, sin embargo, no podrá significar la interceptación o acceso al contenido de las comunicaciones privadas enviadas o recibidas por los trabajadores.

Al igual que el anterior, este Proyecto no va a cambiar mucho para la mayoría de nosotros. Casi todas las empresas filtran en mayor o menor medida el uso de los medios informáticos por parte de sus trabajadores. Estos intentos de regulación sirven para poder contar con un límite claro entre aquel terreno en el que puede entrar un empleador (ej. limitando la posibilidad de que un trabajador descargue documentos del Intranet hacia una memoria USB) y aquel donde su irrupción es afecta derechos fundamentales (ej. inspección de la cuenta de correo personal del trabajador). Ahí el límite es importante porque las empresas no quieren jugarse la posibilidad de luego ser demandados por violación de las comunicaciones si los límites entre lo que es comunicación privada y comunicación con fines laborales no están claros.

De aprobarse tal cual, espero que el Reglamento aclare lo de uso “irracional” o “desproporcionado” en los casos en los que no existen Políticas de Uso Aceptable. Dejar demasiado abiertas esas definiciones funcionaría como un incentivo perverso para los empleadores: ¿por qué tendría que elaborar y hacer firmar unas Políticas de Uso Aceptable si luego puedo decir libremente que tal o cual uso –según cómo lo argumento– es desproporcionado?

En la práctica, la historia nos ha enseñado que no hay ningún mecanismo de control que sea perfecto. Personalmente, creo que las empresas deberían limitarse a controlar todo uso que pueda poner en riesgo la información de la empresa, como prohibiendo el copiado de determinados archivos o volúmenes. Un excesivo interés en bloquear páginas de ocio y distracción a sus empleados, además del obvio malestar, podría desencadenar una carrera de brazos entre el área de sistemas y los demás empleados, que solo redundaría en sobre costos en recursos informáticos y pérdida de horas-hombre.

Regulando las comunicaciones electrónicas en el trabajo

La semana pasada se presentó en el Congreso el “Proyecto de Ley que regula el uso de las nuevas tecnologías en centros laborales públicos y privados” [pdf]. Se trata del segundo proyecto que presenta la parlamentaria Lazo de Hornung (Alianza Parlamentaria) referente al mismo tema. El anterior se presentó el 2007 y, luego de tres años en Comisión, fue archivado hace unos días por considerarse que ya existía una norma sobre el tema.

El Proyecto pretende establecer un límite entre el poder de fiscalización del empleador y los derechos fundamentales a la intimidad e inviolabilidad de las comunicaciones del trabajador de cara a las distintas medidas tecnológicas de control de las comunicaciones. Así, el criterio que establece es el de la propiedad del recurso tecnológico:

  1. si el medio de comunicación ha sido proporcionado por el empleador, es de propiedad de éste y puede ser inspeccionado previa autorización escrita del trabajador (que puede darse como cláusula en el propio Contrato de Trabajo o Reglamento Interno); y,
  2. si el medio de comunicación fue contratado directamente por el trabajador (como una cuenta de correo personal o en una red social) es inviolable y no puede ser objeto de inspección por parte del empleador.

Además, el Proyecto establece el derecho del empleador a “dar seguimiento” a los sitios web visitados por sus trabajadores y a bloquear o limitar los que considere pertinentes. Interpretado según el ánimo de la norma, entiendo que este “seguimiento” no podría suponer un acceso directo al contenido de las comunicaciones (ej. captura de pantalla) porque podría afectar el derecho a la inviolabilidad de las comunicaciones del trabajador. Por tanto, debería limitarse a monitoreo externo como listas de sitios web más visitados o listas de empleados que usan más el ancho de banda.

El precedente más importante sobre estos temas en nuestro país es el de García Mendoza v. Serpost donde un trabajador fue despedido por enviar material pornográfico a través del correo electrónico de la empresa. En esa oportunidad, el Tribunal Constitucional (TC) determinó que un medio de comunicación, aunque hubiese sido provisto por el empleador, se encontraba protegido como comunicación privada y era, por tanto, inviolable.

El Proyecto amplía los poderes del empleador establecidos por el caso García Mendoza v. Serpost. El TC había dicho, conforme al artículo 2.10 de la Constitución, que la única forma que tenía el empleador de intervenir en las comunicaciones personales era a través de un mandato judicial (Uso de internet en el trabajo, pensando en voz alta). Pero el Proyecto plantea que el empleador quede autorizado a intervenir en los medios de comunicación asignados al trabajador en el marco de una relación laboral en virtud de una autorización previa, que puede darse en la forma de autorización sábana incluída en el Contrato de Trabajo o Reglamento Interno. Es una buena noticia para los empleadores, que verán reducidos los costos de fiscalización de sus empleados, pero me preocupa la posibilidad de admitir autorizaciones sábana que faculten al empleador a inspeccionar en cualquier momento el contenido de las comunicaciones privadas del empleado (así sean a través del correo electrónico de la empresa). Un procedimiento más moderado, que no necesitaría de una nueva norma, sería que los empleadores recaben la autorización ad hoc del empleado para realizar la inspección. Cuando se trata de límites a derechos fundamentales, la autorización debe de ser expresa e individualizada y no genérica.

Respecto del uso de páginas web y, en especial, de servicios de redes sociales el Proyecto no trae nada nuevo. Bajo el marco legal actual ya era posible que un empleador bloquee o limite el acceso a ciertas páginas web a través de sus servidores en ejercicio de sus derechos de propiedad sobre los servidores. La norma está dirigida a la optimización de los recursos tecnológicos de la empresa, sin entrar en el espinoso tema de los límites a la libertad de expresión del trabajador en servicios de redes sociales cuando se expresa desfavorablemente de la empresa o comparte información confidencial. Sutileza que, por lo demás, debería analizarse caso por caso y no bajo una norma general.

Foto: The IT Crowd / IFC

Regulación sobre datos personales y publicidad basada en identidad

Hace poco hablaba sobre el manejo de datos personales por parte de los proveedores de servicios en un mercado online cada vez más basado en la identidad y no en la privacidad de sus usuarios. Así, conforme crece la demanda de contenidos en Internet y sus aplicaciones se hacen más sofisticadas, surgen modelos de negocio cuyo ingreso se sustenta en ofrecer publicidad dirigida a grupos de consumidores específicos seleccionados utilizando la información que poseen de ellos como edad, gustos, ciudad.

En un artículo reciente, Online Advertising, Identity and Privacy, Randal Picker ensaya la teoría de que cuando la regulación establece que ciertos agentes pueden usar la información libremente y otros están sujetos a una serie de obligaciones legales para hacerlo, modificamos sustancialmente el equilibrio competitivo de un mercado. Sin embargo, precisa, eso no significa que debamos construir nuestra regulación desprotegiendo por completo a los usuarios. Por el contrario, propone diseñar un marco legal que propicie el equilibrio entre el uso de información personal con fines comerciales y el derecho de los usuarios.

En este escenario, según Picker, importa mucho dónde se coloque la regulación sobre privacidad frente a la publicidad basada en identidad y en comportamiento del usuario, al ser un mecanismo de financiamiento privilegiado. El modelo de regulación clásico, pensado para casos como el envío de publicidad no deseada, impide a las empresas utilizar la información de sus usuarios sin su consentimiento previo. Pero nuevos usos de esa información, como mostrar publicidad basada en identidad, nos hacen replantearnos este modelo si tenemos en cuenta que financia la mayoría de contenido gratuito y, cuando no lo hace, puede ser útil ver publicidad basada en su perfil (ej. las recomendaciones de compra Amazon). La pregunta es si dicho permiso debe ser un ajuste por defecto y con opción a restringirlo por parte del usuario del servicio (sistema opt-out) o un ajuste que el usuario podría implementar manualmente si lo desea (sistema opt-in).

Dos respuestas distintas

En Estados Unidos, la Federal Trade Comission ha emitido cuatro principios de autorregulación para la publicidad basada en identidad y comportamiento (como la de Facebook o la de Google, si usa mi historial de búsquedas anteriores) invocando a las empresas a transparentar sus prácticas al respecto, obtener autorización expresa siempre que se trate de datos sensibles (salud, finanzas) o cambie sus políticas y tomar las medidas de seguridad razonables para proteger los datos. Sobre la pregunta del ajuste por defecto, ha optado porque los servicios puedan usar sistemas opt-in u opt-out y que sean los usuarios quienes modifiquen sus preferencias de consumo según el sistema con el cual se sientan más cómodos. Se ha excluído expresamente de estos principios los supuestos de publicidad de la propia empresa y la publicidad contextual (AdWords) porque considera que, en estos casos, no hay potenciales brechas de privacidad.

Sigue leyendo

De cómo nuestros datos personales salvarán la industria de contenidos

Hay algo que me llama la atención en la ficción sobre sociedades futuristas. Quizás inspiradas en la producción industrial en serie, muchas distopías previas a la masificación de Internet presentaban la sociedad del futuro con un gran tendencia a la homogenización, donde cada persona había perdido su identidad y era clasificada en grupos. (ej. El ProcesoBrave New World, 1984). Mucha de la ficción post Internet, en cambio, propone una sociedad en donde el mercado tiende a diversificar y personalizar su oferta al punto que los seres humanos han perdido toda exposición a cosas que no sean de su interés como abrir un diario o ver la televisión sin saber qué programa va a dar (ej. Minority Report, Wall-E, Idiocracy).

La principal diferencia entre ambos modelos de sociedad es la existencia de productos y servicios inteligentes: capaces de modificarse según cada usuario. Pensemos en la escena de Minority Report en donde el protagonista es recibido en una tienda de GAP por un holograma que lo llama por su nombre y le pregunta cómo le fue con su última compra. Nada muy lejano a la forma en la que Google o Youtube muestran anuncios en base a nuestro historial de búsqueda o Facebook coloca la publicidad de acuerdo con nuestros intereses, ciudad o grupo de amigos.

Los datos personales como forma de financiamiento

Otra cosa en común que tienen Google y Facebook es que son gratuitos. No nos cobran por usar el correo, ni por almacenar nuestras fotos, ni por ver videos en Youtube. Su única fuente de ingresos es la publicidad. Para cualquier anunciante, la inversión en publicidad está directamente relacionada con la posibilidad de que sea vista por su público objetivo, los clics hechos y la rentabilidad que ello le pueda generar. Si los medios en los que anuncian son capaces de asegurar que el público objetivo del anunciante verá su publicidad, el anunciante estará dispuesto a pagar más y los medios (Google o Facebook) podrán mejorar sus servicios y se asegurarán de colocar publicidad poco intrusiva. Tener acceso a la información personal de sus usuarios, por ende, no solo beneficia su negocio sino que también beneficia a sus usuarios, quienes siguen disfrutando de los servicios en forma gratuita.

Pero esto no es nada nuevo. Quien anuncia a en un concierto de Grupo 5 quiere llegar a un público distinto del que anuncia en uno de La Mente. Comprar un determinado producto o servicio revela mucha información sobre nosotros y eso le permite a un anunciante mejorar la eficacia de su publicidad. Durante los primeros años de Internet, esto era complicado porque un sitio web sabía relativamente poco sobre sus visitantes. El no saber quién y dónde verá la publicidad fue siempre una traba para el financiamiento de los servicios en línea. La materialización del sueño de una red de usuarios con nombre propio como la de Facebook, por el contrario, está permitiendo que servicios de calidad como Gmail o Twitter sean gratuitos.

De hecho, esta podría ser la solución al gran problema del financiamiento de las industrias de contenidos en Internet. Pensemos en Spotify, una aplicación que permite acceder a una biblioteca de más de ocho millones de canciones sin necesidad de descargarlas y en óptima calidad. Existe un servicio gratuito y uno de pago. El gratuito está financiado por publicidad, que se muestra en la pantalla como un banner y se escucha por veinte segundos cada cierto número de canciones. Nuevamente, la información que recolecta la empresa sobre nuestra localización geográfica, hábitos de escucha y su reciente integración con Facebook le permite subir el costo de sus anuncios y financiar su servicio retribuyendo a las discográficas y artistas. Cada vez un número mayor de servicios empiezan a ver este modelo como viable (Grooveshark, Hulu).

En un reciente artículo, Online Advertising, Identity and Privacy, Randal Picker ensaya la tesis de que cuando la regulación establece que ciertos agentes pueden usar la información libremente y otros están sujetos a una serie de obligaciones legales, modificamos sustancialmente el equilibrio competitivo de un mercado. A los argumentos de Picker y a lo que nuestro propio proceso legislativo de protección de datos personales puede aprender de este nuevo escenario dedicaré mi siguiente entrada.

Foto: Chloe Lorena ©

¿Cambiará Facebook nuestra forma de entender la privacidad?

Facebook

Hemos perdido la cuenta de la cantidad de veces que Facebook ha cambiado sus políticas de privacidad. La EFF ha contado hasta seis etapas distintas entre 2005 y 2010 en las que progresivamente Facebook ha ido modificando los términos de su servicio y haciendo públicos datos inicialmente privados. El número de usuarios de su servicio, sin embargo, ha crecido exponencialmente durante ese mismo período. Se calcula que el 70% de sus usuarios entran al menos una vez al día al sitio, lo que ha puesto a la empresa en una curva ascendente que parece no tener límites. Los 800 millones de dólares en utilidades al 2009 lo confirman. Una reciente iniciativa para que la mayor cantidad de usuarios abandonen el servicio en una fecha determinada fue un rotundo fracaso. ¿Acaso la privacidad de los datos personales ha dejado de importarnos? ¿Facebook está escribiendo los estándares de privacidad que regirán esta década?

Una primera objeción a esta hipótesis: quien no quiere correr el riesgo de que sus información privada sea expuesta públicamente, se abstiene de publicarla en la red social. Completamente cierto. Quien decide hacerlo, sin embargo, no renuncia inmediatamente al control sobre sus datos sino que se sujeta a un contrato, expresado en los Términos del Servicio y la Política del Privacidad de Facebook. El problema es que este contrato de adhesión ha sido modificado unilateralmente por Facebook al punto de decir exactamente lo contrario de lo que decía hace pocos meses. La siguiente tabla incluye la primera versión de las Políticas de Privacidad y sus tres últimas modificaciones.

El día de hoy, respecto de mi Información General, puedo elegir que ciertos usuarios no la vean pero no le puedo restringir a Facebook la posibilidad de intercambiarla con otras páginas y aplicaciones. Salvo, claro, que elimine esa información de Facebook.

“La era de la privacidad ha terminado”

Pese a estos cambios, el crecimiento de Facebook en número de usuarios y visitas ha seguido. De hecho, desde que introdujo el Open Graph e hizo los cambios en abril de 2010, ganó diez millones de usuarios nuevos durante el mes siguiente y esta cifra sigue creciendo. Detrás de este fenómeno podrían existir dos tipos de causas:

  1. Un primer grupo de usuarios de Facebook no ha comprendido bien los cambios y lo que éstos significan para su privacidad porque no los ha leído. En su versión en español, las Políticas de Privacidad de Facebook hacen más de 6000 palabras. Aunque la empresa se ha esforzado en comunicar estos cambios en forma sencilla, probablemente estos usuarios encuentren engorroso leer las Políticas de Privacidad o no lleguen a comprenderlas.
  2. Otro grupo de usuarios, conociendo los cambios, ha seguido prefiriendo el servicio porque no les importa que dicha información sea pública. O quizás sí les importa pero valoran más el continuar perteneciendo a la red social, lo que significa que les importa poco. Sospecho que esta sería la reacción de la mayoría de usuarios del primer grupo si llegaran a conocer las Políticas.

Facebook recibió similares críticas cuando incluyó el News Feed de actividad reciente de tus contactos (¿cómo así Facebook va a empezar a comunicar mi actividad a mis contactos sin mi permiso?). Hoy en día, nadie puede concebir Facebook sin esa función y ha sido incorporada también en otras redes sociales. Es probable que lo mismo llegue a pasar con este tipo de información, pese a la presión de la Comunidad Europea y de algunos senadores estadounidenses. La gran pregunta es si Facebook está cambiando nuestros límites entre lo privado y lo público, imponiéndonos la apertura que conviene a su modelo de negocio, o si somos nosotros los que estamos desarrollando nuevas formas de relación en las que entendemos que estos datos ya son públicos y Facebook simplemente se adapta a esto.

La era de la privacidad ha terminadodijo en enero Mark Zuckerberg y añadió que, si inventara Facebook de nuevo, toda la información sería pública por defecto. Para Zuckerberg, de veintiséis años, los cambios en sus Políticas de Privacidad solo reflejan la nueva forma que tiene la gente de conectarse. Como ellos lo ven, sus Políticas solo se han ajustado a la dinámica del intercambio de información e interacción actual. Comunidades sustentadas en la compartición como Tumblr, Twitter y ccMixter nos han demostrado que, para muchos, el nuevo paradigma es que todos puedan usar el contenido de todos. ¿Por qué  no podría darse una flexibilización similar en la privacidad? No sería la primera vez que la tecnología modifique las normas sociales.

Pero sospecho que Facebook está lejos de ser un agente pasivo en esta revolución. Henry Ford decía que, si él le hubiese preguntado a sus consumidores, ellos habrían pedido tener un caballo más veloz. La “nueva privacidad” es un producto de un sistema compuesto por: (1) la apuesta de Facebook, (2) la respuesta de sus usuarios, y (3) la regulación legal sobre privacidad. Por lo demás, nada muy distinto de la forma en la que se ajustan las condiciones en cualquier otro mercado competitivo (porque es competitivo, otra cosa es que Facebook tenga una buena cuota de mercado pero los usuarios tienen toda la chance de elegir otros servicio idénticos).

Facebook va a seguir presionando para lograr mayor apertura porque eso conviene a su negocio y dejará de hacerlo cuando sus hoy 500 millones de usuarios empiecen a abandonar su servicio o cuando el sistema legal se lo prohíba. En este tira y afloja, es importante que los usuarios comprendan a qué estamos renunciando cuando compartimos información en Facebook y pensemos si nos sentimos cómodos con ello. El sistema legal de Estados Unidos (donde se almacena la información) permite que el manejo de datos privados se regule por los términos del contrato y no intervendrá hasta que Facebook no incumpla el contrato (escenario lejano, si puede cambiarlo casi a su antojo). La interacción entre los usuarios y el sistema legal podría darse si un Estado solicita a Facebook entregarle cierta información privada y Facebook se ve obligado a revelarla (bajo la legislación post 9/11 es totalmente posible). Los usuarios, frente a este nivel de exposición y compromiso, también podrían responder negativamente abandonando el servicio. Bajo esta perspectiva, no tendremos un sistema de privacidad estático sino dinámico. Pero, al ser producto de un sistema del que somos parte, también nos asegura un poder de participación nada desdeñable.

Ilustración: Flickr, Gianluca Costanini ©