La privacidad de mis calzoncillos.

Las Navidades son tiempos de consumo y decidí experimentar con el servicio de compra de ropa online en una tienda que tiene su cadena en el mundo físico. Debo confesar que me fascinó la claridad y comprensibilidad de sus políticas de privacidad. Ciertamente impecables y alcance de cualquier ser humano. Sin embargo, me llamó poderosamente la atención un párrafo relativo a la integración e interacción de los espacios de la compañía con las redes sociales. Y no lo hizo tanto desde la perspectiva del cumplimiento normativo, que insisto, potencialmente parece impecable, sino por las implicaciones que derivan del Reglamento General de Protección de Datos, de las reformas nacionales y de las políticas de los reguladores. Y también, por una cuestión epistemológica, a la que me he referido hasta la saciedad en más de un trabajo: la inanidad del consentimiento informado en un mercado asimétrico de la privacidad.

Vaya por tanto por delante, que este ejercicio no es en absoluto revisor de las prácticas de una determinada empresa. Más bien pretende poner de manifiesto cómo las normas sobre protección de datos quedan lejos de ofrecer la protección que anuncian, y apuntar como el empoderamiento de los usuarios puede reconducir la realidad al territorio de la negociación contractual bilateral, al marco de los consumidores y, en último extremo al marco civil.

En esencia, la compañía lo que me decía era bien sencillo de entender: «Si te registras en nuestro sistema, y accedes como usuario registrado a redes sociales de las que tengamos plugins instalados, esas redes “te estarán viendo”. El plugin se va a conectar directamente con sus servidores y les facilitará información sobre aquella de nuestras páginas web que estés visitando. Esa información podrá vincularse con tu perfil de redes sociales, y desde luego lo hará si posteas o haces un like. Por cierto, también podría llegarles tu IP aunque no estés registrados como usuario nuestro. Lo que hagan esas redes con tus datos esto pinchas este enlace y vas y lo miras allí».

En resumen, el mensaje empresarial viene a ser el siguiente. Hemos negociado con las redes sociales nuestras condiciones de presencia en ellas. Así mientras que una PYME, una asociación o una universidad, instalan el plugin y no se ocupan de más, nosotros hemos hecho los deberes. Puesto que no hay más detalle, cabe intuir que exista una derivada adicional perfectamente viable.

«Nosotros tenemos muchos usuarios y usuarias de clase media, sabemos quiénes son y lo qué hacen. Y esto vale dinero ya que muestra tendencias de compra y mercado. ¿Eres de bóxer o slip? ¿Slim Fit o Regular Fit? ¿Talla superior a la XXL? ¿Fibras artificiales o algodón 100% ecológico? ¿Comercio justo? Mis clientes, que también lo son de la red social, valen dinero. Adecuadamente cosificados y customizados tienen un valor de mercado. Y así, nuestra relación podrá ser más profunda. Yo abro mi espacio de venta en tu red, o diseño políticas muy específicas de retroalimentación que ayudan a mi propia publicidad. Por otra parte, tú red social ganas lo tuyo. Efectivamente, el tal Ricard Martínez que no te ha dicho ni media en el registro, que no sabes si tiene pareja o hijos, y que el muy borde marcó aleatoriamente gustos contradictorios, cuándo compra no miente, no se oculta. Vas a saber por fin, si está casado, si tiene hijos, cuánto pesa, si el traje y corbata de su perfil es un uniforme o de verdad el tipo es así… Por fin, tu algoritmo te ayudará a decidir si “Meetic”, el único anuncio que por ahora le pones, es lo que debería ver».

Y esto, entrando ya en la harina del RGPD, nos lleva a ciertos callejones sin salida. Supuestamente si acepto y me registro daré mi consentimiento para el tratamiento de mis datos personales para uno o varios fines específicos. La cuestión es cómo de explicito será, y si es viable que se me imponga una cesión de datos como condición general de la contratación. Parece razonable, que de la definición de consentimiento explícito, y de mantenerse, del futuro artículo 6 de la LOPD, resulte necesario diferenciar las finalidades y deba marcar alguna casilla. Aunque eso ya resulta hoy obligatorio.  Seguramente, y sin salir del artículo 6, alguna mente brillante hará virar las políticas de privacidad hacía el interés legítimo en la mercadotecnia, lo cual implica diseñar una posible oposición al tratamiento. Como puede apreciar el lector, esto podría obligar a la compañía a redefinir sus políticas, y quien sabe si protección de datos desde el diseño y la responsabilidad proactiva le obligan, a modificar cómo funcionan sus aplicaciones.

Pero hay una cuestión adicional no menor. ¿Cómo consintió el usuario? ¿Leyó las políticas de privacidad? Aquí es donde la innovación legislativa puede producir efectos sorprendentes. Si uno lee al detalle el Reglamento General de Protección de Datos observa dos tendencias contradictorias. De un lado se incrementa el volumen de información para el usuario, y de otro, se habla de claridad, simplificación y de usar iconos. Para facilitar las cosas, nuestro pre-legislador, en el artículo 11 del Proyecto de Reforma de la LOPD incluye la doctrina de la AEPD de la información por capas. Y permite simplificarla cuando «los datos de carácter personal sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información». Es decir, nuestro caso.

Nótese que se trata de una habilitación general. No se condiciona a que “el dispositivo” dificulte la lectura. No se dice en las versiones para móvil o tableta. El usuario podrá estar mirando “información simplificada por capas” en una pantalla de 42 pulgadas… Esto no debería afectar a nuestro caso, ya que la finalidad de ceder datos a la red social debería explicitarse supuestamente al menos «si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia».

Sin embargo, del dicho hay un gran trecho. Nuestra compañía nos dice «si quieres saber lo que va a hacer la red social con tus datos pincha en sus políticas generales de privacidad». Es decir, al consentir nuestro tratamiento en realidad estás consintiendo por conexión en otro adicional, y sin precisarte si este es el general que ya pactaste u otro específico fruto de un contrato entre proveedor y red social.

¿Esto obliga a un proceso de reingeniería? Una interpretación estricta sobre el deber de informar sobre la lógica de un tratamiento, debería conducir no a una política general de la red social sino a la específica para este tratamiento ya sea genérica, o la pactada con el vendedor de ropa. Es decir, debería ser muy evidente no sólo si hablamos de mercadotecnia directa sino si estamos en un supuesto de algún tipo de data broking que posea una mayor profundidad.

Pero además, hay que plantearse “cómo se informa”. Y a pesar del detalle de los considerandos 58 y 60 del RGPD, nada impide que siga siendo con un enlace que se puede pinchar o no. Y Allessandro Acquisti, entre otros, ya ha demostrado empíricamente que el usuario no pincha nunca en las políticas de privacidad.

Y esto nos conduce a un escenario muy interesante en el corto plazo. Un usuario convencional no leerá las políticas, e incluso dirá que esa lencería tan sexi le gusta, y compartirá su compra en todas sus redes. Un usuario empoderado se preguntará para que se usa su información, si esta es objeto de una explotación económica adicional y cuánto valen sus datos. Y en cuanto lo haga, pondrá a prueba las costuras del marco regulador. Si presentase reclamación, ¿cómo la abordaría un regulador? ¿Sería posible estimar colectivamente el valor económico de los datos y el impacto en los derechos morales de por ejemplo una práctica de identificación de usuarios en una compra de ropa íntima?

En estos casos solemos enfrentarnos a discursos facilones. Unos se centran en la autonomía del cliente y su deber de leer y entender el contrato, omitiendo el hecho obvio de las condiciones asimétricas de las partes. Otros optan por una radical defensa de la privacidad. Lo que produciría sin duda efectos paralizantes para la transformación digital. Verán, lo que habría que reclamar son ciertas reglas de fair play. No hay que esconder lo que se hace con los datos sino visibilizarlo, hay que contar con el usuario beneficiarlo o explicarle por qué se beneficia, y hay que abordar la complejidad ofreciendo soluciones viables a la empresa. Y para eso no valen aproximaciones teóricas, ni guías ininteligibles. Hoy, las políticas normativas y las aplicativas deben abrirse al escenario de la participación de todos los agentes a la búsqueda de soluciones prácticas.

Y, no, no compre los calzoncillos.