La privacidad en tela de juicio. La publicidad basada en la navegación efectuada en Internet

Los nuevos medios de comunicación interactivos en general e Internet en particular, se han convertido en un canal idóneo para el suministro de bienes y/o servicios a través de un intercambio de información cada vez más relevante. Los datos personales que los interesados, consciente e inconscientemente, ofrecen para obtener determinados servicios –tanto gratuitos como onerosos- son de tal importancia –desde el punto de vista cuantitativo y cualitativo- que permiten un uso realmente amplio en múltiples escenarios como, por lo que a nuestros efectos interesa, es el caso de la publicidad basada en la navegación que, si no se cumplen ciertas previsiones, puede llegar a suponer una violación de la privacidad.

En la actualidad, es relativamente habitual que la industria elabore perfiles de consumo, individual o familiar, así como análisis de preferencias a partir, como decimos, de la información procedente de la simple navegación del usuario. El simple acceso a Internet deja un rastro digital que podrá ser seguido. De hecho, al ser progresivamente mayor el número de actividades que cotidianamente realizamos en la Red, irá aumentando la información que sobre nuestra persona tienen ciertas empresas que operan en Internet.

Los procedimientos basados en la navegación en virtud de los que podrán recopilarse datos de carácter personal con fines comerciales son realmente amplios. Así, como veremos, existen, en primer lugar, ciertas técnicas como, entre otros, son las cookies, troyanos, spyware y web bugs que pueden monitorizar el comportamiento del usuario. En segundo término, además de los métodos de rastreo mencionados, procede referirse a la configuración del equipo –resolución de pantalla, idioma, colores, sistema operativo, navegador, versión del mismo, versión de java, y un largo etcétera- que se conecte a Internet que, sin recurrir a las prácticas anteriores, por sí mismo, revela cuantiosos datos personales. Este último extremo fue puesto de manifiesto a través del estudio denominado Panopticlick que pone de relieve que los navegadores, sin que los usuarios lo sepan, dejan una huella única que los hacen inconfundibles en Internet. Algo que, si se nos permite la expresión, podría ser calificado como el “ADN digital”. Pero las herramientas disponibles van más allá dado que existen ciertos programas que efectúan búsquedas en Internet con la finalidad de acumular datos personales. En este último sentido, una noticia publicada en el Minneapolis Star Tribune ponía de manifiesto cómo se podía elaborar una detallada bibliografía de una persona elegida al azar utilizando tanto esos programas a los que aludíamos como la información recogida en los grupos de discusión de la Red en los que ese individuo participó. Ese periódico, en concreto, logró obtener la dirección de la persona, su número de teléfono, lugar de nacimiento, estudios, profesión, lugar de trabajo, aficiones, clase favorita de cerveza, restaurantes frecuentados, lugares de vacaciones.

Para, precisamente, poner freno a la imparable amenaza que el uso de ciertos servicios interactivos con fines publicitarios representan para la privacidad, se han aprobado un elenco de normas legales comunitarias y nacionales que se ven complementadas con las iniciativas fruto de la autorregulación de la industria.

Las huellas digitales son susceptibles de rastreo

Los datos de carácter personal, en la actualidad, tienen un extraordinario valor. En este sentido, los perfiles constituidos se compran y se venden a un precio nada desdeñable y, lo peor de todo, se trata de una actividad invasiva de nuestra intimidad, pues, en muchas ocasiones, no habrá resultado, en absoluto, conocida ni, mucho menos, consentida. Existen numerosos mecanismos tecnológicos ideados para tal fin cuales, entre otros, son, las cookies, troyanos, spyware y web bugs. Estas aplicaciones y otras similares pretenden monitorizar nuestro comportamiento en la Red. Obviamente, cuanto mayor sea el tiempo que estemos conectados, más elevado será el volumen de información de carácter personal que tales instrumentos recopilen. Las conexiones dejan huella que, junto los datos obtenidos por tales técnicas, pueden llegar a identificarnos, vulnerando, de este modo, nuestra privacidad. No debe pasarse por alto que no resulta necesario celebrar electrónicamente un contrato para que se aporten datos personales. Simplemente es suficiente con comenzar a navegar por Internet para que, de forma tanto consciente como, en muchos casos, inconsciente, se aporten datos personales.

Sería ingenuo manifestar que el único móvil que puede tener el recurso a estas técnicas es exclusivamente de índole comercial, ya que, entre otros fines, pueden utilizarse para controlar a los trabajadores, o fines de seguridad nacional, si bien nos centraremos en aquél aspecto por ser el que más interesa a efectos del presente trabajo.

El potencial de esta información es enorme, desde la perspectiva del marketing, pues con la misma se podrán ofrecer productos o servicios adicionales, sean propios –venta cruzada- o de terceros –productos complementarios- remitir correos electrónicos, lo más personalizados posibles sobre bienes y/o servicios que pudieran, o debieran, interesar a su destinatario, redireccionamiento de la publicidad o retargeting -dirigido a los usuarios que visitaron una tienda virtual (pero que no compraron nada), animándoles a regresar por medio de publicidad segmentada en los sitios Web que visiten posteriormente-, etc. En definitiva, un elenco de posibilidades realmente amplio para los prestadores de servicios que enlazan con la denominada publicidad comportamental. Seguidamente, haremos, de manera somera, alusión a algunos de los instrumentos técnicos ideados para monitorizar la navegación de los usuarios. Se trata de los ya mencionados cookies, troyanos, spyware y web bugs.

Las cookies son pequeños ficheros de texto, que algunos servidores Web piden a nuestro navegador -Internet Explorer, Firefox, Opera, Safari, Chrome, etc.-, que escriben en nuestro disco duro información sobre lo que hemos estado haciendo en sus páginas. La cookie está formada por el nombre del usuario configurado en el navegador, seguido del símbolo arroba (@), y el nombre del servidor que envía la cookie, más la extensión “txt” que la identifica como fichero de texto.

Las cookies pueden clasificarse en función de dos criterios. En primer término, en atención a su duración, puede distinguirse entre cookies de sesión o temporales –sólo se requieren mientras se mantiene la sesión del usuario y al finalizar ésta desaparecen- y permanentes o definitivas –subsisten en el ordenador tras la finalización de la conexión pudiendo ser recuperadas por el servidor en posteriores sesiones-. Los objetivos de ambas modalidades son, entre otras, ahorrar tiempo al usuario –al identificarle como miembro, y, de este modo, no tener que pedirle en cada ocasión que introduzca la identificación del usuario y la contraseña- y ofrecerle información personalizada. En segundo lugar, desde el punto de vista de su procedencia, podemos hablar de cookies de primeros –las originan el propio sitio Web que se está visitando- y cookies de terceros –procede de un sitio Web diferente, generalmente se colocan por empresas de publicidad en Internet-.

Una modalidad de cookies particularmente espinosa, por los efectos vulneradores de la privacidad, son las cookies basadas en la tecnología fash –llamadas también supercookies-. Se trata de cookies relativamente desconocidas para los propios navegadores, dado que, como regla general, no se pueden controlar a través de la configuración de privacidad del navegador. En otras palabras, no son las cookies que podríamos calificar de tradicionales, a las que, dicho sea de paso, ya nos hemos referido, sino que sólo trabajan en flash. De esta manera, volviendo a insistir en lo que hemos adelantado, aunque el usuario tenga preconfigurado el navegador, en modo de navegación segura, no es óbice para que las cookies flash realicen la labor para la que han sido concebidas. Aunque la finalidad de esta tipología de cookies parece ser la misma que las que ostentan carácter tradicional –publicidad basada en el comportamiento o publicidad comportamental-, son, si cabe, más invasivas de la privacidad, dado que, entre otras actuaciones, pueden recuperar cookies de rastreo tradicionales borradas o rechazadas previamente por el usuario.

En cuanto a los troyanos (como los trap doors o puertas falsas –que consisten en la introducción en los sistemas informáticos a través de accesos o puertas de entrada no previstas en las instrucciones de aplicación de los programas-, logic bombs o bombas lógicas -únicamente se activan bajo ciertas condiciones, cual, entre otras, es una determinada fecha, la existencia de un fichero con un nombre, o el alcance de un número de ejecuciones del programa que contiene la bomba- y data diddling o modificación de datos –que se refiere a la alteración desautorizada a los datos o del software del sistema, incluyendo borrado de archivos-), cabe decir que son instrumentos que establecen, de forma automática y oculta para el afectado, determinadas instrucciones en los programas instalados en el ordenador para, de este modo, lograr cierta información del usuario.

Los spyware son programas espía que monitorizan el comportamiento de los consumidores y, adicionalmente, ocasionan fallos en el rendimiento y estabilidad de los ordenadores. Podemos diferenciar tres grandes tipos de spyware: 1) el snoopware, que son los keystroke loggers –lectores de las pulsaciones del teclado- y las utilidades de captura de pantalla; 2) el adware y aplicaciones similares empleadas para seguir el comportamiento del usuario y aprovechar su conexión a Internet; 3) los identificadores únicos de los programas o del hardware, campo en el que es habitual referirse a los espías de Microsoft e Intel. Debe, además, subrayarse que los spyware rastrean información sobre hábitos de consumo y navegación sin que el usuario lo sepa y, normalmente, se conectan a un servidor de la compañía que los distribuyó para transmitírsela. Asimismo, procede destacar que comienzan a funcionar solos, sin conocimiento ni consentimiento del usuario, hacen un uso no autorizado del ordenador y transmiten información personal.

Respecto a los web bugs, también denominados bichos o escuchas en la Red, “píxeles transparentes”, “web beacons”, tienen que ver con actuaciones inconscientes cuya repercusión podría pasar desapercibidas. En efecto, para registrar y rastrear la apertura de un documento –por ejemplo, un correo electrónico- por Internet, se incluye en el mismo una imagen vinculada a un servidor distinto al que aloja la página Web que estamos visitando. Son gráficos, de un píxel por un píxel, que instalan un programa en el disco duro con la finalidad de leer todas las cookies incluidas en el mismo. Cuando se abra la página Web se pedirá al servidor ese archivo y quedará registrada la IP -Internet Protocol- del solicitante. El hecho de solicitar la imagen vinculada permitirá recabar, entre otras cuestiones, la dirección IP del ordenador, la fecha y hora en que se visitó la página Web donde estaba insertada la imagen, el tipo y versión de navegador del consumidor o usuario, su sistema operativo, el idioma predeterminado o los valores de cookies. De esta manera, se consigue efectuar el seguimiento de los usuarios.

Los mail bugs son los bugs que se incorporan en los mensajes de correo. Cuando se procede a la visualización del mensaje de correo electrónico, la imagen se descargará del servidor. Al ser incorporadas a los mensajes de correo electrónico, enviarán información que revelarán que el mensaje que lo contiene ha sido abierto, verificando, de este modo, que la dirección receptora es real. Una vez realizada esta comprobación, esta dirección podrá ser utilizada para el envío de correos electrónicos no solicitados –spam-. Si el mail bug contiene un identificador único podría ser empleado para determinar si un mensaje es enviado.

Hacia la plena transparencia de la publicidad basada en el comportamiento virtual

Impedir el uso de los dispositivos enunciados o, al menos, que se haga dentro de ciertos límites que garanticen, en todo caso, el respeto de la privacidad viene siendo, en los últimos años, una prioridad de la Unión Europea y, evidentemente, de España. En este sentido, la Directiva 2002/58/CE, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas se ha ocupado de los mismos.

El actual artículo 5.3 de la Directiva sobre intimidad y comunicaciones electrónicas aborda la cuestión de las tecnologías que permiten almacenar información u obtener acceso a la información ya almacenada en el terminal de un abonado o usuario. Tal precepto es tecnológicamente neutro, por lo que es aplicable no solo a las cookies sino también a cualquier otra tecnología utilizada para acumular información o acceder a información almacenada en el equipo terminal de las personas. Un ejemplo de la aplicación del artículo 5.3 son el uso de tecnologías tales como los “programas espía” –programa ocultos de espionaje- y caballos de Troya –programas ocultos en mensajes o en otros programas, en apariencia, inocuos-. La finalidad de estas tecnologías varía enormemente. Mientras que, por un lado, unas son perfectamente inocuas e, incluso, útiles para el usuario, por otro lado, otras son claramente perniciosas y amenazadoras.

De acuerdo con el artículo 5.3 mencionado, por un lado, hay que facilitar a los usuarios de Internet información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE, y, por otro, debe reconocerse a los usuarios de Internet el derecho a negarse al tratamiento de los datos, es decir, que pueden oponerse a que se trate información obtenida de sus terminales.

A nivel nacional, se ha ocupado de la cuestión que examinamos la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico -LSSI-CE-, si bien la regulación que ésta última efectúa no es del todo feliz. En efecto, el legislador español ha transpuesto la norma comunitaria enunciada a través del párrafo segundo del art. 22 LSSI-CE. En éste se establece que el prestador de servicios de la sociedad de la información que utilice, en los terminales informáticos, técnicas que posibiliten el tratamiento y recuperación de datos debe cumplir con el deber de información a los sujetos afectados pudiendo éstos últimos oponerse a ello. En cuanto a las críticas que cabe efectuar, entendemos poco correcta su ubicación sistemática, pues debemos considerar que se regulan dentro del título dedicado a las comunicaciones comerciales no solicitadas, cuando ni las cookies ni el spyware lo son. Desde el punto de vista sustantivo, destaca la parquedad de los términos en los que el legislador se pronuncia. Todo parece indicar que es lo mínimo que podía hacer, para cumplir con la obligación de transponer la normativa comunitaria, pues no tiene en cuenta las particularidades que, tanto las cookies como el spyware, presentan.

En línea con la última apreciación formulada, procede traer a colación la modificación operada, por parte de la Directiva 2009/136 sobre el art. 5.3 de la Directiva sobre privacidad y comunicaciones electrónicas, que obligará al legislador español a tomar en consideración su nuevo contenido que habrá de ser transpuesto, a más tardar, el 25 de mayo de 2011. El tenor actual del precepto –tras la citada reforma- determina que “los Estados miembros velarán porque únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos”. El considerando 25 de la Directiva sobre privacidad requiere que las explicaciones se den de forma clara y precisa. Afirmaciones como, a título de ejemplo, que los anunciantes y otras partes pueden también utilizar sus cookies o etiquetados son absolutamente insuficientes.

Ha de observarse que el actual art. 5.3 de la Directiva sobre privacidad incide en una cuestión sobre la que la versión anterior no se pronunciaba –como tampoco lo hacía el art. 22 LSSI-CE-. Nos referimos a que expresamente se dispone que el consentimiento se deberá otorgar después –nótese la inclusión de tal término- de que el prestador de servicios haya informado al usuario, de forma sencilla y completa, sobre los fines del tratamiento de los datos. Actualmente, la configuración, por defecto, de tres de los cuatro navegadores más utilizados para Internet está predeterminada para aceptar todas las cookies. En esos casos, se envían cookies y se recoge información sin recabar consentimiento, lo que, a todas luces, contradice la necesidad de consentimiento previo. Debe entenderse, por consiguiente, que no cambiar la configuración establecida, por defecto, no puede ser considerado, en la mayoría de los casos, como consentimiento válido del usuario. Además, las redes de publicidad –que son entidades que realizan segmentación de audiencia mediante los perfiles de navegación de los usuarios para ofrecerles publicidad personalizada- y los editores de sitios Web que ofrezcan este tipo de publicidad deben proporcionar información sobre la finalidad del seguimiento, de manera clara y comprensible, para que los usuarios puedan tomar decisiones informadas sobre si quieren que su comportamiento de navegación sea monitorizado. Estas actuaciones, de no respetar las previsiones legales que comentamos, pueden inevitablemente suponer violaciones de la privacidad. Por ello, el Grupo de Trabajo del Artículo 29, en el dictamen 2/2010, de 22 de junio de 2010, entiende que, aunque se trata de herramientas que pueden aportar notables ventajas a la industria –y eventualmente a los usuarios-, comprometen la privacidad.

Con respecto a la información que debe darse sobre la publicidad comportamental –a la que, dicho sea de paso, el art. 5.3 in fine alude con la necesidad de informar al usuario sobre “los fines del tratamiento de los datos”-, los usuarios deben recibir información, entre otras cosas, de la identidad del proveedor de la red de publicidad y el objetivo del tratamiento de sus datos. Debe informarse claramente al usuario de que las cookies permitirá al proveedor de publicidad, entre otras cosas, recoger información sobre sus visitas a otros sitios Web, los anuncios que estos muestran, los anuncios en los que ha cliqueado, el tiempo empleado, etc.

A pesar de la modificación recientemente operada, no debe olvidarse que el considerando 66 de la Directiva sobre privacidad en las comunicaciones electrónicas señala que el consentimiento del usuario puede expresarse utilizando la configuración adecuada de un buscador u otras aplicaciones “cuando sea técnicamente posible y eficaz, con arreglo a las disposiciones correspondientes de la Directiva 95/46/CE”. Tal extremo no supone una excepción al artículo 5.3, sino un recordatorio de que, en dicho entorno tecnológico, el consentimiento puede otorgarse de formas diferentes, cuando sea técnicamente posible y eficaz, de acuerdo con los demás requisitos pertinentes del consentimiento válido.

Es preceptivo, por consiguiente, que exista un consentimiento informado, por parte del usuario, para la utilización de cookies publicitarias. Para su incorporación al ordenamiento español existen entidades, como Interactive Advertising Bureau –IAB-, que han propuesto la adopción de una solución internacional que implique el uso de un icono común para todo el sector de la publicidad digital –siguiendo, en cierto sentido, la iniciativa adoptada por la industria estadounidense en enero de 2010-. Tal icono podría, asimismo, alertar a los consumidores, no solo del hecho que un proveedor de redes de publicidad está controlando sus búsquedas por Internet para enviar publicidad según sus presumibles preferencias, sino también para, si el usuario lo desea, optar por revocar el consentimiento inicialmente prestado.

Debe considerarse que los problemas relativos a la obtención de consentimiento fundamentado aumentan aun más, si cabe, en el caso de los menores de edad. Además de los requisitos descritos, para que exista consentimiento respecto a los niños, deben prestarlo sus padres o, en su caso, sus representantes legales. En el supuesto que nos ocupa, supone que los proveedores de redes de publicidad podrían tener que informar a los padres de la recogida y utilización de datos del niño y obtener su consentimiento antes de recoger dichos datos y seguir utilizando la información con fines de realizar publicidad a medida para niños.

En definitiva, entendemos que, a fecha de hoy, el proceder de la mayor parte de los proveedores de redes de publicidad, en la cuestión que comentamos, no ha sido, precisamente, el establecido en el actual art. 5.3 de la Directiva sobre privacidad. Con las nuevas exigencias legales impuestas, a nuestro juicio, el usuario estará más informado y será, si cabe, más consciente de que se está analizando su comportamiento.

Necesidad de fomentar la elaboración de documentos de buenas prácticas sobre la materia

Además de las medidas de carácter normativo mencionadas, no debe obviarse las iniciativas fruto de la autorregulación de la industria, pues constituyen un sugerente complemento de aquéllas. Representan, en este sentido, un paradigma de referencia en la materia las dos siguientes: Social Advertising Best Practices elaborado por Interactive Advertising Bureau Europe –IAB Europe- en mayo de 2009; y el documento de buenas prácticas –denominado Global Principles for Online Behavioral Advertising- aprobado, en julio de 2009, por determinadas instituciones norteamericanas -en particular la American Association of Advertising Agencies, la Association of National Advertisers, el Council of Better Business Bureau, la Direct Marketing Association y el Interactive Advertising Bureau- relativas a la publicidad comportamental. Resulta conveniente que las prácticas mencionadas en estos documentos inspiren los sistemas nacionales de autorregulación.

David López Jiménez

Leave a Reply

Your email address will not be published. Required fields are marked *