Pero la realidad es que desde julio de 2023 ya una gran mayoría de webs usuarias de Google Analytics han tenido que dar el salto a su versión 4 si quieren seguir obteniendo datos. 

El cambio no ha sido repentino ya que Google lleva varios años ofreciendo la doble opción para hacer la transición más sencilla. 

1.- ¿Pero qué es Google Analytics 4?

Google lo ha bautizado como la nueva generación de Analytics para recoger datos basados en eventos tanto de apps como webs. En ese sentido, GA4 incluye un nuevo tipo de propiedad que permite comprender mejor el recorrido del cliente, recoger datos según eventos y no sesiones, posibilita medir sin usar cookies, incluye modelos de comportamiento o modelización de conversiones y se integra más con redes sociales para impulsar acciones en webs y apps.  

El nuevo tipo de propiedad propuesto por GA4 es tan distinto que pasar de un Analytics clásico a GA4 puede requerir cierto proceso de migración, ya sea uno cliente final o anunciante. 

Las diferencias entre GA4 y UA (que nació en 2012) son principalmente:

• GA4 mide con mucha más facilidad apps o webs en conjunto o por separado. UA necesitaba el extra de Firebase para las apps.
• UA estaba más sujeto a las cookies y su aceptación. GA4 recurre al aprendizaje automático para inferir los datos no compartidos por los usuarios, supuestamente cumpliendo con el RGPD.
• GA4 no recurre tanto al ID del dispositivo para medir lo que hace el usuario, que muchas veces usa múltiples dispositivos para ver lo mismo y por tanto generaba duplicados con UA.
• GA4 cambia el sistema de informes respecto a UA con el objetivo de conseguir métricas más personalizadas y generales. 
• GA4 abandona el sistema de sesiones por uno basado en eventos, y además cuenta con métricas específicas de comercio electrónico.

La realidad es que Google Analytics ha llegado a este cambio bajo una situación legal compleja dadas las numerosas resoluciones de agencias de protección de datos europeas contra sus prácticas en privacidad, especialmente debido a la anulación del Escudo de Privacidad en julio de 2020 y la casi imposibilidad legal de transferir datos personales fuera del Espacio Económico Europeo.

2.- ¿Qué problemas legales ha encontrado Google Analytics desde entonces?

Veamos brevemente algunas de las resoluciones que se han pronunciado sobre ello en los últimos años, especialmente del 2022 en adelante.

El primerísimo en abrir el melón fue la agencia de protección de datos federal de Alemania y la de Berlín en noviembre de 2019. Según las mismas, usar Google Analytics (en aquel momento UA) requería consentimiento según los criterios del caso Planet49 ya que Google usaba la monitorización para sus propias finalidades. Además, eran indiferentes los distintos servicios que pudieran ser activados al usar GA.

Post Schrems II, el 11 de enero de 2022 el primero que se pronunció fue el Comité Europeo de Protección de Datos sancionando al Parlamento Europeo por el uso de Google Analytics (y Stripe) en su web de tests COVID. Los argumentos fueron que la web estaba transfiriendo datos a los EE.UU. sin garantizar un nivel adecuado de protección de los mismos. Además, “El Parlamento no proporcionó ninguna documentación, pruebas u otra información sobre las medidas contractuales, técnicas u organizativas establecidas para garantizar una nivel de protección equivalente a los datos personales transferidos a los EE.UU. en el contexto del uso de cookies en el sitio web.”

La primera agencia en disparar con bala fue la agencia de protección de datos de Austria el 13 de enero de 2022 al resolver que el uso de Google Analytics vulneraba Schrems II ya que las medidas técnicas y organizativas adoptadas por Google (protecciones alrededor de los data centers, cifrado de base o análisis de solicitudes) eran completamente inútiles a efectos de la vigilancia realizada por EEUU de acuerdo a FISA 702 y la EO 12333.

La agencia de protección de datos de Francia se pronunció en el mismo sentido en febrero de 2022. Los principales argumentos fueron que Google Analytics generaba riesgos importantes a los usuarios franceses en cuanto al posible acceso de sus datos por parte de los servicios de inteligencia de EEUU. Google había adoptado medidas para evitarlo pero eran insuficientes y por tanto consideraba el uso de GA ilegal.

En julio de 2022 fue el turno de la agencia de protección de datos de Italia, sancionando también el uso de Google Analytics. Los motivos fueron que Google Analytics usaba cookies para recopilar datos personales, como la IP, que transfería a EEUU. En relación a la IP, mencionó que el hecho de anonimizarla (en principio) no bastaba ya que Google podía enriquecer esos datos con otra información que permitían la identificación. 

En septiembre de 2022 sería la agencia de protección de datos de Dinamarca. Los motivos para considerar su uso ilegal eran que las medidas de Google no ofrecían suficiente protección para la transferencia realizada a EEUU. En todo caso, la agencia danesa indicó que una medida de seudoanonimización como un proxy inverso podía ser una medida técnica suplementaria adecuada. 

La opinión de la autoridad danesa era también interesante ya que descartaba que el uso de Google Analytics 3 o 4 cambiara algo respecto al incumplimiento (profundizaremos más adelante). Algo con lo que posteriormente coincidió la agencia noruega.

En diciembre de 2022 la Agencia Española de Protección de Datos (AEPD) se convertía en la nota discordante y rechazaba que el uso de Google Analytics fuera ilegal. Los principales motivos eran que se había constatado que la RAE (en este caso el reclamado), una vez que se había publicado la sentencia de Schrems II dejó de usar Google Analytics. Además, la AEPD consideró que la RAE nunca utilizó información con la finalidad de identificar a los usuarios. Por tanto, archivó el expediente.

En julio de 2023 llegaría la primera sanción económica (de 1 millón de euros) por parte de la agencia de protección de datos de Suecia. Los sancionados fueron Tele2 (operador telefónico) y CDON (una tienda online). Las razones fueron que se recopilaban datos personales, se transferían a EEUU, se aplicaban medidas suplementarias insuficientes (como las Cláusulas Contractuales Estándar) y además se usaba GA desde hacía tiempo a pesar de conocerse sobre su problemática legal desde 2020. 

También en julio de 2023 llegaría la sanción de la agencia de protección de datos de Noruega, declarando su uso ilegal. Los principales motivos eran, en buena parte siguiendo la estela de la agencia danesa, que Google Analytics seguía captando datos personales y los transmitía a EEUU con medidas técnicas y organizativas insuficientes. Por tanto, el uso de GA era ilegal.

En todo caso, las agencias sueca y noruega coincidían en que la aprobación del nuevo marco de privacidad entre EEUU y Europa, el pasado 10 de julio, convertía a Google nuevamente en un proveedor adecuado.

Sea como sea, se sabe que la posibilidad de Schrems III es muy factible ya que el nuevo protcolo también será llevado al Tribunal de Justicia de la UE. Por tanto, veremos por allá 2025 – 2026 si esta historia se repite o no por tercera vez.

Hecho este breve repaso, veamos las particularidades legales de Google Analytics 4, qué ventajas presenta a priori en materia de privacidad y si son o no suficientes frente alguno de los retos de futuro.

3.- Particularidades legales de Google Analytics 4

Por allá marzo de 2022, cuando GA4 fue anunciando, decía Google que el mismo estaba diseñado con la privacidad como elemento básico, tanto para usuarios y clientes.

Ciertamente GA4 tiene nuevas características que ponen el foco en la privacidad. Por ejemplo:

• Anonimización de la IP: en UA las IPs se recopilaban por defecto a menos que el usuario del servicio cambiara la opción. En GA4 la anonimización de la IP va activada por defecto y en principio no es ajustable por el usuario.
• Conservación de los datos: al margen de alguna excepción técnica para grandes tratamientos, GA4 solo permite almacenar los datos 2 o 14 meses. Por su lado, UA daba más flexibilidad en ese sentido.
• Modo consentimiento en etiquetas: por allá 2020 Google introdujo el modo consentimiento para modificar las etiquetas de traqueo o tags en función de los permisos que daban o no los usuarios. En GA4 esa opción está todavía más presente en cualquier tag que se configure, posibilitando que el usuario rechace indicar su navegador o el sistema operativo, entre otros datos.
• Localización de los datos: GA4 sigue sin permitir elegir el servidor en el que se tratan y localizan los datos, que en su mayoría acaban en EEUU (de ahí la catarata de decisiones de la agencias). Así que aquí el avance es inexistente y se deben seguir aplicando medidas extra, si no interesa o es un problema.
• Eliminación de datos: con GA4 es más sencillo diferenciar datos por usuario y eliminarlos si hiciera falta o se hubiera ejercicio el derecho de supresión. En UA solo era posible la eliminación en una franja de tiempo concreta.
• Evitar información obviamente personal: GA4 está más pensado para evitar que se use Google Analytics para recopilar información identificable tipo emails, teléfonos, domicilios y demás en el ID del usuario.
• Integración con otros servicios: GA4 simplifica limitar que se comparta la información recopilada con otros servicios como Google Ads o desactivar la personalización de anuncios.

Entonces, ¿utiliza Google Analytics 4 cookies? Sí, las que Google denomina propias para distinguir entre usuarios únicos y sesiones únicas por usuario individual. Lo que no requiere ahora la clásica cookie ga_ es establecer cookies para transmitir datos a y desde Google. La librería de JaveScript gtag.js es la que hace innecesario eso.

Ahora bien, ¿es suficiente Google Analytics 4 para salvar los problemas comentados por las agencias de protección de datos? Después de todo, ahora anonimiza la IP por defecto, ¿verdad?

En realidad lo que permite que la transferencia de datos haya dejado de ser un problema (hasta un potencial Schrems III) es el nuevo protocolo entre EEUU y Europa para transferencias internacionales. Como indicó la agencia de Dinamarca en su resolución, si bien UA y GA4 funcionan de forma diferente, tiene una base común, principalmente la creación de un ID único de usuario que se alimenta de otra información recopilada.

Incluso si se usa GA4 es su versión más privada, ese ID único se seguirá asignando y alimentando de información personal como la ubicación aproximada, hora de visita o interacciones en web. Eso incluso aunque GA4 no capta la IP sino que usa la ubicación aproximada del usuario para asignar un centro de datos (luego descarta la IP y envía la versión “anonimizada” a EEUU).

Es decir, todo indicaría que con GA4 no hay conexión directa entre el centro de datos de Google y la IP del usuario.

Pero para ese proceso, dice la agencia danesa, Google ha implementado firewalls en sus centros de datos como medida de seguridad para controlar el tráfico entrante. Y ahí sí puede recoger la IP al completo. Por tanto, incluso si no la hubiera recogido vía Google Analytics, podría haberla captado mediante ese otro tratamiento que cruzado luego con los datos de GA acabara desvelando la IP del usuario de GA4.

Y si hay IP, policía o servicios de inteligencia de EEUU podrían potencialmente descubrir quién hay detrás de la IP.

Es una opción algo rebuscada, pero no deja de ser cierta.

Por tanto, si no tuviéramos nuevo protocolo de privacidad entre EEUU y Europa, GA4 tampoco sería suficiente a nivel de transferencias internacionales.  Lo que es interesante a efectos de un potencial Schrems III en 2-3 años.

En resumen: Google Analytics 4 es el presente y en especial el futuro de Google a nivel de medición estadística en webs y apps. Es bastante más pro-privacidad que su predecesor, hasta el punto de permitir medir sin instalar cookies de terceros tipo DoubleClick. Pero eso no implica que no cargue cookies y además sigue instalando otros trackers, el ID único de usuario, que no deja de ser un identificador sujeto al RGPD.

Google Analytics ha tenido múltiples reveses de las agencias de protección de datos europeas por la ilegalidad de las transferencias internacionales cuando cayó Privacy Shield, hasta que en julio de 2023 llegó la nueva decisión de adecuación entre Europa – EEUU. Pero es ese protocolo el que vuelve a simplificar las transferencias internacionales, no GA4, que incluso en su configuración más privada no sería suficiente sin protocolo.

Ese último detalle será interesante a 2-3 años vista ya que Max Schrems ha dicho que volverá a llevara  tribunales el nuevo protocolo y tiene argumentos interesantes para volver a ganar.

Así que veremos cuánto dura este periodo de paz analítica. :p

Mientras tanto, será cuestión de usar y aplicar GA4 lo que mejor que se pueda gracias a sus avances en materia de privacidad.

¡Hasta el próximo Schrems!

La entrada Retos y oportunidades de Google Analytics 4 en privacidad se publicó primero en Términos y Condiciones.

El chatbot es un gran modelo de lenguaje ajustado con técnicas de aprendizaje, tanto supervisadas como de refuerzo., que a partir del modelo GPT-3.5 de OpenAI, consigue respuestas sorprendentemente articuladas y detalladas.

De hecho, el Departamento de Educación de Nueva York ya ha prohibido su uso en los colegios por miedo a que sirva para hacer chuletas altamente sofisticadas.

Como el chatbot tanto te puede crear un programa informático sencillo, como escribir una redacción para la clase de inglés, hacer un poema o sugerirte cómo darte de baja en Netflix, he pensado que podía ser interesante ver cómo lo hace a la hora de redactar cláusulas de privacidad muy comunes, como las de alta, webinar, blog, newsletter, el aviso de cookies y otras parecidas.

Son cláusulas muy estándar que se repiten de forma regular. Por tanto, tendría sentido que ChatGPT para ese tipo de tarea pudiera ser una buena ayuda o incluso un sustituto.

¡Así que vamos a ello!

Empezamos con un clásico, el Aviso de Cookies.

Importante indicar que la primera consulta ha buscado siempre ser lo más genérica posible, sin dar muchas pistas.

En ese sentido, decir que mientras más se desarrolla la pregunta, mejor es la respuesta. De hecho, ChatGPT recuerda las indicaciones anteriores que se le dieron en la misma conversación, lo que se nota mucho a la hora de redactar las cláusulas.

Es decir, si uno hacía la misma pregunta en una conversación nueva y no siguiendo una conversación en la que se han realizado múltiples apuntes y ajustes, la falta de detalle y calidad en la respuesta se nota bastante.

Lo veremos luego en un ejemplo concreto.

La primera cláusula para el aviso de cookies es muy genérica y contiene un error que ya anticipo que no he conseguido deshacer, a pesar de los muchos ajustes: la inclusión del consentimiento tácito.

Todas las versiones generadas respecto al aviso de cookies, incluso la de inglés, siempre dicen que el uso de la web implica la aceptación de las cookies. Pero sabemos que ya no es el caso desde la llegada del RGPD.

Supongo que eso es un buen ejemplo de cómo un error legal muy común, ya que muchos avisos de cookies siguen diciendo eso, condiciona la veracidad y calidad del dataset en un asunto jurídico.

En materia legal esto es más común de lo que parece, donde existen creencias populares sobre cuestiones jurídicas comunes que en realidad son erróneas. Por tanto ojo, ya que cuando el dataset está basado en información pública mayormente, esos errores jurídicos comunes va a seguir extendiéndose.

Sea como sea, el recordatorio incluido en cada uno de los ejemplos una vez creada la cláusula, sí dice que debe recopilarse el consentimiento antes de usar las cookies. Así que en parte ChatGPT acierta.

La segunda versión del aviso de cookies, detallando el tipo de cookies y la posibilidad de rechazar y configurar:

El resultado es sorprendentemente bueno, sabiendo describir el tipo de cookie. Pero de nuevo falla con el tema del consentimiento tácito.

Un tercer intento con el aviso de cookies, detallando ahora que deben ser aceptadas o rechazadas antes de su instalación, que deben poder ser rechazadas todas y configuradas individualmente:

ChatGPT ofrece aquí la mejor versión sin duda. Pero a pesar de todos los ajustes, sigue insistiendo en que la navegación es igual a aceptar las cookies (aunque antes diga que no se instalarán sin haber sido consentidas).

Por ver si era un problema de idioma, también probé con una versión en inglés, pero seguía insistiendo en el mismo error del consentimiento tácito:

En general el aviso de cookies es más que correcto con el problema de la frase sobre el consentimiento tácito. Aunque al menos en la tercera versión están incluidas ambas opciones.

Probamos ahora con una cláusula de privacidad para un formulario de contacto:

La respuesta en sencilla pero correcta.

Como puede observarse, ChatGPT siempre incluye en todas las respuestas un recordatorio relativo a la necesidad de ser transparentes y requerir el consentimiento.

Una segunda versión del formulario de contacto, recordando que debe indicarse la base legal y los derechos a ejercer:

Sin que nadie le haya dicho nada, elige como base legal el interés legítimo, que podría ser perfectamente correcto en este caso, y enuncia correctamente todos los derechos del usuario.

Buena respuesta.

Probamos ahora con la cláusula de privacidad para un formulario de alta:

De nuevo, buena respuesta y sorprendente detalle al describir algunos de los datos que se recopilarán.

Nos deja con la duda de si aplica consentimiento o no para el envío de comunicaciones, pero el “Y en su caso” diría que da a entender que sí.

Probemos ahora con una cláusula para los comentarios en un blog:

Nuevamente, buena respuesta y razonando con bastante lógica las finalidades.

Probemos ahora ChatGPT con una cláusula de privacidad para un newsletter:

De nuevo, sorprendentemente buena. Quizá se viene algo arriba con lo del interés legítimo para personalizar el correo y ofrecer productos y servicios de interés, pero en lo básico está correcta.

Para demostrar la importancia de lo que enseñamos a ChatGPT y cómo recuerda lo que le vamos contando, aquí la diferencia al crear una cláusula para el alta en un webinar si se hace en una nueva conversación o en una conversación con muchos ejemplos y ajustes previos.

NUEVA CONVERSACIÓN

CONVERSACIÓN CON MUCHOS EJEMPLOS PREVIOS

Como puede observarse, la pregunta era la misma pero el resultado es muy diferente si ChatGPT ha tenido preguntas y apuntes previos que le permiten precisar mucho más y saber dónde ha fallado.

De hecho, la segunda respuesta es francamente buena.

Viendo que la cosa progresaba bien, decidimos subir un poco la dificultad y sugerirle que redactara una cláusula de privacidad para una tienda online, indicando el responsable del tratamiento, la base legal y la necesidad de configurar el envío de publicidad mediante un consentimiento opt-out.

De inicio tuvimos algunos fallos:

Pero tras algunos ajustes y esperar casi un minuto de reloj, conseguimos lo siguiente:

No empezó mal, pero a ChatGPT definitivamente se le atragantó el tema del consentimiento opt-out. Por tanto, aquí regular tirando a error.

Y ya que estábamos, le pedimos que nos redactara un contrato de encargado de tratamiento, pero sorprendentemente sugirió las pautas de lo que debería tener ese contrato (aunque en verdad eran cláusulas más propias de un contrato de prestación de servicios común).

También en inglés dio el mismo resultado.

Eso sí, nos recuerda que el contrato debería ser revisado por un abogado antes de su firma. :p

En resumen:

– Para ser un prototipo, tiene ya aciertos importantes (las cláusulas para newsletter, formulario de contacto, alta, webinar o blog eran correctas en su totalidad o mayoría).

– Guiarlo o darle pautas cada vez más concretas definitivamente ayuda en el resultado, ya que el sistema recuerda lo hablado. Lo que quiere decir que quizá ahora mismo sea mejor para abogados en prácticas que para emprendedores con ganas de gastar poco, ya que la falta de conocimiento previo condiciona bastante el resultado.

– A pesar de las pautas que uno introduzca, parece que hay errores jurídicos inevitables si la fuente usada está plagada de ese error: por ejemplo, el omnipresente consentimiento tácito en los avisos de cookies. Lo que pone de manifiesto la importancia del dataset y los datos de entrenamiento usados, y su corrección.

– A pesar de los éxitos, es obvio que cuando la dificultad de la tarea aumenta también empeora la respuesta, a pesar de los ajustes que se le den. De hecho, en algunas respuestas ni tan siquiera sugiere un modelo (el del contrato de encargado de tratamiento) sino las pautas del mismo (y las mismas no son correctas).

Por tanto, hoy por hoy ChatGPT seguramente no sustituya a ningún abogado en materia de privacidad, aunque sí puede ser útil para inspirarlos y ahorrarles algo de trabajo. Pero a medio – largo plazo no me cabe duda que Facilita RGPD y otras herramientas similares para generar la papelería más básica en privacidad serán reemplazadas por herramientas como ChatGPT.

Quién sabe, quizá ése también sea el futuro de algunas consultoras en privacidad que van a los más básico de lo básico, acabar siendo sustituidas por un chatbot.

La entrada ¿Sirve ChatGPT para redactar cláusulas de privacidad? se publicó primero en Términos y Condiciones.

El término “Dark Web” al que hace alusión el título de la película es la famosa red oscura que requiere de software, autorizaciones o configuraciones específicas para acceder a su contenido.

Esa “Dark Web” también es protagonista de muchas leyendas urbanas digitales (raro es la creepypasta o historias de terror nacidas en Internet que no incluya algún componente de la Dark Web). Ahora bien, no todo en la dark web es ilegal (aunque lo hay y mucho) o propio de películas de terror. También hay servicios y negocios legítimos que, aunque parezca mentira, presentan sus propios términos y condiciones. Y este post quiere ser una pequeña muestra de eso.

Especialmente ya que los términos y condiciones de un sitio en la dark web deberían presentar algunas particularidades que no son comunes en otro tipo de web.

Comencemos pues con nuestra particular historia hacia la web oscura…

1.- El concepto

¿Qué es la Dark Web? Es la llamada internet oscura o el contenido de la World Wide Web​ que existe solo en darknets, redes que se superponen a la internet pública y requieren de software o configuraciones específicas o de autorización para acceder.

No se conoce el primer uso de la palabra (que podría datar de 2009), pero seguramente deriva de “darknet“, un término nacido en los años 70 para referirse a las redes que operaban de forma aislada a ARPANET (el origen militar/gubernamental de Internet).

Sea como sea, la Dark Web es como el tercer escalón hacía abajo de lo que hoy denominamos Internet.

Es decir, la red pública y típica que usamos es Internet y entramos a ella vía un navegador común (Chrome, Safari o Firefox, por ejemplo). Es la llamada “Surface Web” o “Web Superficial”. Representa el 10% de la información disponible.

Luego viene la “Deep Web” o web profunda, es como la anterior pero no está indexada por buscadores como Google o similares. De modo que solo puede accederse a ella si conocemos el enlace (serían por ejemplo muchas webs de bancos, redes sociales, servicios de pago bajo demanda, etc). El concepto fue creado en 2001 por Michael K. Bergman y representa casi el 90% de la información disponible.

Finalmente llegamos a la Dark Web, que está dentro de la Deep Web pero no debe confundirse con ella. La Dark Web tampoco está indexada por buscadores normales, pero tener el enlace no basta para acceder a su contenido, ya que se necesitan navegadores, configuraciones o autorizaciones específicas. Quizá la herramienta más popular para acceder a la Dark Web es Tor.

La Dark Web representa un porcentaje muy pequeño de la web profunda o Deep Web.

2.- La entrada

Ahora que sabemos qué es la Dark Web, ¿cómo entramos?

Solo se puede acceder a la web oscura a través de redes como Tor (Freenet o I2P serían otras opciones) o que se crean específicamente para la web oscura. El navegador Tor y los sitios accesibles a Tor son ampliamente utilizados entre los usuarios de la darknet y pueden ser identificados por el dominio “.onion”.

Lo que hace un navegador como Tor es crear puntos de entrada y rutas cifradas para el usuario, lo que permite que sus búsquedas y acciones en la Dark Web sean anónimas.

De esa forma, las identidades y ubicaciones de los usuarios de la red oscura permanecen anónimas y no se pueden rastrear debido al sistema de cifrado en capas. La tecnología de cifrado de navegadores como Tor dirigen los datos de los usuarios a través de una gran cantidad de servidores intermedios, lo que protege la identidad de los usuarios y garantiza el anonimato.

Por ello, la información transmitida solo puede ser descifrada por un nodo posterior en el esquema, que conduce al nodo de salida. Ese complicado sistema hace que sea casi imposible reproducir la ruta del nodo y descifrar la información capa por capa.

Además, los navegadores de las Dark Web, como Tor,  hacen que los sitios web no pueden rastrear la geolocalización ni la IP de sus usuarios debido al alto nivel de encriptación (tampoco los usuarios pueden obtener esta información sobre quien proporciona la web).

Por lo tanto, la comunicación entre los usuarios de la Dark Web está muy encriptada y eso permite a los usuarios hablar, bloguear o compartir archivos de forma altamente confidencial.

Esa alta confidencialidad y encriptación de la navegación en la Dark Web implica que una página web ubicada en ella no podría monitorizar al usuario, hacer fingerprinting o ni tan siquiera algo tan común como recoger la IP del visitante.

Según la normativa sobre protección de datos el responsable del tratamiento debe indicar, entre otras cosas, los datos que recopila del usuario. Por tanto, la política de privacidad de un dominio .onion en la Dark Web no debería decir que recopila de forma automática la IP del usuario, ya que en la práctica no sería el caso y estaría llevando a equívoco al usuario visitante (diciéndole que recopila algo que no es tal).

Entonces, ¿qué dicen los términos y condiciones de las versiones en la Dark Web de páginas tan conocidas como la CIA o Facebook, entre otras? Vamos a verlo.

3.- La visita

Aunque parezca mentira, en la Dark Web hay más términos y condiciones de lo que uno podría pensar. Incluso en webs solo accesibles desde ahí.

Hemos elegido algunos ejemplos de webs comunes con versión en la Dark Web y otras solo existentes allí, y esto es lo que hemos visto al leer sus términos y condiciones.

LA CIA 

La CIA o Agencia Central de Inteligencia es un servicio de inteligencia exterior de naturaleza civil del gobierno federal de Estados Unidos encargado de recopilar, procesar y analizar información de seguridad nacional de todo el mundo, principalmente mediante la utilización de inteligencia humana.

Su Política de Privacidad es igual en la dark web y en la web normal.

De ese modo, se indica que si simplemente visitas la web, lo haces de forma anónima. En todo caso, hay determinada información que se recopila de forma automatizada, entre ella: la IP, tu navegador, el sistema operativo, hora y fecha, páginas visitadas, la web desde la que llegaste y la palabra de búsqueda usada si vienes de un buscador.

La CIA usa la información recopilada al navegar para tres cosas: 1) procesos de contratación si envías el formulario correspondiente; 2) responder a tus dudas si usas el formulario correspondiente; y 3) ayudar en el cumplimiento de su misión de inteligencia en el extranjero. 

Curiosidad: si envías tu CV a la CIA, el periodo de conservación que aplican es de 1 año. 

Por tanto, la CIA no está ajustando su política de privacidad a las particularidades técnicas de la Dark Web.

Daniel’s Hosting

Daniel’s Hosting era uno de los mayores proveedores gratuitos de alojamiento en la Dark Web. Creado por el alemán Daniel Winzen, el mismo se vio obligado a cerrar en marzo de 2020 debido a una brecha de seguridad que comprometió a más de un tercio de sus clientes, concretamente 7.600 páginas en la dark web.

A pesar de lo que pueda pensarse, la web original contenía una Política de Privacidad y la misma estaba adaptada al RGPD (cumplía bastantes requisitos y algunos mejor que muchas webs más visibles). :p

Por ejemplo, según la Política de Privacidad:

– Daniel Winzen era el responsable del tratamiento en los casos en los que resultaba necesario entregar información personal para usar el servicio (condicionado a la “input mask” o máscara de entrada usada).

– La web solo usaba cookies técnicas necesarias, ninguna para tracking (al menos hasta donde indicaba, si bien no incluía tabla completa de las mismas).

– La web sí decía recopilar datos clásicos como la IP, tu navegador, el sistema operativo, hora y fecha, páginas visitadas, la web desde la que llegaste o el emisor y receptor de email (en el caso de usar ese servicio). Esa información se analizaba y conservaba de forma separada de la personal por un periodo de 48 horas. 

– Proporcionar información personal podía ser necesario para el uso de determinados servicios, de forma que el responsable pudiera protegerse respecto a determinados usos en caso de ser ilícitos.

La Política de Privacidad incluía una detallada explicación de los derechos de los usuarios (incluyendo un “derecho de confirmación” que indicaba al interesado si el responsable procesaba o no datos suyos), una mención a los periodos de conservación (pero no aclarados), que como bases legales aplicaba el consentimiento, el contrato, la obligación legal y el interés legítimo (consistente este último en avanzar con su negocio en favor del bienestar de sus clientes y de él mismo) y que no aplicaba decisiones automatizadas.

Por tanto, en este un caso sí se tenía en consideración el medio donde se operaba y sus particularidades técnicas a efectos de redactar los términos y condiciones.

Deutsche Welle 

Deutsche Welle (“Onda alemana” en alemán) o DW es un servicio de radiodifusión internacional financiado por el presupuesto fiscal federal alemán. Disponible en más de 30 idiomas, a pesar de estar financiado por el gobierno el trabajo de DW está regulado por la Deutsche Welle Act, lo que significa que el contenido está destinado a ser independiente de la influencia gubernamental.

Nuevamente nos encontramos ante un caso en el que no hay diferencias entre la política de privacidad de la versión Dark Web y la web normal, más allá de dos enlaces Onion.

En este caso la Política de Privacidad de Deutsche Welle es bastante estándar (aunque con algunas faltas importantes): recopilan datos automatizados como nombre del archivo accedido, fecha y hora, datos transferidos, IP, web de origen, sistema operativo o navegador web usado, presenta una descripción de derechos algo curiosa (mayormente habla de revocación, rectificación y supresión), hablan de las cookies empleadas y plugins de terceros (Pixel de Facebook, Google Analytcs y muchas más) y… hasta ahí.

Nada o muy poco dice sobre tratamientos, bases legales o periodos de conservación. Eso sí, tienen delegado de protección de datos.

Facebook 

Facebook, la red social por antonomasia creada en 2004 por Mark Zuckerberg, también tiene su propia versión en la Dark Web, concretamente mediante Tor.

Ahora bien, la política de privacidad de Facebook en la Dark Web es la misma que en la web normal, solo que aplica la global en lugar de la europea.

Es decir, al no reconocer el origen del usuario, no se muestra la política de privacidad de ciudadanos europeos según la cual los datos los recopila Facebook Irlanda, o que incluye referencias explícitas a la normativa europea y hace más hincapié a todo lo relativo a las transferencias internacionales.

Por lo demás, es igual y no hay mención expresa a nada relativo al uso de la versión en Onion.

Por tanto, cumple en parte al dirigir al texto más global, pero ese texto todavía habla de recopilar la IP, entre otros datos.

Hidden Wiki

La Hidden Wiki (o Wikipedia oculta) data de 2007 y es la versión en la Dark Web de Wikipedia, permitiendo la edición anónima de sus entradas (muchas de las cuales trataban sobre prácticas ilícitas).

En 2014 desapareció tras ser hackeada, desde entonces hay varias copias de las mismas, pero ninguna de ellas oficial.

Aunque muy breves, había unas Condiciones de Uso en la Hidden Wiki. Las mismas eran mayormente una exclusión de responsabilidad indicando que el contenido se editaba de forma anónima. También indica que todo era responsabilidad de los usuarios, que la plataforma no controlaba lo subido y que si bien no alojaban contenido ilegal, el usuario podía encontrar enlaces que le llevaran a contenido ilícito. Además, recordaba insistentemente que no aceptaban pagos.

Poco más contaban sus términos y condiciones.

4.- Conclusiones

Lo indicado son simplemente 5 ejemplos de las muchas webs razonables que pueden encontrarse o que ha habido en la Dark Web (sin olvidar asociaciones pro privacidad y en defensa de la libertad de expresión, a todas las variantes imaginables en tema criptomonedas en la actualidad).

La conclusión es que si el sitio ya existe en la Internet pública, sus términos y condiciones en la Dark Web serán un copiar/pegar de esa versión con algunos enlaces hacia la versión .onion.

Si el sitio es único de la Dark Web no veremos términos y condiciones ampliamente elaborados, pero sí es común ver exclusiones de responsabilidad, condiciones de uso o incluso algunas condiciones de contratación si el sitio vende online (por ejemplo, todos los que gestionan cripto).

Lo que raramente veremos son ajustes en el texto (especialmente de la política de privacidad) que tengan en cuenta las particularidades técnico -jurídicas de esa lado más oscuro de Internet.

¡Feliz navegación!

La entrada Los términos y condiciones de la Dark Web se publicó primero en Términos y Condiciones.

Workplace, o la entrada de Facebook en el ámbito profesional

Tras más de 2 años de trabajo, Facebook lanzaba esta semana Workplace, su herramienta para que las empresas y sus empleados puedan gestionar el día a día de sus proyectos bajo el conocido entorno de Facebook. Es decir, su feed, sus eventos, grupos y perfiles, pero ahora enfocados al trabajo.

O lo que es lo mismo, una vez conquistado el espacio personal, recordemos que más de una séptima parte del planeta es ya usuaria de Facebook, llega el momento de conquistar el ámbito profesional. Sin embargo, Facebook no es el único interesado en ello. Es decir, Microsoft adquirió este año LinkedIn, Apple no deja de firmar acuerdos con grandes gigantes del mundo corporativo y Google recientemente relanzó su pack de herramientas profesionales.

Por tanto, la sensación es que las grandes multinacionales quieren ahora también jugar un papel activo e importante en el sector profesional. Facebook apuesta fuerte y lanza su propia intranet para empresas y organizaciones, grandes o pequeñas.

¿Cómo lo hace? Pues mediante Workplace, que permite a una empresa: asignar perfiles a sus trabajadores, que estos se organicen en grupos o multigrupos dentro de la misma, que se comparta información de todo tipo y color desde la empresa y entre los trabajadores, mensajería y videoconferencia en tiempo real, calendario, eventos y búsqueda a todos los niveles. Todo ello administrado por la empresa, con hasta 4 tipos de perfiles y bajo la forma más que conocida de Facebook.

Ahora bien, todo ello ocurre y se almacena en los servidores de Facebook. Y si bien se paga por el uso mensual del servicio, es gratuito para ONGs, colegios, universidades y demás entidades relacionadas (Save the Children y Oxfam ya lo usan, por ejemplo).

Por tanto, la apuesta parece seria y agresiva. Y lo dicho, toda la información compartida por empresa y/o trabajadores se aloja en los servidores de Facebook. Parece por tanto buena idea leerse la letra pequeña.

La cuestión sobre los términos y condiciones de Workplace es la siguiente: a través de la auditoría que Ernst & Young hizo del servicio a finales del año pasado, y que la propia Facebook comparte aquí, sabemos por su apartado External Communication que Workplace dispone de: unas Condiciones de Uso y una Política de Privacidad propias, además de la Política de Cookies general. Aunque algo escondidas, Facebook proporciona las Condiciones de Uso Aceptable, la Política de Privacidad y la Política de Cookies de Workplace.

En el texto de las condiciones menciona un Acuerdo Corporativo para Organizaciones que usen Workplace, pero no lo comparte (si alguien lo tiene, lo analizamos con gusto :D).

En ese sentido, su competencia más directa, Slack, lo hace mejor.

En todo caso, lo anterior y la información proporcionada por las múltiples secciones de la web de Workplace, permiten tener suficiente información para hacerse una buena idea de la privacidad del servicio.

13 detalles sobre la privacidad de Workplace

Antes de nada, unos detalles sobre las breves Condiciones de Uso Aceptable de Workplace: a) Workplace es para organizaciones, no para uso personal; b) si lo usas en el entorno de trabajo, su uso puede estar sujeto también a la reglas internas de la empresa en cuanto a utilización de los medios informáticos y; c) Facebook puede limitar o impedir acceso al contenido que alojaste en Workplace por incumplimiento de las condiciones, de su Acuerdo Corporativo o de la ley (aunque procurará avisar con tiempo de ello). :p

Veamos ahora con las cuestiones sobre su privacidad:

1.- Primero de todo, indicar que la Política de Privacidad de Workplace está en castellano pero es de agosto del 2015. Por tanto, cuando todavía el servicio estaba en fase beta. De modo que quizá haya actualizaciones en camino más pronto que tarde.

2.- Para usar Workplace no hace falta tener Facebook. De hecho, son servicios distintos y tu cuenta personal (si la tienes) no se mezclará con la profesional. Por tanto, lo publicado en tu perfil personal no saldrá en el profesional y viceversa. Ahora bien, desde un mismo menú podrás saltar entre un perfil y otro (si tienes los dos). Por tanto, y aunque Facebook dice que los servicios son lo suficientemente distintos desde un punto de vista visual, es cuestión de tiempo que alguien se equivoque y comparta temas personales en la red de trabajo y al revés.

3.- El servicio no incluye publicidad, ni cuando se usa gratuitamente. De hecho, la información recopilada no se utiliza para mostrar anuncios en el perfil de Facebook personal (si el usuario lo tiene). Pero no demos saltos de alegría todavía.

4.- Pueden existir dos tipos de redes: 1) cuando quien te proporciona Workplace es tu empresa, ahí Facebook opera y funciona en nombre de la organización (que es la que controla todo); 2) cuando es Facebook quien directamente te proporciona Workplace (ahí lo llaman autoservicio y en ese caso el control de tu cuenta y datos te pertenece).

Lo más habitual será que el trabajador no tenga control sobre la cuenta y sus datos más allá de lo básico, sino que sea la organización la que haga y deshaga.

5.- En relación a lo anterior, si accedes a Workplace ya que te lo proporciona tu empresa, aceptas que es ella quien controla y ve toda la información que allí compartes.

En ese sentido, la empresa debe establecer las reglas internas propias sobre el uso de medios informáticos de la organización y obtener el consentimiento para procesar los datos en Facebook (que será el encargado del tratamiento).

6.- Al usar Workplace, Facebook recopila tres grandes bloques de información: a) la proporcionada por ti, el resto de trabajadores y/o la organización; b) la recopilada automáticamente y; c) la recibida del grupo de empresas de Facebook.

En cuanto al primer grupo, la información consiste en: datos de contacto, nombre completo, email, género, usuario y contraseña, cargo, departamento, cualquier contenido creado y/o compartido por ti, cualquier mensaje, conversación o dato enviado por compañeros de trabajo y sugerencias que puedan enviarse al servicio.

Respecto al segundo grupo, se trata de datos como: IP, navegador, sistema operativo, datos sobre bloqueos, proveedor de internet, páginas vistas antes y después de usar el servicio, fecha y hora sobre usos o clicks hechos, entre otros datos.

Sobre el tercer grupo, cabe la posibilidad que datos que una empresa de la familia de Facebook tenga sobre mí (WhatsApp o Instagram por ejemplo), se proporcionen a Workplace. Ya apareció la famosa familia.

7.- Toda la información recopilada puede usarse para: mejorar el servicio, comunicar mejoras y feedback a los usuarios, seguridad, personalizar el servicio, relacionar la actividad registrada por una misma persona en dos o más dispositivos, hacer análisis de los datos, mejorar los otros servicios de Facebook (no Workplace en este caso).

8.- ¿En qué casos puede compartir Workplace la información recopilada? Varias situaciones: 1) con la propia empresa para gestión de trabajadores; 2) con los administradores y otros usuarios autorizados para gestionar la red; 3) con proveedores de servicios externos (incluso de EEUU) para ayudar a prestar el servicio; 4) con las empresas de Facebook; 5) con webs, apps o sitios de terceros a los que te conectes vía los servicios de Workplace; 6) en caso de fusión, venta u otros similares; 7) para evitar fraude, cuestiones técnicas o proteger los derechos de Workplace; 8) para lo que requiera la empresa y; 9) sin identificar personalmente a nadie, para detectar tendencias.

9.- Cuando haya un requerimiento legal relacionado con datos almacenados en Workplace (recordamos que esa información está en los servidores de Facebook), siempre se intentará dirigir al solicitante a la empresa. Si la ley no lo impide. En el peor de los casos, Facebook notificaría a la empresa de tal solicitud. Además, las solicitudes de información en materia de protección de datos, siempre se dirigirán a la empresa, a menos que la ley lo impida.

10.- Cuando se utilice Workplace en su modalidad de autoservicio, no habrá notificación ni redirección de ningún tipo. De modo que en caso de requerimiento legal, si Facebook cree que de buena fe la ley se lo permite, responderá directamente.

11.- Los datos compartidos por la empresa y sus trabajadores se alojan en los servidores de Facebook (ver apartado “Data Management” aquí). Los datos siguen siendo de la empresa (faltaría) pero se moverán entre data centers de EE.UU. y otros países. Incluso si son datos del Espacio Económico Europeo ¿Qué ocurre pues con las transferencias internacionales de datos? Bueno, Facebook recuerda que muy recientemente se adhirió a Privacy Shield. Menos da una piedra, supongo.

12.- Workplace implementa sistemas para detectar comportamientos o contenido ofensivo en los datos compartidos, destacándose la pornografía infantil.

13.- Lógicamente, puede cerrarse la cuenta de Workplace si uno emplea la herramienta como autoservicio. Si la usa vía su empresa, ya no depende del usuario sino de la compañía. Además, la empresa puede desactivar o eliminar una cuenta del trabajador, siendo lo más normal desactivar (lo que permite impedir el acceso del trabajador a su perfil pero manteniendo sus datos y contenido). Ahora bien, nada se dice sobre exportar datos cuando una empresa decide marchar (más allá de los eventos a otros calendarios)

En conclusión, Facebook llega al mercado laboral con una oferta muy seria en Workplace. Una ventaja obvia es que todo el mundo conoce Facebook. Por tanto, apostar por algo así pero para el entorno profesional supone poder empezar a usarlo muy rápidamente. Ahora bien, el proyecto me da la sensación que implica meterse en la boca del lobo en materia de privacidad e incluso información confidencial. Quizá no en el corto-medio plazo, pero si funciona, en el largo plazo podemos encontrarnos con montones de empresas alojando los datos de sus empleados, los proyectos que realizan, las conversaciones que tienen y todo lo que gira alrededor de una compañía, en Facebook. Es decir, la mayor base de datos personales de la historia de la humanidad. Ahora todavía más grande… Es demasiado en manos del mismo.

Personalmente no lo haría.

¡Feliz lugar de trabajo!

—–

Seguir a @jorge_morell

La entrada 13 detalles sobre la privacidad de Workplace | Facebook llega al trabajo se publicó primero en Términos y Condiciones.

ACTUALIZADO el 04/10/2016, de acuerdo a los cambios de finales de septiembre 2016 | Novedades en verde.

Los mensajes de Snapchat son efímeros, ¿pero y tu privacidad?

Snapchat, el servicio de mensajería efímera para fotos nacido por allá septiembre de 2011, ya no es obviamente flor de un día. De hecho, ahora la empresa con la que se contrata se llama Snap (la app mantiene el nombre).

Con más de 700 millones de fotos enviadas por día y una valoración superior a los 4 billones de dólares, parece claro que es y será un jugador de peso en el lucrativo mercado de la mensajería en los próximos años.

En todo caso, ha tenido en los últimos tiempos algunas polémicas sobre su privacidad bastante destacadas: un importante crackeo a finales de 2013, las más de 100.000 imágenes supuestamente eliminadas reaparecidas o sus mejorables previsiones legales justo en materia de privacidad.

Vamos allá pues, primero con 3 novedades en sus Condiciones de Uso:

1.- La licencia que damos sobre nuestro contenido a Snapchat les permite ahora alojar y almacenar ese contenido (en las mismas condiciones que antes, eso no ha cambiado). De forma que contenido que en teoría has eliminado, podría tenerlo en sus servidores. Sin embargo, en ningún momento se indica que eso afecte a las conversaciones privadas, sino al contenido compartido en sus canales públicos, como la opción Live Story.

2.- Relacionado con el anterior, ahora hay una nueva licencia en favor de Snapchat y sus socios comerciales (no citados), de forma que puedan usar tu nombre, aspecto y voz en cualquier contenido compartido en sus canales públicos, presentes o futuros. Además, de forma indefinida y gratuita. Vamos, que no te pagarán por eso que compartiste en una de sus Live Stories si al final acaba en un anuncio del socio comercial.

3.- Para los usuarios de EE.UU., se incluye ahora una cláusula de sometimiento a arbitraje (es decir, si hay problemas nada de ir a tribunales menos en casos muy concretos) y una renuncia por parte del usuario a presentar demandas colectivas.

Sobre la Política de Privacidad ahora (destacando las novedades en verde):

• Los términos y condiciones pueden cambiar, pero avisarán siempre. A veces cambiando la fecha de “Última actualización” y otras con un aviso en la web o una notificación. 

• Para usar el servicio debes tener al menos 13 años. Antes en el caso del servicio Snapcash debías tener 18 años, pero esa referencia desapareció. También desapareció la referencia Snapkidz, que permitía usar el servicio a menores de 13 años.

• Para crear una cuenta en Snapchat, mínimo debes dar: un nombre de usuario, tu número de teléfono, una contraseña, un correo electrónico y tu fecha de nacimiento. 

• La información que automáticamente das al servicio es considerable: navegador web, idioma, IP, páginas vistas, mensajes enviados, a quién, hora y fecha, con quién intercambias más mensajes, dispositivo usado, su sistema operativo, su MAC e IMEI o información de diagnóstico en caso de error. También los anuncios vistos, las Live Stories consultadas, tu localización en función del giroscopio, acelerómetro y otros sensores de tu dispositivo, los filtros vistos, las búsquedas realizadas o los identificadores únicos de apps. 

• Snapchat recogía antes de forma automática las apps instaladas en tu móvil cuando se daba un error al usar el servicio. Esa frase desapareció, pero se sigue recogiendo información cuando eso ocurre. Simplemente no indica ningún ejemplo de información. 

• También acceden automáticamente, aunque si lo hemos consentido expresamente, a la agenda de contactos, nuestras fotos y sus datos, así como nuestra ubicación si activamos la geolocalización.

• Snapchat usa los datos recogidos para: dar el servicio; contactar contigo y enviarte publicidad, analizar el uso de la app, mejorar el servicio, personalizar el servicio y sus anuncios, prevenir fraudes y otros fines para los que la información haya sido recogida. Además, alguna información puede quedar almacenada en tu dispositivo a efectos de caché y hacer que la app y el contenido funcionen más rápido. Recordar que el  snapcode y la foto de perfil pueden ser compartidas de forma pública. Dos nuevos usos: 1) contextualizar la experiencia por ej. etiquetando “Recuerdos” con localización precisa; 2) teledirigir y medir mejor los anuncios si tienes localización precisa activada. El tema de la localización precisa se debe haber consentido.

• En cuanto a los anuncios, una novedad, se establece un sistema similar al de Facebook para mostrarlos según intereses. Algo que puede gestionarse desde preferencias de la cuenta. Por cierto, ha desaparecido la referencia a Do not Track.

• Vivas donde vivas, consientes que los datos recogidos por Snapchat se almacenan y tratan en Estados Unidos y “otros países”. La novedad ahora es que puede almacenarse en otros países y que Snap también se ha adherido al nuevo sistema para intercambiar datos entre Europa y EE.UU. llamado “Privacy Shield”.

• Cómo comparte los datos Snapchat: para el envío y recepción de mensajes, para prestar determinadas funciones (vídeo o detección de capturas de pantalla), en historias públicas, para encontrar amigos en el servicio, para que vean tu perfil, con terceros necesarios para prestar el servicio (por ej. alojamiento), con socios comerciales, por un proceso legal, el gobierno, una venta u otro que consientas. Snap también habla ahora de su familia de empresas y que puede compartir con ellas nuestros datos.

• También se comparte información de forma anónima para determinados usos del servicio (por ej. darte pistas sobre si una petición de amistad es o no de fiar) y campañas publicitarias propias o con terceros que lleven a otros servicios.

• Los mensajes se eliminan por defecto, pero hay varias excepciones: si alguien hace una captura, si se usa la opción “Replay, Live Story”, si lo publica en una historia privada (dura entonces 24 horas), si se comparte en una historia pública y si un chat es guardado o fotografiado. En todo caso, un mensaje eliminado puede todavía perdurar durante un tiempo breve o incluso ser recuperado.

Recordar en todo caso que hay contenido que Snapchat puede conservar de forma indefinida, aunque haya sido eliminado, si ha sido compartido en sus canales públicos (por ejemplo Live Story). Ya sea para reutilizarlo en el servicio o con terceros. También se recopilan metadatos, que si bien son recuperables, es difícil eliminarlos en determinado periodo de tiempo.

Por otro lado, la información enviada podría ser accedida mediante técnicas de informática forense o desde el almacenamiento temporal del dispositivo. 

La novedad ahora es que el proceso de eliminación que la app realiza sobre el contenido, puede ser suspendido si legalmente es necesario o para hacer cumplir los términos y condiciones. 

• El acceso a determinada información personal puede ser denegado si supone un esfuerzo desproporcionado, la petición pone en riesgo la privacidad de otros, es repetitiva o directamente ilegal. Además, aunque la voluntad es que el derecho de acceso sea gratuito, se podría cobrar por ello si el esfuerzo técnico fuera muy considerable.  

• Si decides eliminar tu cuenta, tendrás hasta 30 días para restablecerla. Durante ese tiempo la cuenta no estará visible al resto de usuarios.

¡Feliz snap!

—–

Seguir a @jorge_morell

La entrada 13 detalles sobre la privacidad de Snapchat – Actualizado se publicó primero en Términos y Condiciones.

Cuando tu cepillo de dientes tenga política de privacidad

Síguenos en |     

¿Cuántas veces leemos los términos y condiciones de un servicio o producto popular como Facebook o iPhone? Al parecer, viendo los estudios, no demasiado. Principalmente por su extensión y complejidad. Sin embargo, viendo el reciente ejemplo de la cesión del primogénito al aceptar las condiciones de una wifi pública, parece que tampoco leemos las políticas cortas y poco complejas. Vaya, que nos hemos inmunizado a esos documentos conocidos como términos y condiciones.  

 De modo que, sean largos, cortos, fáciles, complejos, divertidos o aburridos, no parece que los leamos. Ahora bien, nos sigue molestando (con razón) que inesperados cambios en las condiciones nos sorprendan para mal o que un nuevo servicio se ponga en plan abusón a través de ellos. No nos gustan esas sorpresas.

 Pues bien, hay malas noticias, esto no ha hecho más que empezar y lo que está por venir es infinitamente superior a lo actual.

 ¿A alguien le suena el Internet de las Cosas? Se entiende como ese concepto según el cual objetos cotidianos, desde una maceta, pasando por una taza de café y acabando por el pomo de la puerta, estarán de forma directa o indirecta conectados a Internet. Según Gartner, en 2009 había menos de 1.000 millones de objetos conectados a Internet, para 2020 espera 26.000 millones. Casi 4 veces la población de la Tierra.

La inmensa mayoría de esos objetos formarán parte de nuevos productos y servicios que captarán nuestros datos y los del entorno (muchas veces un entorno bastante íntimo). Captación de datos cuyos usos, finalidades y prácticas necesitarán de regulación propia. Exacto, más términos y condiciones.

Por tanto, si hoy en día ya es mayúsculo el volumen de regulación alternativa que está en circulación, cuando el Internet de las Cosas esté un poco asentado, ¿5 años vista?, el número de documentos legales a los que no haremos caso pero que inundarán nuestro día a día será impresionante. Así que el número de obligaciones que seguiremos asumiendo sin prestar atención se disparará por las nubes.

¿Ciencia ficción? No, realidad presente. Ciertamente todavía dando sus primeros pasos. Pero parece que en poco más de 5 años comenzará a tener una presencia más que respetable. Vayan por delante algunos ejemplos ya existentes.

Vestibles o wearables como los relojes inteligentes, cuyo tamaño de pantalla presentará un interesante desafío para mostrar los términos y condiciones con unos mínimos de claridad. Sigamos con la gafas inteligentes como Google Glass. Una TV. ¿Y una nevera? Sumemos un termostato (por el que Google pagó más de 3.000 millones de dólares este año). También una taza. Claro, el cepillo de dientes. ¿El pomo de la puerta? ¡Sin problema! Obviamente nuestro coche. El casco de la moto. Tu cama. Un tatuaje. Una bombilla. La cartera. Y ya que estamos, la casa por completo. ¿Sigo?

Creo que la tendencia debería ser obvia, los objetos van a conectarse a Internet, lo que en múltiples situaciones será fantástico. Ahora bien, legalmente eso supondrá vertientes numerosas y nuevas. En materia de términos y condiciones generará un crecimiento exponencial de esta regulación “alternativa” cada día más (omni)presente, uniforme, de veloz ejecución y mayor cambio, aunque de escasa transparencia y seguridad jurídica. Pero a la que en cualquier caso seguimos sin prestar especial atención.

¿Quizá cuando los tengamos a la entrada de casa lo hagamos? Veremos.

—–

Seguir a @jorge_morell

La entrada Los términos y condiciones de las cosas: un extraño futuro se publicó primero en Términos y Condiciones.

Ello, ¿la red social en la que no eres el producto?

Ello, servicio nacido en marzo de 2014, ha saltado al primer plano mediático estas últimas semanas de septiembre como el anti-Facebook o la red social en la que no eres el producto (de hecho ese es su eslogan).

Fundada por Paul Budnitz y otros 6 componentes como una red personal privada, ha estado creciendo a un ritmo de 34.000 usuarios por hora desde la semana pasada. ¿Sus méritos? Afirmar que el usuario no es el producto, que nunca incluirá anuncios, no obligar a usar identidades reales, tolerancia cero con los discursos violentos y política flexible con el contenido de tipo erótico. El servicio es una mezcla de Twitter y Facebook y por defecto existen dos timelines, el de los Amigos y el del Ruido. Puedes seguir a los usuarios desde uno u otro sin que nadie sepa dónde los colocaste.

La razón de su repentina explosión en popularidad se ha debido a la polémica de Facebook con importantes miembros del movimiento LGBTQ, a los que obligaba a cumplir su política sobre identidades reales. Muchos de ellos se han negado, abandonando Facebook y marchando a Ello como red alternativa. Comenzando así su camino hacia la fama.

Por ahora únicamente puede accederse a Ello mediante invitación, pero sus múltiples políticas, términos, condiciones y manifiesto están disponibles para cualquiera, usuario o no.

Vamos por tanto a ver 13 detalles sobre los mismos:

• Comenzando por su manifiesto, dice Ello que no creen en el usuario como producto o en una red social propiedad de los anunciantes. Creen en la transparencia (importante esto, luego veremos porqué) y por tanto no van a convertir al usuario en el producto.

• Siguiendo con la transparencia, su política de seguridad dice que están a favor de especialistas en la materia que busquen las vulnerabilidades en el sistema. Siempre y cuando sigan unos mínimos, bastante lógicos, para ello.

• Como complemento a las Condiciones de Uso y Política de Privacidad, disponen de unas Ello Rules, a modo de los básico que uno debe tener en cuenta al darse de alta. Es decir, nada de amenazas, spam, lenguaje violento, infracciones de propiedad intelectual o vulneraciones de la privacidad de los usuarios. Tampoco se permite el contenido sexualmente explícito que no esté debidamente marcado (puede ponerse la cuenta en modo NSFW). Si se incumplen algunas de las reglas, pueden bloquearte la cuenta, la IP o directamente echarte. En todo caso, siempre bajo el exclusivo criterio de Ello y las reglas pueden cambiar en cualquier momento.

• Vamos ahora con las Condiciones de Uso, ya algo más habituales. Contratamos con “Ello, Inc.” para sus productos presentes o futuros (tienen anunciadas apps para Android e iOS) y necesitas tener al menos 13 años para usar el servicio. Todo lo compartido en Ello es público, menos los mensajes privados. De modo que por ejemplo los buscadores lo pueden indexar.

• El contenido que compartimos en Ello es siempre nuestro, pero lo licenciamos sin límite (lo que quizá sea demasiado ilimitado) a Ello para que puedan reproducirlo, mostrarlo, almacenarlo o distribuirlo como consideren. Desde este punto de vista, Facebook es menos excesivo… En todo caso, aceptamos que lo compartido puedan verlo otros usuarios y que se elimine o transfiera por la razón que sea.

• Nuestro contenido no será vendido a terceros, sin nuestro permiso. Por tanto si consentimos sí puede venderse… Interesante el matiz ya que abre la puerta a consentimientos “accidentales” o “relativamente” informados. Por ejemplo los informes sin datos que te identifiquen (el nombre), que aceptamos que se compartan con cualquiera.

• Sobre la eliminación de la cuenta, puede hacerse en cualquier momento, pero por cuestiones técnicas puede pasar cierto tiempo (no especificado) entre darle al botón y la verdadera eliminación. De hecho, es posible que queden copias (no visibles) de nuestro contenido en sus servidores incluso pasado ese tiempo. En cualquier caso no concretan demasiado sus políticas de retención de datos. Sí lo hacen en cuanto a la actividad del usuario. De forma que si en 60 días no has puesto una foto de perfil, pueden eliminarte la cuenta. Y si en 365 días no has entrado, también. En todo caso te avisarían antes.

• En materia de privacidad, tenemos por un lado la Política de Privacidad y por otro un texto extra sobre cómo se usará la información compartida/recopilada. Comenzando por este documento extra, Ello recopila información cuando visitas la web y te mueves por ella, pero lo hace mediante una versión especial de Google Analytics que recopila datos de forma anónima. Si el usuario quiere mayor privacidad, ofrecen la opción de rechazar ese seguimiento mediante el correspondiente opt-out.

• ¿Qué datos capta Ello con ese Google Analytics especial? La localización, el idioma, la web de procedencia y el tiempo que se ha estado visitando Ello. Los datos se captan de forma anónima y antes de llegar a los servidores de Google se les “oscurece” la IP. Dicen que eso dificulta mucho que los datos se puedan vincular a un usuario o se utilicen para publicidad (aunque la realidad nos dice que es una simple cuestión de tiempo).

• Si en cualquier caso lo anterior no convence, es posible desde las opciones de la cuenta bloquear el seguimiento de Google Analytics. Además, otra particularidad de Ello, acepta la señal de los navegadores Do Not Track (Facebook o Google por ejemplo no la admiten). Con todo, indican que otros productos de Google (Android, Chrome o Youtube) podrían estar enviando información a pesar de haber rechazado el seguimiento.

• Además de la información indicada, Ello recopila el nombre y email al registrarse, el dispositivo usado, las webs visitadas o la información enviada. Por cierto, caben los emails comerciales (que en todo caso se pueden rechazar). En cuanto a cookies, únicamente hablan de las propias, no las de terceros que usen…

• ¿Cuándo puede Ello compartir tu información? Para empezar dice que no vende nuestra información a terceros como anunciantes o data brokers. Sí lo hará en caso de existir consentimiento, si la ley lo requiere o si contrata con un tercero que la necesite para prestar un servicio (hablan de una compañía que procese pagos con tarjeta de crédito en caso de comprar algo vía Ello). También lo podría hacer con afiliados (¿un comprador?) que tuviera en el futuro.

• En caso de modificaciones significativas en el servicio o en los términos y condiciones (concepto como siempre indeterminado), se avisará por email o sistema similar con antelación suficiente, tanto respecto a las Condiciones de Uso como la Política de Privacidad. Por cierto, la normativa aplicable en caso de conflicto es la de Colorado y se acudirá al arbitraje si no pudiera resolverse la disputa de forma amistosa.

En conclusión, ¿eres el producto en Ello? La buena voluntad mostrada apunta al no. También varias de las medidas técnicas adoptadas (respetar DNT, anonimizar buena parte de los hábitos de navegación o permitir identidades ficticias). Pero todavía hay elementos de sobra para convertirte en producto. De hecho hay que dice que ya lo eres. Una de las grandes polémicas de Ello por el momento es que vive de una considerable aportación hecha por un fondo de inversión, pero ese dato no es mencionado en parte alguna de su web (de ahí la importancia de la famosa transparencia que comentaba al inicio). Hay quien dice que nadie invierte en ti casi medio millón de dólares si no es para venderte un día de estos y recuperar lo invertido con intereses. Y cierto es que la Política de Privacidad contempla compartir tus datos con futuros afiliados, un comprador por ejemplo. De modo que lo de convertirte en el producto sería una cuestión de tiempo.

Por tanto no, quizá por ahora no seas el producto. Pero ojo, ya que podría cambiar fácilmente eso. Facebook también dice que será gratis para siempre, pero en realidad no aceptas eso… No lo olvidemos, hablar es fácil.

¡Ello everyone!

—–

Seguir a @jorge_morell

La entrada Ello – 13 detalles sobre sus términos y condiciones se publicó primero en Términos y Condiciones.

¿Qué ocurre con los emails compartidos en un servicio para hacer un Amigo Invisible?

El Amigo Invisible, esa tradición cristiana según algunos (con origen venezolano según otros), consistente en un juego en el que varias personas se hacen regalos entre sí sin que se sepa quién ha sido, se encuentra estos días en plena temporada alta.

Ya sea en familia, en el trabajo o en cualquier actividad en grupo, es raro que no se participe, organice o colabore en algún juego de Amigo Invisible.

La tecnología ha simplificado mucho el proceso a la hora de organizar este juego, hasta el punto que hay servicios única y exclusivamente dedicados a ello. Uno crea el mensaje de advertencia correspondiente, algunas reglas, asigna nombres a correos electrónicos, se le da al botón de “Enviar” y la magia de la tecnología simplifica mucho algo que antes podía llevar un tiempo respetable en orquestar.

Una pieza clave a la hora de hacer un amigo invisible con alguno de los servicios preparados para ello, es el correo electrónico de los que participan en el juego. Ese será el dato fundamental para comunicar a cada participante las reglas del juego y a quién debe hacer el regalo. Como sabemos, el email es un dato de carácter personal. Por tanto, quien usa estos servicios para organizar un amigo invisible proporciona al mismo una cantidad respetable de información personal y el servicio la recopila. ¿Estaríamos ante un caso similar al de las infracciones por supuestos como “Enviar a un amigo”? La verdad es que no voy a entrar en ello, lo dejo para compañeros mucho más expertos en la materia que yo.

A mí me interesa más saber qué dicen las Políticas de Privacidad de esos servicios de Amigo Invisible sobre la finalidad con la que se recogen los muchos emails o qué llegan a hacer con ellos (al menos en la teoría).

He elegido 3 servicios que a priori en castellano parecen estar entre los más populares: Amigo Invisible Online, Elfster y Amigo Invisible Info.

1.- Amigo Invisible Online: Ya con su Política de Cookies, donde principalmente emplea Google Analytics, lo primero es que para usar el servicio hay que ser mayor de edad. Aceptamos la obligación de proporcionar datos veraces, exactos y completos y además aceptamos que disponemos del consentimiento de los datos que se dan de terceros. Si no decimos nada en contra consentimos 1) la gestión de la info dada 2) comunicaciones comerciales en papel (!) 3) comunicaciones comerciales por vía electrónica (si lo hemos consentido expresamente señalan) 4) comunicaciones a los correos electrónicos de los terceros que hemos compartido (aquí parecen limitarse al juego) y 5) mantener todos esos datos por el tiempo que la Ley permita. Sin embargo más adelante, cláusula 9, se habla de usar los correos electrónicos proporcionados con finalidad comercial en el sentido de sugerir ideas de regalo al receptor. Por tanto no parece que el límite sea el juego… Finalmente, se ceden a terceras empresas los datos proporcionados en tanto en cuanto sea necesario para prestar el servicio (algo lógico en todo caso).

2.- Elfster: La primera novedad es que la información personal proporcionada viaja a Estados Unidos (no se decía nada en el otro caso sobre este aspecto). Por otro lado, no hay en este caso Política de Cookies, aunque sí una cláusula breve comentando la cuestión. La información personal o no (se detallan los datos automatizados captados) que se proporcione al servicio, será compartida por éste con sus filiales o subsidiarios para informar de nuevos servicios, es decir comunicaciones comerciales al correo. Para usar el servicio hay que tener al menos 13 años, y si bien Elfster no tiene intención de vender nuestros datos, en varios casos sí los compartirá sin previo aviso: transferencia con finalidad comercial, requerimientos legales, debido funcionamiento del servicio y empresas relacionadas. Finalmente otra particularidad de Elfster, permite la interconexión con redes sociales como Facebook o Twitter, con lo que eso siempre conlleva en materia de privacidad.

3.- Amigo Invisible Info: En este caso la información legal sobre protección de datos proporcionada es algo más escasa que en los otros dos supuestos. Se requiere el registro en el sitio web para emplear el servicio (Elsfter en principio también lo exige) y la finalidad de recoger los datos es facilitar los servicios ofrecidos (se señala que la información proporcionado únicamente tendrá carácter público cuando sea imprescindible para prestar el servicio que se necesite). Nada se dice sobre la edad necesaria para usarlo o dónde se alojan los datos personales. Pero algo interesante, en ningún momento se señala que consintamos recibir nosotros (o los terceros con los que hemos compartido) comunicaciones con finalidad comercial. Buen detalle. En todo caso algo escaso en detalle en materia de privacidad.

En conclusión, los 3 servicios cuentan con Política de Privacidad (el 3º demasiado escasa), todos mencionan los derechos ARCO o de Acceso, Rectificación, Cancelación y Oposición de los usuarios, informan mayormente bien de la finalidad para la que se recogen los datos personales (consistente en el correo electrónico principalmente) y quitando el tercer caso, que no lo menciona, los otros dos contemplan el eventual envío de comunicaciones comerciales a quien organiza el juego y a los emails proporcionados de terceros.

Por tanto, tengamos cierto ojo con los servicios de Amigo Invisible. Son muy prácticos pero en el fondo grandes recopiladores de correos electrónicos que luego, poco o mucho, quieren usar para algo más que comunicarnos a quién debemos hacer el regalo. Ahora bien, creo que en numerosos casos sería cuestionable la legalidad de usar esas direcciones de correo de terceros para el envío de publicidad. Pero en todo caso esa ya es otra historia…

¡Feliz Amigo Invisible!

—–

Seguir a @jorge_morell

La entrada El amigo es invisible, ¿pero y los correos electrónicos? se publicó primero en Términos y Condiciones.