Las galletas… con Colacao

Ricard Martínez Martínez.

La extraordinaria Jornada de la Asociación Profesional Española de privacidad en la que se ha analizado el fenómeno Cookie y los modelos de implementación del paquete Telecom en esta materia mueve a un reflexión profunda. La conductora de la sesión, Cecilia Álvarez Rigaudias, ha hilado un conjunto de cuestiones provocadoras para los ponentes que representaban a usuarios, -Ofelia Tejerina-, Industria, -Paula Ortiz-, y Agencia Española de Protección de Datos, Jesús Rubí. El procedimiento, tan sencillo como eficaz, ha sido el examinar varias páginas web con distintos métodos para proveer información y obtener consentimiento. A los que no hayan podido tener el privilegio de asistir, o de poder ver con posterioridad en diferido la sesión en su condición de persona asociada, les recomiendo que busquen los interesantes resúmenes que seguro les proporcionaran los blogueros de cabecera en privacidad.

Jornada Cookies y Privacidad desde el diseño, de la APEP

Jornada APEP: Cookies & Privacy by Design

Sin embargo son otras cuestiones la que animan esta reflexión.

¿Cómo la prefiere Vd. María, fina y seca, que absorba bien la leche y empape, con canela y azúcar, con forma de dinosaurio…?

Disculpe, no tendrá Vd. unas porras y un chocolate bien negro, de los de toda la vida.

Resulta significativo el enorme esfuerzo del legislador europeo a la hora de regular una cuestión tan compleja en sentido técnico, -hay cookies de todas las formas, colores y tamaños, para alumbrar una regulación que en la práctica desprotege más que otra cosa. Puede parecer una afirmación sorprendente pero admite prueba. Para comprender el sentido último de la tesis que aquí se defenderá debe asumirse que el usuario convencional no sabe lo que es una cookie, y lo que es mas interesante no le importa lo más mínimo. Puede que los sesudos expertos en privacidad que coincidimos en sesiones apocalípticas sobre el fin de las libertades nos levantemos angustiados en mitad de la noche con el rostro desencajado pensando en aquella maldita web en la que aceptamos la cookie. En realidad, ni eso, hacemos lo mismo que todos aceptar, aceptar, aceptar. Y con suerte, como la información sea prolija y maree mucho nos pedimos las porras con chocolate.

¿Pero qué es internet?

En el fondo de todo se encuentra  el determinar cuál es la naturaleza de este medio. El Tribunal Supremo de los Estados Unidos ya se lo planteó en el caso Reno v. ACLU para llegar a dos conclusiones tan lógicas en aquel momento como ineficientes hoy día. Primero, y dándonos a la poesía, desde aquel debate sabemos que internet es una larga conversación sin fin a lo largo del planeta en la que un ciudadano posee los mismos derechos que el New York Times. Y no sabemos qué es pero sí a qué se parece, y en aquel momento se parecía a la prensa escrita. No es una cuestión baladí, ya que mientras que respecto del broadcast se podían justificar desde un punto de vista constitucional limitaciones a los operadores, -como no emitir ciertos programas a ciertas horas o soportar la must carry rule en la televisión de pago-, para la prensa escrita rige la doctrina del libre mercado de las ideas. Esto, tiene una proyección extraordinaria ya que define unas condiciones de libre mercado basadas en un modelo de consentimiento definido por la demanda. Es decir si me interesa me conecto y acepto lo que allí existe. En un entorno así las restricciones de acceso a los contenidos no operan en sentido fuerte.   

Es evidente, que por el camino ha habido que corregir el tiro y desarrollar ciertas normas protectoras, como la Children Onine Privacy Protection Act de 1998, o fijar limitaciones en los entornos dedicados al juego online o al venta de alcohol y productos similares. Pero en esencia, la realidad no es otra que una concepción de internet como un enorme contenedor de espacios más o menos participativos que sirven a la “conversación” y se parecen sobre todo a un periódico.

Quiero que todo sea gratis, quiero que protejan mi privacidad y quiero que lo hagan anónimamente.

Este es el resumen de la carta a los Reyes Magos, que a diario remitimos muchos usuarios de Internet. Permítanme un nada acertado símil. Sería extraordinario poder entrar en una bolera con miles de videojuegos gratis, un espacio donde los amigos charlan y comentan las partidas, una maquina para ver nuestras fotos y recordar las mejores partidas. Y ya puestos donde consumir una bebida no sea obligatorio y te la puedas traer de casa. Pero es que eso no existe. Y si no existe en el mundo físico ¿Por qué debería existir en el mundo virtual?

¿Qué coste tiene el espacio de almacenamiento de los contenidos de una red social? ¿Cuántos técnicos mantienen las aplicaciones? ¿Cuánto dinero hay que invertir en rediseño permanente de servicios para que el cliente siga allí? ¿Qué cantidad se dedica a seguridad y disponibilidad? El usuario no está dispuesto a poner ni un céntimo de su bolsillo en esa red social que hoy tanto le apasiona y la rentabilidad del pay per view, salvo en negocios muy concretos está por demostrar. El usuario, lo sepa o no, paga con su privacidad y sin ser un experto sociólogo me atrevería a afirmar, que incluso cuando es consciente de ello o le da igual esa forma de pago o simplemente le compensa.

Pero además, la implementación de cualquier política protectora se enfrenta a un entorno hostil desde el punto de vista tecnológico. Allí donde el usuario se registra los problemas de cumplimiento normativo se reducen extraordinariamente. Pero, puesto que en todos los demás sitios no es así, nos enfrentamos a una necesidad: proteger a un usuario indeterminado. En estas condiciones, el reto es extraordinario. Si la idea de la Platform for Privacy Preferences hubiera prosperado la cosa cambiaría. El usuario adecuadamente anonimizado arrancaría “su sesión” de navegación y su configuración de privacidad personalizada negociaría por él en milésimas de segundo. Con el uso, la aplicación iría añadiendo excepciones. Pero la realidad no es esta. Asegúrese el lector con ordenador portátil familiar de borrar los rastros de esa página tan divertida que consultó con su cónyuge de madrugada, no vaya a ser que mañana los niños le pregunten que es esa cosa con pilas que no para de aparecer en la parte alta de la pantalla.  

Y ello, conduce a una realidad práctica inexcusable. Si la legislación debe ser cumplida la sesión de navegación parece el único referente posible para mantener activas unas políticas adecuadas. Pero esto no es necesariamente garantía de una mayor protección del usuario.

Esto es demasiado caro, o de nuevo el Coyote y Correcaminos.

Llegados a este punto parece que no sabemos que es internet, no sabemos que es un usuario, o para ser más precisos no sabemos “quién es el usuario”, aunque tenemos su completo perfil de personalidad. Ha llegado el momento de desenfundar tres grandes verdades que no admiten prueba en contrario:

• Lo que se nos exige es costoso y afecta gravemente a la economía.

• El legislador va por detrás de la realidad.

• No se le pueden poner puertas al campo.

Todas estas afirmaciones pueden resultar tan parcialmente verdaderas como falsas. Pretender regular una tecnología concreta, incluso cuando lo soliciten sus desarrolladores, puede en ocasiones resultar una simple temeridad. Por otra parte, toda actividad humana tiene costes y a medida que se consolida, con ella lo hacen las cargas que soporta quien la desarrolla. Sería fantástico desregular al máximo el ocio en la costa y convertir España en el destino del ocio universal, pero los vecinos tienen el feo vicio de querer dormir sus ocho horas. Todo negocio tiene costes y nada obsta a que lo mismo suceda en internet. Pero además, la mayor parte de personas sin necesidad de profundos conocimientos jurídicos saben distinguir la publicidad agresiva de la amigable, la publicidad desleal, el engaño, la manipulación o las conductas perjudiciales para la juventud y la infancia. Y cualquier vendedor en una tienda de ropa sabe que hay una levísima frontera entre ayudar y orientar al cliente y ahuyentarlo por pesados.

Y me temo, aunque no sea agradable decirlo, que esta es la lección que debería aprender la industria. Que el legislador haya tenido que entrar en este territorio como elefante en cacharrería no es un buen síntoma. Por otra parte, puede que a día de hoy el cortoplacismo que nos invade impida otear en el horizonte. Pero, si como cabe esperar el usuario acaba aprendiendo muchos podrían estar poniendo en juego su prestigio e imagen de marca. El esfuerzo que resulta exigible es muy sencillo, se llama transparencia. Se requiere una información clara y comprensible, hay que confiar en el buen criterio del usuario. Resulta sorprendente que quienes pagan salarios interesantes a social media manager para que resuman el alma de la empresa en 140 caracteres no puedan redactar un información sobre cookies de menos de tres folios.

No es el consentimiento.

Para finalizar, este breve recorrido que sin duda no sacará de dudas a quien quiera cumplir la normativa sobre cookies, es necesario referirse al consentimiento. No existe duda alguna sobre que éste constituye el elemento nuclear del derecho fundamental a la protección de datos, el contenido esencial en palabras de nuestro constituyente. Dos mil años de Derecho Romano y Derecho Civil sitúan al consentimiento en el centro de toda manifestación de voluntad de un individúo libre de autodeterminarse.

Sin embargo, a lo largo de ese periodo algunas cosas han cambiado significativamente. Ya no sirve de nada mirar a los ojos a la otra parte y cruzar un fuerte apretón de manos para saber que has concertado un contrato indestructible en el que ambas partes cumplirán. Ya no podríamos escribir aquella gloriosa escena del Conde de Montecristo en la que el armador Morel está dispuesto a suicidarse por no poder pagar sus deudas y la mano benefactora de Edmundo Dantés salva su vida. Más de una vez, y prefiero no poner ejemplos, la contratación es un juego de trileros en el que los recovecos de un contrato ilegible dicen lo contrario de lo que creemos leer. Pero además en determinados servicios, -y en particular en los contratos del tipo pay for privacy, no existe negociación alguna se trata simplemente de “take it or leave it”.

Llegados a este punto ¿qué eficacia pose una información no siempre comprensible y que conduce a un consentimiento que en realidad se va a prestar siempre ya que a lo que se aspira por encima de todo es a la gratuidad del servicio? Por tanto, y dado que la respuesta es obvia, cabe apuntar en otra dirección muy distinta.

Son las Guidelines …, son las Guidelines.

Lo que diferencia de modo significativo el modelo europeo es que el titular del derecho fundamental a la protección de datos no necesita desembolsar un pastizal a abogados que demanden en su nombre. Le basta con denunciar. La función tuitiva que desarrollan las autoridades de protección de datos unida a la definición normativa de ciertas reglas, no siempre precisas, garantiza que los operadores se sometan de modo imperativo a ciertas reglas. Ello compensa sobradamente la debilidad del individuo en la negociación en el mercado de la privacy. Cuando el enforcement resulta particularmente contundente, como en el caso español, las posibilidades de cumplimiento normativo eficiente se multiplican.

Parece por tanto que más que elucubrar en torno a si arriba o abajo, si en ventana emergente o difuminada, o si lo vestimos de lagarterana, urge una acuerdo rápido, claro, preciso y eficaz entre la industria y la Agencia Española de Protección de Datos que permita fijar qué criterio deba seguirse. La pequeña y mediana empresa de este país, que no está para grandes gastos en sesudos estudios, lo agradecerá.

Por los usuarios, no se preocupen Vds. le seguirán dando a aceptar…, aceptar… aceptar….