Regulación sobre datos personales y publicidad basada en identidad

Hace poco hablaba sobre el manejo de datos personales por parte de los proveedores de servicios en un mercado online cada vez más basado en la identidad y no en la privacidad de sus usuarios. Así, conforme crece la demanda de contenidos en Internet y sus aplicaciones se hacen más sofisticadas, surgen modelos de negocio cuyo ingreso se sustenta en ofrecer publicidad dirigida a grupos de consumidores específicos seleccionados utilizando la información que poseen de ellos como edad, gustos, ciudad.

En un artículo reciente, Online Advertising, Identity and Privacy, Randal Picker ensaya la teoría de que cuando la regulación establece que ciertos agentes pueden usar la información libremente y otros están sujetos a una serie de obligaciones legales para hacerlo, modificamos sustancialmente el equilibrio competitivo de un mercado. Sin embargo, precisa, eso no significa que debamos construir nuestra regulación desprotegiendo por completo a los usuarios. Por el contrario, propone diseñar un marco legal que propicie el equilibrio entre el uso de información personal con fines comerciales y el derecho de los usuarios.

En este escenario, según Picker, importa mucho dónde se coloque la regulación sobre privacidad frente a la publicidad basada en identidad y en comportamiento del usuario, al ser un mecanismo de financiamiento privilegiado. El modelo de regulación clásico, pensado para casos como el envío de publicidad no deseada, impide a las empresas utilizar la información de sus usuarios sin su consentimiento previo. Pero nuevos usos de esa información, como mostrar publicidad basada en identidad, nos hacen replantearnos este modelo si tenemos en cuenta que financia la mayoría de contenido gratuito y, cuando no lo hace, puede ser útil ver publicidad basada en su perfil (ej. las recomendaciones de compra Amazon). La pregunta es si dicho permiso debe ser un ajuste por defecto y con opción a restringirlo por parte del usuario del servicio (sistema opt-out) o un ajuste que el usuario podría implementar manualmente si lo desea (sistema opt-in).

Dos respuestas distintas

En Estados Unidos, la Federal Trade Comission ha emitido cuatro principios de autorregulación para la publicidad basada en identidad y comportamiento (como la de Facebook o la de Google, si usa mi historial de búsquedas anteriores) invocando a las empresas a transparentar sus prácticas al respecto, obtener autorización expresa siempre que se trate de datos sensibles (salud, finanzas) o cambie sus políticas y tomar las medidas de seguridad razonables para proteger los datos. Sobre la pregunta del ajuste por defecto, ha optado porque los servicios puedan usar sistemas opt-in u opt-out y que sean los usuarios quienes modifiquen sus preferencias de consumo según el sistema con el cual se sientan más cómodos. Se ha excluído expresamente de estos principios los supuestos de publicidad de la propia empresa y la publicidad contextual (AdWords) porque considera que, en estos casos, no hay potenciales brechas de privacidad.

Sigue leyendo

El pasaporte que nunca llegó

«No mentir sobre el futuro es imposible y uno puede mentir sobre ello a voluntad». Esta frase de Naum Gabo viene a mi memoria cada vez que escucho a alguien profetizar respecto de algo. Este es el caso de la polla (lo que en el Perú es apuesta, lotería) que hizo Lawrence Lessig hace diez años en su más conocido e influyente trabajo – El Código y otras leyes del ciberespacio – cuando profetizaba la inminencia de una «arquitectura general de la confianza». Como suele suceder en estos casos, Lessig se equivocó. Lo cual es lógico, pues si tuviera éxito con regularidad en predecir el futuro estaría jugando a los caballos o comprando a la lotería.     

Leí El Código hace muchos años y no recordaba esta profecía, hasta que revisé un post de Tim Lee en The Technology Liberation Front (Lessig vs. Harper). Es un buen momento para recoger algunas de las ideas de Lee con relación a este tema. 

Lessig vaticinaba que con la «arquitectura general de la confianza» se permitiría a través de un certificado digital la verificación por parte de las autoridades de una serie de datos respecto de los usuarios de Internet como identidad, nacionalidad, sexo, edad o cualquier otra información considerada importante, como en la Rusia de los Zares.  Hasta que esto no ocurriera el comercio electrónico no se desarrollaría plenamente.

Como señala Lee, esto nunca ocurrió y es poco probable vaya a suceder. La firma digital, promocionada casi al mismo tiempo que el libro de Lessig es hoy sólo un instrumeto de seguridad más y en lugar de una identidad digital, las gentes que pululan por Internet detentan varias personalidades, casi una por cada sitio web que visitan. Sin embargo, debemos puntualizar que no reviste ningún mérito listar las predicciones del libro del Lessig – no es la única – y varios años después marcar sus inexactitudes. El trabajo de Lessig es un aporte importante y no por haber dado un pronóstico aparentemente equivocado pierde validez.

Jim Harper nos señala en su trabajo Crisis de Identidad (Identity Crisis), menos conocido por estos lares, algunas de las razones por las que el vaticinio de Lessig podía estar equivocado. Harper, explica -siguiendo el post de Lee – que la identidad no sólo debe evaluarse a través de las complejas técnicas de indentificación sino por los beneficios que representa romper estos mecanismos.

Un sistema único y monolítico no es una buena idea, en la medida que se convierte en un objetivo irresistible para los malhechores. En cambio, son preferibles una serie de identificadores con distintos niveles de seguridad, adaptados a la sensibilidad de los sistemas que controlan el acceso. 

Como señala Lee la seguridad en línea no es sólo un aspecto tecnológico. Por ejemplo si alguien realiza una compra en línea con una tarjeta de crédito robada tiene que dar un sitio físico para su entrega, esta ubicación será utilizada posteriormente por la policía para capturarlo. El objetivo, no debe ser el máximo nivel de seguridad en las transacciones electrónicas, sino aumentar la seguridad hasta el punto que el costo marginal de la seguridad compense la reducción de los fraudes.

Esta es la razón por la que las personas realizan muchas transacciones de poco valor por Internet y reserva para aquellas con un mayor valor mecanismos presenciales que le brindan una mayor seguridad.