Edwin Black, en su libro IBM y el Holocausto, sostiene que IBM además de elaborar el censo de población alemana a partir de 1930, hizo uno de la población judía y gitana. Este censo, de inmenso valor para Hitler, sirvió para poner en marcha el Holocausto. IBM afirma que nunca fue consciente de los peligros. Este es solo un ejemplo del peligro que suponen los ficheros y la captación de datos personales sin conocimiento del ciudadano.

Nebulosa de datos de extraordinarias dimensiones, lugar donde espacio y tiempo quedan alterados, internet es un campo ideal para poner en práctica nuevas formas de publicidad y acceder a potenciales clientes.

Esta posibilidad, llamada targetización, es la nueva gran forma de marketing directo gracias a la que las agencias de publicidad pueden lanzar mensajes específicamente dirigidos a cada usuario. Para este marketing one to one es fundamental la identificación del usuario. Esta identificación en Red supone la existencia de un fichero donde empresas y agencias introducen los datos personales de sus clientes para una posterior adaptación de los mensajes a sus características.

Un valor multimillonario

12.883 millones de euros compusieron la tarta publicitaria a repartir en 2010. De esta cantidad, internet recibió 798,5 millones de euros. Es el soporte publicitario que más crece con un aumento del 20,7% en inversión publicitaria. Estos datos corresponden al informe de InfoAdex de 2010, empresa que desde hace más de treinta años realiza el control y el análisis de la publicidad en España.

Las agencias, conscientes de las posibilidades de internet, le dedican departamentos enteros. Por un lado, las agencias tradicionales como las internacionales Grey Interactive o Rapp Collin, han creado nuevas secciones especializadas. Por otro, numerosas agencias nacionales e internacionales han nacido en torno a ese soporte y han dirigido su negocio al marketing on line. Este es el caso de Diana Media Group, Tribeca, Simedia, Barcelona Virtual o Double You.

La única forma legal de obtener información acerca del usuario es cuando éste consiente voluntariamente en proporcionarla, normalmente a través de un formulario o cuando los datos son del dominio publico. Sin embargo, las empresas de marketing, a veces, consiguen los datos sin autorización.

Las cookies son pequeños ficheros de datos que un sitio web transfiere al disco duro de nuestro ordenador que permiten saber quién es quién y qué hace. Las balizas web son imágenes electrónicas que reconocen informaciones en nuestro ordenador y que junto a las cookies se usan para crear estadísticas acerca del uso del sitio web. Ambas son las técnicas más usadas por las empresas y agencias de publicidad, no solo para captar datos en provecho propio, sino para cederlos a terceros a cambio de una contraprestación, aun cuando en las condiciones generales de la web hay un compromiso explicito de no cederlas a terceros. Estas son las llamadas cesiones o compraventa de datos.

Sobre esta ilegal forma de adquisición de los datos personales nada dicen las agencias de publicidad, que niegan la existencia de esa práctica. Sin embargo, la Agencia de Protección de Datos (APD) y miles de usuarios de internet no dicen lo mismo.

Proteger datos en España

Como dato de carácter personal se entiende a efectos legales, tanto aquella información relativa a nuestra identidad explícita, nombre y apellidos, como aquella otra que revela nuestras ocupaciones, información académica, historial médico, etc. La naturaleza de esta información puede ser alfabética, gráfica, numérica, fotográfica o de cualquier otro tipo.

La Constitución española da al derecho a la intimidad el rango de fundamental, y es por ello que la protección de los datos está desarrollada mediante ley orgánica. La Ley Orgánica de Protección de Datos (LOPD), se creó en 1999 y cuenta con un órgano estatal que ayuda a su cumplimiento, la Agencia de Protección de Datos (AGPD). La LOPD, es según José Luis Piñar, ex director de la Agencia, “una ley elevadamente garantista y un referente mundial en la protección de datos de carácter personal”. Sin embargo, “la existencia de esta ley no impide el tráfico de datos, ya que los beneficios económicos que estas prácticas conllevan son cuantiosos”, argumenta Piñar.

María Cárdenas, profesora de secundaria de 50 años, es una de las miles de españolas que han sido víctima de estas prácticas empresariales y lo han denunciado. Gracias a la Agencia, ha ganado una batalla a una multinacional de la relevancia de Telefónica. María se negó a que trataran sus datos, pero Telefónica hizo caso omiso. “Eran continuos los mensajes de móvil que recibía con publicidad de Telefónica, pese a que yo les había pedido ser excluida de toda campaña”, dice María. “Me indignaba profundamente cada vez que recibía un nuevo correo y no tener poder ni sobre mis propios datos, que se rieran en mi cara”, asegura enfadada.

“El deber de secreto respecto los datos encomendados, la utilización estricta para los fines para los que fueron recabados y salvaguardar los derechos del titular de los datos al acceso, rectificación, cancelación y oposición” son algunas de las principales obligaciones del responsable del fichero según Manuel Martín, abogado especializado en derecho administrativo y protección de datos. Además, las últimas modificaciones de la ley añaden más garantías: “El responsable del fichero será quien deba probar la existencia del consentimiento; deberá respetar la revocación del consentimiento que podrá realizarse por el afectado en cualquier momento; y la obligación de inscribir los ficheros en la Agencia”.

El juego del ratón y el gato

Ángel Rodríguez, comerciante textil de 40 años, es otro usuario damnificado por la usual compraventa de datos. Ángel recibía en su teléfono móvil decenas de mensajes publicitarios sin remitente. Harto de tener de 10 a 15 mensajes diarios durante 3 semanas, un día buscó y averiguó su procedencia a través de internet, se trataba de la empresa Zed, a la que nunca había dado sus datos. Llamó pidiendo explicaciones y Zed aseguró que esos datos se los había cedido el periódico Marca. “Entonces, recordé que había contratado un servicio con Marca hacía unos meses”, dice Ángel. “Llamé a Marca, pero ellos también negaban ser responsables”, y fue entonces cuando decidió acudir a la APD. Al ojear su web, descubrió que también contaba con el derecho de cancelación, un derecho que Vodafone le llevaba meses negando. “La ley les daba diez días para que cancelaran mis datos, y llevaban medio año tomándome el pelo”, afirma Ángel. Entonces decidió denunciar a Marca y a Vodafone. “Fue muy sencillo”, asegura este usuario, “rellené con mis datos el modelo de queja que la Agencia tiene colgada en su web y conté brevemente en ella lo que me había ocurrido”. 

Ángel admite que no se “podía creer la rapidez con la que tramitaron mi caso y lo resolvieron”. La resolución le fue favorable, condenando a ambas empresas a cancelar sus datos de sus ficheros y a pagar elevadas cifras. La única pega para Ángel es que creía que las empresas le indemnizarían, pero “el dinero fue para el Estado”. La suma que percibió el Estado por estas sanciones a Marca y a Vodafone, fue de 122.000 euros. Respecto a esto, un abogado de la Agencia, asegura que “esta es la mejor manera de tratar un problema global, con ese mismo carácter de conjunto”. Además, “no se trata de un procedimiento privado en tribunales, sino uno en el que el afectado denuncia, pero es la propia Agencia quien lleva a cabo el proceso”.

Al recibir la queja del afectado, la Agencia pone en marcha el procedimiento, realizando investigaciones y pidiendo pruebas a la parte demandada con las que pueda demostrar su uso diligente de los datos del demandante. En un plazo razonable, ésta emite una resolución donde resuelve la cuestión. Estas resoluciones suelen dar la razón al demandante. Piñar afirma que el fallo más común es la condena a “borrar del fichero los datos del afectado y pagar una cifra, que según el caso suele ir de 600 a 60.100 euros, pero que puede ser mayor”. Por lo tanto, las sanciones impuestas por la Agencia en el caso de Ángel, de 60.100 euros cada una, no fueron multas anormales.

“El afectado podría interponer recurso de reposición ante el director de la Agencia”, mientras que el responsable del fichero, “solo podría recurrir la resolución ante los tribunales de lo contencioso-administrativo”, afirma el abogado Martín. Sin embargo, el letrado añade que estos casos no suelen dar el salto a los tribunales, ya que “la vulneración es tan evidente, que lo mejor para las empresas es pagar y cerrar el asunto”.

“La compraventa de datos es muy complicada de demostrar”, asegura el abogado de la Agencia, así que la mayoría de  casos que resuelve este órgano es a través de la figura de la “cesión o comunicación de datos”, que supone “el traspaso de los datos de una empresa A a una empresa B, sin conocerlo ni haberlo consentido el afectado, algo que  la ley exige”. La cesión de datos está prohibida por la LOPD, exigiéndose a toda empresa que posea datos de un sujeto a que estos hayan sido cedidos de manera voluntaria y a informarle previamente del uso que de estos hará.

Cada país, un mundo

Las resoluciones de la Agencia demuestran que las empresas que más infringen los derechos de privacidad de los españoles, son multinacionales como Google, Yahoo France Telecom, Telefónica o Vodafone. Peter Fleischer, responsable mundial de privacidad de Google, en su última visita a España, confesó que una de las prácticas básicas de Google es almacenar datos porque “el éxito de Google reside en ayudar eficazmente a sus usuarios a buscar información, y cuanto más datos tengamos del usuario, más rápida y certera será su búsqueda”. Intentando tranquilizar a los usuarios, Fleischer aseguró que Google cuenta con una herramienta con la que el consumidor puede ver la categoría por la cual le mandan anuncios y modificarla.

El problema de fondo, según Fleischer, es que “el concepto de privacidad es algo más cultural que jurídico” y es por ello que “tres cuartas partes del mundo no tienen ni la menor normativa sobre privacidad”. En el caso de Estados Unidos, que cuenta solo con autorregulación en esta materia, Fleischer lo asocia a que las normativas duras y sin flexibilidad como las legales, “entorpecen el movimiento continuo de datos que necesita la sociedad actual”. Flishcher tiene una visión muy particular del asunto porque llegó a afirmar que, siendo internet una nebulosa de datos, “las transferencias de datos no existen”.

“La falta de entendimiento entre España y Estados Unidos” es efectivamente “de raíz, ya que allí no se considera la protección de datos como un derecho fundamental, y en España sí”, considera Piñar. Para el ex director de la Agencia, “es un error dejar estos derechos en manos de la autorregulación”, que es de carácter facultativo y no imperativo, porque así “solo se respetan los derechos cuando conviene”.

En pocos países existe ley de protección de datos. La pionera fue Alemania en 1972 con las leyes Land de Gesse. Lo llamativo es que no existe en países como Francia o China, pero sí en otros como Colombia, Méjico o Burkina Fasso.

El último proyecto de los países que como España tienen tradición en proteger la privacidad es la “Propuesta Conjunta de Estándares Internacionales de Protección de Datos y Privacidad”. El documento pretende el reconocimiento de la privacidad como derecho fundamental, con independencia de la nacionalidad o de la residencia de las personas. Su firma por parte de todos los Estados ayudaría a reducir las diferencias entre legislaciones en esta materia.

Donde dije Diego digo…

“Autorizamos a empresas colaboradoras o «servidores de publicidad remotos» a distribuir publicidad en nuestras páginas. Ocasionalmente, estas empresas pueden enviar sus propias cookies a su ordenador”. Así dice la llamada Carta de Protección de Datos Personales de Michelín. Según Manuel Martín, se trata de una “fina forma de hablar de cesión de datos, algo prohibido por la ley. Usar el término “empresa colaboradora” pretende dar “normalidad a un hecho que está prohibido por la LOPD, como si los datos se quedasen en la propia empresa y no fuesen a recalar en otras distintas. Es el usuario el único que legalmente puede dar esa autorización”, afirma Martín.

“Le recordamos que en todo momento puede usted aceptar o rechazar la instalación de una cookie en su terminal de conexión para dejar de recibir la publicidad personalizada que se le ofrece”, dice poco después Michelín queriendo tranquilizar al usuario. No obstante, como afirma Martín, “parece que nos están haciendo un favor, cuando es el usuario quien tiene que dar el consentimiento previo y expreso para que se le remita publicidad. La utilización de las cookies, parece una excusa para no hablar de cesión de datos. Cuando además, las cookies, son una figura de discutidísima legalidad”.

Otro caso curioso es el de Ebay, que pese a comprometerse a  que no venderá ni cederá información personal a terceros con fines publicitarios, admite que podrá combinar tu información con la que recopile de otras empresas, de cara a personalizar su servicio. Esto, según Martín, “debe asustarnos de igual manera, porque si accede a tus datos a través de terceros, la cesión de datos es un hecho y tanto Ebay como la otra empresa tendrían responsabilidades legales”.