Airbnb se adhiere a Safe Harbor

Airbnb, el mercado comunitario online que en 2008 nació para compartir, descubrir y alquilar viviendas, un caso paradigmático de la llamada “Economía P2P”, estrenó el pasado 24 de diciembre de 2012 una nueva política de términos y condiciones, la “Safe Harbor Notice”.

No es habitual que tal previsión, la adhesión de un servicio a Safe Harbor, tenga su propia política. Normalmente se encuentra como cláusula independiente al final de las políticas de privacidad, en alguna ocasión en las condiciones de uso. Sin embargo pocas veces goza de entidad propia. Pero bueno, mejor que mejor.

Geolocalización y otros datos de la empresa según sus términos y condiciones, en el Mapa de Términos y Condiciones.

Ahora bien, ¿qué es Safe Harbor y qué implica que un servicio se adhiera al acuerdo que lo configura?

Actualmente se establece en materia de protección de datos de carácter personal, legislación tanto europea como nacional, que cuando se traten datos personales (un correo electrónico, una foto de perfil real y/o nombre y apellidos, por ejemplo) para prestar un servicio fuera del Espacio Económico Europeo (por ej., poder alquilar a través de la plataforma de Airbnb un apartamento en el centro de Manhattan), lo que técnicamente se denomina una transferencia internacional de datos, ese tratamiento de datos necesita en nuestro caso del OK previo del Director de la Agencia Española de Protección de Datos para que compruebe determinadas cuestiones. Pero hay varias excepciones a esa necesidad previa de tal autorización, por ejemplo que los datos personales los transfiera y/o trate una entidad de EE.UU. que anteriormente se haya sometido a los principios de seguridad y privacidad fijados por la Cámara de Comercio de Estados Unidos. Es decir, que se haya adherido al Puerto de Protocolo Seguro o Safe Harbor Framework.

¿Por qué se permite tal excepción si el servicio se ha dado de alta en Safe Harbor?

Porqué se entiende que tal entidad se compromete a cumplir 7 principios en materia de seguridad y privacidad que garantizan el tratamiento de los datos personales recopilados, de acuerdo a las directrices de la normativa europea en materia de protección de datos y no a la del tercer país (EE.UU. en este caso). Es decir y yendo al caso concreto: Airbnb es una organización de EE.UU. que recoge y gestiona información personal de usuarios españoles, entre otros. A priori esa información personal la manejaría según la normativa sobre protección de datos de EE.UU (menos proteccionista que la europea). Ahora bien, al adherirse a Safe Harbor se está comprometiendo a manejar esos datos personales según los principios europeos en materia de protección de datos, y no los norteamericanos. Garantizándose por tanto mayor seguridad y privacidad en principio para el usuario local, en este caso español, al que le es totalmente ajena la normativa norteamericana sobre datos personales.

De forma que la adhesión de una empresa, normalmente norteamericana, a Safe Harbor supone para un usuario del EEE un extra de protección en su privacidad al seguir aplicándose las normas europeas en la materia.

Dicho esto, ¿qué cuenta esta Safe Harbor Notice de Airbnb?

  • Que la adhesión es relativa a la transferencia internacional de datos personales de individuos residentes en el Espacio Económico Europeo o Suiza (que también goza de sus particularidades en esta materia). De modo que la información personal que las empresas afiliadas y no afiliadas, los clientes (incluidos los invitados y anfitriones) y socios comerciales ubicados en esas zonas envíen a Airbnb, queda sujeta a la protección adecuada proporcionada por la certificación Safe Harbor.
  • Únicamente se aplicará el protocolo de Puerto Seguro si la información personal se recibe vía algunos de los sitios web con base en Europa, no si por ejemplo llega a través de Airbnb.com
  • Tampoco se aplica esta certificación de Safe Harbor en relación a los datos personales obtenidos en el marco de una relación laboral con Airbnb. Se recuerda además, que la versión operativa de esta política es la redactada en inglés, siendo la versión por ej. en castellano ofrecida sólo para mayor comodidad.
  • Se indican algunos de los datos personales captados por Airbnb y sujetos a esta “protección garantizada” de darse las particulares condiciones indicadas. Se habla por ejemplo de nombres, direcciones, teléfonos, correos electrónicos o IPs.
  • Se señala la finalidad de la recopilación de los datos: prestar el servicio, marketing electrónico y aspectos comerciales relacionados y legítimos.
  • Se comentan las partes con las que se comparten los datos personales, subsidiarias, filiales, contratistas y terceros que actúen bajo las directrices de Airbnb. Se habla de la posibilidad de darse de baja de los correos electrónicos de marketing, las formas para hacerlo y que una persona de las zonas antes indicadas, puede indicar que se excluyan sus datos de la divulgación de terceros (si bien eso puede dificultar la prestación del servicio).
  • Finalmente, se reconocen los derechos ARCO (acceso, rectificación, cancelación y oposición), pero llama la atención que Airbnb se reserva el derecho a cobrar una tarifa adecuada por ejercer el derecho de acceso. Ahora bien, siempre que eso no sea contrario a los principios de Safe Harbor. Recordar que según la normativa nacional, si bien cabe el cobro en algunas circunstancias concretas por el ejercicio del derecho de acceso, por regla general será siempre gratuito.

Y hasta aquí la nueva política de Safe Harbor o Protocolo Seguro de Airbnb. ¡Feliz alquiler! :-)
—–

Twitter actualiza las Reglas de la Comunidad

La semana pasada Twitter actualizó sus Reglas de Twitter o las directrices y buenas prácticas que gobiernan el día a día de la red social. El cambio no se indica y al parecer tampoco se ha notificado, pero la herramienta de monitorización que empleo señala claramente cambios en las reglas respecto a la versión anterior.

Si bien los cambios son considerables, la mayoría son de redacción y el registro usado ahora por Twitter para dirigirse a sus usuarios o hablar del servicio. Por ejemplo, antes se hablaba de “servicios”, ahora se emplea el singular. Antes se decía que “Twitter monitoriza”, mientras que ahora se habla de vigilar. Antes se suplantaba la personalidad de alguien, pero ahora es su identidad la suplantada. Y así otras muchas modificaciones.

El cambio sustancial más llamativo radica en las nuevas directrices a efectos de detectar si alguien realiza spam en la red social. Mientras que antes había 14 factores que según Twitter eran indiciarios de “spamming” y podían suponer la suspensión de una cuenta, ahora hay 20 factores y algunas de las nuevas incorporaciones son muy interesantes. Por ejemplo, ahora si un usuario publica de manera repetida tweets de otros usuarios como propios, puede considerarse que hace “spamming”. Otro de los nuevos factores hace referencia a las listas, según el cuál si un usuario añade un gran número de usuarios sin relación con listas en un intento de mandar spam a un servicio o enlace, se considerará que puede estar realizando spamming. Y entre los nuevos factores para determinar el spam también hay novedades pensadas para los nuevos tiempos, por ej. la creación o compra de cuentas para obtener seguidores, ahora también factor indiciario de spamming.

Todas estos y otros nuevos factores pueden hacer que Twitter considere que una cuenta está realizando spam y proceda a suspenderla.

El resto de cambios en las Reglas radica en la inclusión de enlaces a las diferentes políticas y normas a seguir en relación a las prácticas de automatización o seguimiento en la red.

Geolocalización y otros datos de la empresa según sus términos y condiciones, en el Mapa de Términos y Condiciones.

Entonces, incluyo a continuación la nueva versión de las Reglas de Twitter indicando en color los cambios y también añado la versión anterior a la modificación para así tener disponible toda la información.

Continuar leyendo “Twitter actualiza las Reglas de la Comunidad”

Dropbox crea las Condiciones de Uso para organizaciones

Dropbox, uno de los servicio de alojamiento de archivos en la nube más usados, estrenó el pasado 3 de octubre unos nuevos términos y condiciones. Pero no unos cualquiera, sino las Condiciones de Uso para Equipos o “Teams Agreement” para aquella organización que utilice Dropbox como tal. Es decir, para quien contrate el uso de Dropbox como empresa u otro tipo de institución, y no como usuario individual.

Por tanto dichas condiciones de uso únicamente son aplicables a quien emplee “Dropbox para equipos”.

Geolocalización y otros datos de la empresa según sus términos y condiciones, en el Mapa de Términos y Condiciones.

Dicho esto, veamos algunos de los aspectos más destacados de estas Condiciones de Uso de Dropbox para Equipos:

  • Como cliente de “Dropbox para equipos”, quien obliga a la organización a adquirir esta modalidad del servicio debe tener la autoridad correspondiente para ello. De no ser así, no debe hacerlo.
  • Los que son usuarios finales de “Dropbox para Equipos” (no el llamado cliente), aceptan usar el servicio de acuerdo a estas Condiciones de Uso especiales (sobretodo los apartados 1 y 13), pero también las Condiciones de Uso normales de Dropbox. En caso de discrepancia entre unas Condiciones y otras, tienen prevalencia las Condiciones de Uso para Equipos. Además, se hace especial hincapié en que los usuarios finales de esta modalidad de Dropbox están dando permiso al administrador de su equipo para que acceda a la información de su perfil y el contenido de su cuenta de “Dropbox para Equipos”.
  • Un usuario final puede unirse a “Dropbox para Equipos” mediante una nueva cuenta o desde su cuenta personal. Ahora bien, una vez que un usuario final convierte su cuenta personal en cuenta de Equipo, pueden darse dos problemas. Primero que desde ese momento el administrador del Equipo tiene control sobre esa cuenta, pudiendo acceder a ella, eliminarla, hacerla pública o restringir su acceso. El segundo, que un usuario final no puede desasociar su cuenta de equipo del resto del grupo. Por tanto, en principio quien convierta su cuenta personal de Dropbox a cuenta de Equipo, acaba de entregarla a la organización. Sin embargo, más adelante en el punto 10 e) se da a entender que sí es posible revertir el proceso de cuenta de Equipo a cuenta personal. Por tanto es algo confuso este último aspecto.
  • El cliente debe asegurarse de informar a los usuarios finales que el uso de Dropbox para Equipos implica aplicar las Condiciones de Uso de Dropbox normales, las de Equipo, la Política de Uso Aceptable y su Política de Privacidad (más las políticas internas que pueda tener la organización). Además, el cliente debe obtener y conservar los consentimientos informados de los usuarios finales en relación a que el Administrador y Dropbox tendrán acceso sobre las cuentas de esos usuarios.

Continuar leyendo “Dropbox crea las Condiciones de Uso para organizaciones”

Siri – Condiciones de Uso

Siri, el asistente personal de Apple consistente en una inteligencia artificial operada mediante voz, hizo su debut el pasado año con iOS 5 y el iPhone 4S. Además de por la funcionalidad extra que ofrece al teléfono, ha dado que hablar por sus ocurrentes respuestas o su intermitente funcionamiento. Pero también por una cuestión algo más preocupante, hasta que punto la privacidad de un usuario puede verse comprometida.

Pues bien, para ello nada mejor que analizar las Condiciones de Uso de Siri. Ya avanzo que son muy cortas, y hasta donde yo he podido ver, no están disponibles online. Ahora bien, pueden consultarse desde el menú de Siri de cualquier dispositivo iOS que sea compatible con el asistente. Así que las he copiado directamente de ahí.

Indicar también que las Condiciones de Uso de Siri tienen bastantes conexiones con la Política de Privacidad de Apple, cuyo análisis puede consultarse aquí. Una versión más sencilla del análisis de Siri se publicará en AppleAdictos.

Dicho esto, veamos qué sorpresas nos aguarda Siri.

Geolocalización y otros datos de la empresa según sus términos y condiciones, en el Mapa de Términos y Condiciones.

Resumen de las Condiciones de Uso de Siri:

  • Analizadas a fecha: 06/09/2012
  • Idioma de la versión analizada: Castellano.
  • Disponibles en castellano: Sí
  • Número de palabras: 314
  • Fecha de la última actualización: No se indica
  • Edad mínima para usar el servicio: 13 años, por referencia indirecta a la Política de Privacidad.
  • Cuándo se da uno de baja: Al desactivar Siri, Apple elimina los datos del usuario y los datos de voz recientes (no definen el concepto “reciente”). Pero Apple puede conservar durante un tiempo (no indicado) los datos de voz antiguos (no definen qué es “antiguo”) para mejorar sus servicios y productos. Ahora bien, todo ello sin llegar a asociar dichos datos con el propio usuario.
  • Particularidades: 1) Usar Siri implica que Apple tenga acceso a nuestra voz, la agenda de contactos del dispositivo y las relaciones que pudiera haber entre ellos, los nombres de las canciones de nuestra colección y, si está activado, la localización geográfica desde la que se hace la consulta 2) Los datos captados vía Siri al parecer van en una base de datos estanca y al margen del resto de datos que Apple capta a través de sus otros servicios o productos 3) Podría entenderse en este caso que la voz recogida durante el uso de Siri tiene la consideración de dato de carácter personal 4) Los datos de voz antiguos que Apple puede quedarse por tiempo no determinado pueden incluir transcripciones de lo dicho (ideal para el espionaje industrial :P)

Continuar leyendo “Siri – Condiciones de Uso”

Facebook – Actualizadas las condiciones de la Plataforma para desarrolladores

Facebook, la red social por antonomasia, actualizó ayer las “Facebook Platform Policies”, es decir, las políticas que tanto los desarrolladores como las aplicaciones desarrolladas dentro de Facebook deben tener en consideración.

Geolocalización y otros datos de la empresa según sus términos y condiciones, en el Mapa de Términos y Condiciones.

Habitualmente hacen cambios casi una vez cada 2 semanas, pero más pequeñitos. En esta ocasión la modificación es algo mayor y afecta al punto I.13, concretamente la denominada “Special Provision for games”.

Lo que antes eran los puntos 9 y 11, se han fusionado y han dado lugar al punto 13 con modificaciones. También ha desaparecido el punto 14 (ahora ha pasado a ser el 12). El punto I.13 modificado ha quedado de tal manera, en color los cambios:

Special provisions for games:

a. Desktop web games off of Facebook.com may only use Facebook Login (Authentication, excluding user connections such as friend list), Social Plugins and publishing (e.g., Feed Dialog, Stream Publish, or Open Graph). When authenticating, these games may not request additional permissions other than age, email, and our Publishing Permissions (effective December 5, 2012).

b. Games on Facebook.com and mobile must not share the same app ID with desktop web games off of Facebook.com. You must not use Canvas apps to promote or link to game sites off of Facebook, and must not use emails obtained from us to promote or link to desktop web games off of Facebook.com (effective December 5, 2012).

c. Games on Facebook.com or Mobile Web must use Facebook Payments as their sole and exclusive payment method for all virtual goods and currencies made available to users within the game. All other payment options are prohibited within games on Facebook.com or Mobile Web unless they go through Facebook Payments rather than directly through that payment option. By “Payment Method” we mean any method that allows a user to complete a transaction in a game that is on Facebook.com or Mobile Web, including, without limitation, by exchanging monetary value for virtual currency or virtual goods, whether directly at the time of purchase or via any previous transaction such as the user’s earlier purchase of a prepaid gift card or electronic code. In-game rewards of virtual currency or virtual goods earned by users through game-play activity alone are exempt from this definition.

d. Games on Facebook.com or Mobile Web may reward users with virtual currency or virtual goods in exchange for user actions that do not involve third parties, but rewards for user actions that involve third parties must be powered by Facebook Payments by integrating Facebook Payments offers. For example, you may not reward users with virtual currency or virtual goods in exchange for any action in which personally identifiable information is shared with a third party, you may not reward users with virtual currency or virtual goods in exchange for third party downloads, such as toolbars or ringtones, and you may not reward users with virtual currency for engaging in passive actions offered by third parties, such as watching a video, playing a mini-game, or taking an anonymous poll.

Las principales modificaciones serían:

  • A partir del 5 de diciembre de 2012 hay dos nuevas obligaciones, por un lado para los juegos en Facebook.com o vía móvil, y por otra parte para los juegos web de escritorio fuera de Facebook.com.
  • En el caso de los juegos web de escritorio fuera de Facebook.com, únicamente pueden usar el Login de Facebook (concretamente la autenticación, quedando excluidas las conexiones al usuario como puedan ser la lista de amigos), los Plugins sociales y la opción de publicar (como por ejemplo Open Graph). Además, cuando estos juegos se autentican únicamente pueden pedir permiso para obtener la edad, el correo electrónico y los permisos de publicación comentados, nada más. Todo esto entra en vigor a partir del 5 de diciembre de 2012.
  • En el caso los juegos de Facebook.com y de móviles, no deben compartir con el juego web de escritorio la misma identificación como aplicación. Además, las apps “Canvas” no pueden ser utilizadas para promocionar o enlazar a webs de juegos que supongan abandonar Facebook.com. Finalmente, tampoco pueden usarse los correos electrónicos obtenidos de Facebook para promocionar o enlazar a juegos webs de escritorio que están fuera de Facebook.com. Todo esto entra en vigor a partir del 5 de diciembre de 2012.

En conclusión, a partir del 5 de diciembre de 2012 la mayoría de los juegos de Facebook deben acatar nuevas normas para seguir dentro de la plataforma.
—–

LinkedIn actualiza las Condiciones de Uso de sus APIs

LinkedIn, la red social de carácter profesional, actualizó el pasado 6 de agosto las Condiciones de Uso de sus APIs.

El cambio es muy grande, podría decirse que un 75-85% de las condiciones han cambiado, por tanto hacer un comentario detallando cambio por cambio es complicado.

De modo que he decidido incluir la versión anterior y la nueva de las Condiciones de Uso de las APIs y en la nueva indicar en color los cambios. Al menos así espero que quien necesite conocer las modificaciones, lo tenga un poco más fácil.

Al análisis de este bloque y el resto de términos y condiciones de LinkedIn queda para el futuro.

Geolocalización y otros datos de la empresa según sus términos y condiciones, en el Mapa de Términos y Condiciones.

Vamos a ello pues, primero las ANTIGUAS Condiciones de Uso de las APIs:

Continuar leyendo “LinkedIn actualiza las Condiciones de Uso de sus APIs”

Spotify (V) Condiciones de Uso de las APIs

Sigo con el comentario de los términos y condiciones de Spotify, es el turno ahora de las Condiciones de Uso de sus APIs, ya el último bloque.

Spotify tiene unas Condiciones de Uso de las APIs para US y para Non-US, obviamente nos interesan los Spotify Metadata API Terms of Use, versión Non -US. Vamos allá.

Geolocalización y otros datos de la empresa según sus términos y condiciones, en el Mapa de Términos y Condiciones.

Resumen de las Condiciones de Uso de las APIs de Spotify:

  • Analizadas a fecha: 30/07/2012
  • Idioma de la versión analizada: Inglés
  • Disponibles en castellano: No
  • Número de palabras: 2557
  • Fecha de la última actualización: 26 de octubre de 2009
  • Ámbito de la licencia de las APIs: Limitada, no exclusiva, revocable, no transferible y no sublicenciable para así poder acceder a las APIs y los metadatos del servicio y crear una aplicación que sea distribuida al público.
  • Propiedad del software generado: No se indica. Se insiste mucho en que las APIs, metadatos y marcas de Spotify son suyas, están protegidas por el derecho de propiedad intelectual y que no disponemos de derecho alguno para usarlas en contra de lo establecido en este acuerdo. Pero no se llega a señalar de quién es la aplicación desarrollada con el uso de las APIs.
  • Soporte de las APIs: Spotify indica que proporciona las APIs “tal cuál”, sin garantía alguna sobre su contenido, adecuación o calidad y que no tiene obligación alguna de dar soporte, actualizaciones, modificaciones o mejoras de las mismas.
  • Coste de las APIs: No se indica, si bien ahora mismo no parece cobrarse por ellas. El problema es que entre que no se indica el coste y que Spotify se reserva todos los derechos habidos y por haber para modificar las condiciones del acuerdo a su antojo, en cualquier momento ese coste cero puede evaporarse.
  • Particularidades: 1) La relación jurídica en este caso no es con Spotify Spain S.L., sino con la matriz británica, Spotify Ltd. 2) No cabe negociación de las condiciones, se aceptan tal cuál o no se aceptan 3) Aunque se diga que el acuerdo no nos afecta en tanto en cuanto no lo aceptemos, en realidad quedamos sujetos al mismo desde el momento en que usemos la API, ni que sea parcialmente 4) Spotify puede cambiar las Condiciones de Uso cuando lo considere, es responsabilidad nuestra comprobar de tanto en tanto los cambios 5) Si vía la API se hace un número indeterminado de llamadas que afecte negativamente al servicio (algo que no sabemos qué significa y decide únicamente Spotify), podemos perder la posibilidad de usar las APIs 6) Aceptamos que Spotify tenga acceso a nuestra aplicación para comprobar que hemos hecho un uso correcto de las APIs 7) Spotify, si lo considera oportuno, puede limitar la cantidad de llamadas que la aplicación desarrollada haga vía la API, así como el volumen de metadatos accedidos. Tal decisión siempre será tomada únicamente por Spotify y sin aviso alguno 8) Spotify pueda poner fin a este acuerdo en cualquier momento, sin previo aviso y sin razón alguna, aunque estemos todavía desarrollando nuestra aplicación, y sin responsabilidad alguna por su parte 9) La interfaz o web que pueda crearse vía sus APIs no puede suponer la venta de tabaco, alcohol o las apuestas 10) Para el nombre de la aplicación no puede usarse la palabra “Spotify”, ni derivados o acrónimos como por ejemplo “SPOTIFYING”
  • Garantías y responsabilidades: Spotify se quita absolutamente toda la responsabilidad de encima, derivándola en quien haga uso de las APIs. De hecho quien haga uso de las APIs renuncia a iniciar cualquier acción contra Spotify y se obliga a indemnizarla si fuera el caso.
  • Legislación y Jurisdicción aplicable: La legislación sueca resulta aplicable y también estamos sujetos a la jurisdicción sueca, concretamente al distrito judicial de Estocolmo.

Continuar leyendo “Spotify (V) Condiciones de Uso de las APIs”