Mientras la atención mediática se centraba en las batallas contra la piratería, otro asunto ha ocupado a los abogados especialistas en Internet: la privacidad online es un tema sensible, que polariza las relaciones entre las empresas de Internet y las autoridades. En Europa, la comisaria Viviane Reding ha presentado su propuesta de directiva, que sustituiría la vigente desde 1995. Viendo venir la borrasca, Google ha introducido cambios en su política de privacidad, tratando de influir en la agenda legislativa. Por su lado, Facebook, en la documentación para su salida a bolsa, ha incluido la privacidad en la lista de riesgos que podrían llegar a afectar la marcha de su negocio.
La directiva europea de 1995, obviamente transcrita a las leyes de los 27, estipula ciertos derechos de los ciudadanos sobre sus datos personales: las organizaciones y empresas pueden procesar esos datos sólo con su consentimiento, y sólo con propósitos legítimos; están obligadas a mantener esos datos en condiciones de seguridad y a destruirlos cuando ya no sean necesarios para cumplir esos propósitos. Pero, al transponer la directiva, cada estado miembro ha introducido criterios no homogéneos.
Pero el mundo ha dado muchas vueltas desde 1995: Internet estaba en sus albores [sólo el 1% de los europeos tenían acceso] y las prácticas del negocio que se apoya en el uso de los datos han evolucionado, por lo general a peor. Los cambios que propone Reding amplían los derechos de los ciudadanos, y tratan de corregir esas prácticas. El detonante ha sido el extraordinario auge de las redes sociales, y la constatada dificultad que encuentran los usuarios de estos servicios para conseguir que sus datos sean removidos.
Una de las muchas novedades, y no la más sencilla, es que la futura normativa se aplicaría a las compañías que procesan esos datos fuera del territorio de la UE, si esas compañías sirven al mercado europeo y a sus ciudadanos. La propuesta será presentada al Parlamento Europeo y, si fuera aprobada, entraría en vigor a los dos años. Los partidarios afirman que la nueva directiva obligará a las compañías a hacer cosas que ellas mismas hubieran debido hacer por sí mismas y no como reacción a la legislación. Los críticos sostienen – como siempre que Bruselas mete su nariz en asuntos que afectan a empresas norteamericanas – que el resultado será una sobrecarga burocrática y una intromisión innecesaria en el mercado.
El elemento más llamativo de la propuesta es el llamado “derecho al olvido”, que concede a los usuarios de servicios online la posibilidad de exigir que sus datos personales sean eliminados de un sitio web (excepto aquellos que se originan en noticias, que son consideradas legítimas) y obliga a los gestores de esos servicios a expurgarlos en el plazo de 24 horas. Este es un punto controvertido, porque podría introducir la figura del opt-in – la necesidad de autorización expresa del usuario – que, en la práctica equivale a decir que todos los datos son “privados por defecto”.
La ascendente industria de la publicidad online ve en esta disposición un serio contratiempo, pero no quiere aparecer oponiéndose a la protección de los consumidores. En Estados Unidos, este sector ha puesto en marcha una campaña de promoción de un sistema de opt-out automático, consistente en un icono (un triángulo turquesa) que permite a los usuarios indicar su deseo de que la información de su comportamiento online no sea trazable. En la polémica sobre los llamados supercookies, la IAB ha sostenido que las buenas prácticas de los anunciantes mejoran la calidad de los mensajes que recibe el consumidor.
Facebook y Google están en el ojo del huracán. La primera, porque su trayectoria en materia de privacidad dista de ser transparente: la opinión de Mark Zuckerberg sobre la materia está en todas las hemerotecas, y cualquier que haya tratado de borrar una información personal sabe lo difícil que es. Por su parte, Google pone el mayor empeño en mostrar su objetividad y buena fe, participando en la discusión de las normas que pueden afectar su negocio. Marisa Jiménez, abogada de Google en Bruselas, que ha intervenido en las consultas previas a la redacción de la directiva Reding, explica su posición: “apoyamos el principio de simplificación de las reglas que protejan el interés de los consumidores online y estimulen el crecimiento económico”. Jiménez argumenta que el “derecho al olvido” es un paso en la buena dirección: “de hecho, ya lo aplicamos”. Según dice, algunas disposiciones del texto comunitario son justas, pero otras son impracticables.
Este debate ha coincidido con varias iniciativas de Google en los últimos tiempos. Una es la ´personalización` de su buscador, que muchos críticos califican como una alteración del principio – en teoría objetivo – de funcionamiento de su algoritmo fundacional. Otra, que complementa la anterior, es la decisión de agregar y cruzar los datos recogidos por los 60 (¡) servicios de Google. Como respuesta implícita a una carta en la que un comité del Congreso de Estados Unidos le requería información sobre su política de privacidad, Google ha procedido – en sus palabras – a actualizarla y simplificarla. La comisaria Reding también les ha escrito pidiendo que no lleve a la práctica su cambio de política sin antes informar a Bruselas.
En su blog oficial, la empresa explica las razones de esa ´unificación`, que empezará a aplicar en marzo: sólo pretende introducir “una experiencia más intuitiva, que los usuarios puedan entender gracias a su simplicidad, y que será la misma para todos sus servicios. En un post de su grupo de asuntos públicos la compañía enumera lo que no cambia en su política: 1) los datos privados de los usuarios siguen siendo privados; 2) todo el mundo puede consultar el buscador o ver un vídeo en YouTube sin necesidad de una cuenta en Google; 3) el cuadro de mandos y el gestor de preferencias se mantiene bajo control de los usuarios. Como corolario, se compromete a no vender esa información personal a terceros con fines publicitarios.
La iniciativa se presta a la controversia, y los críticos la atribuyen al deseo de promover Google+ como alternativa a Facebook (hablando claro, que la publicidad en Facebook no debilite los ingresos publicitarios de Google). Como era previsible, de inmediato ha entrado en escena Microsoft, para atizar el fuego con su campaña Putting People First, por lo que el blog de Google trata de desbaratar lo que denomina “mitos” acerca de su privacidad.
Los cambios en esta materia difícilmente serán populares, por mucho que se revistan de grandes conceptos como ´transparencia`, ´simplicidad` y ´consistencia`. Al fin y al cabo, todo se resume en conectar todos los puntos entre aquello que el usuario busque, envíe, escriba o haga en cualquiera de los servicios de Google. Los 350 millones de usuarios que tienen una cuenta de Gmail deben saber que sus datos se cruzarán con los que generen en el uso de cualquier otro servicio de la compañía.
Con el objetivo de limpiar su imagen – un apenas disimulado contraste con la que acompaña a Facebook – Google enfatiza su buena disposición a adaptarse a las exigencias que pudieran plantear las autoridades: cualquier usuario puede, en cualquier momento, cerrar su cuenta y llevarse sus datos a otra parte. Dónde llevárselos es otro cantar. Bajo el curioso nombre de Data Liberation Front, Google se declara dispuesta a permitir que el usuario exporte a otro servicio los datos que le ha confiado.
Debe ser sólo una coincidencia, pero en el formulario preceptivo para su salida a bolsa, Facebook advierte a los inversores: “es posible que una investigación regulatoria pueda conducir a cambios en nuestras políticas y prácticas. La violación de las regulaciones actuales o futuras podría suponer multas y otras sanciones, que afectarían negativamente nuestra la posición financiera y los resultados de la compañía”. Así está el patio, encharcado, y los usuarios sin saberlo.