La privacidad de los usuarios y el caso KissMetrics, Hulu y Spotify

En un post anterior hablaba de la necesidad de que al legislar en Internet se creen leyes que puedan realmente cumplirse. Hoy conocemos un caso más en el que la tecnología está por delante de la legislación y se adpta para evitarla, o como decimos en España: "Hecha la ley, hecha la trampa".

Kissmetrics ha sido demandada en base a un informe en el que se demuestra que empleando diferentes técnicas podía guardar un identificador único sobre un usuario a través de diferentes sitios web incluso si este usuario tiene las coockies y el javascript deshabilitado.

Es decir, cualquier usuario que visite una web que tenga el código de Kissmetrics instalado (por ejemplo Hulu y Spotify) es marcado con un identificador único que se mantiene incluso al visitar diferentes webs.

Desde el punto de vista técnico es imposible cuestionar la actuación de Kissmetrics.  Han aprovechado lo que diferentes tecnologías como flash, html5, cookies, javascript, etags... aportan para conseguir realizar un seguimiento de los usuarios que visitan las webs de sus clientes.  Todo es transparente al usuario, no se le engaña ni se le pide realizar ninguna acción que ayude a su seguimiento.  El problema es que no se le informa.

Los diferentes gobiernos europeos y americanos están proponiendo y debatiendo formas de asegurar la privacidad de quienes visitan páginas web, que sean preguntados sobre si desean que se guarden cookies de sus visitas, que información guardar, etc.  Aunque los propósitos son muy loables la puesta en práctica es muy complicada.

Hay que definir muy bien que es información personal y que no.  Si a un visitante que llega a mi web le doy el código 43883 no estoy guardando ninguna información personal, es más ni siquiera estoy guardando información de un visitante, sino de un navegador.  Para mi saber que el visitante 43883 viene 2 veces a la semana y visita 3 páginas de mi web puede ser muy interesante y no implica conocimiento alguno de cualquier dato personal.

Sin embargo si en mi web la gente puede registrarse y el visitante 43883 se registra y pone su nombre, para mí ya no es el visitante 43883 sino Elena Fernández y si además de su nombre me proporciona su edad, estado civil, población, etc... pues tengo un conocimiento muy alto de quien me visita.

Para asegurar el derecho a la privacidad de quien navega por internet las medidas preventivas no sirven.  Para empezar TODO el uso que hacemos de nuestra conexión de Internet queda registrado por nuestro operador de telefonía.  Ellos saben la IP que tenemos asignada en cada momento, que páginas visitamos, que conexiones realizamos, no solo de internet sino de chat, skype, email....  Y los gobiernos son los primeros en exigir a las operadoras conservar estos datos para poder usarlos en cualquier momento.  Es decir, desde el primer momento estamos totalmente rastreados y monitorizados.

La solución a este problema pasa por ser todos usuarios avanzados y emplear comunicaciones encriptadas y programas anonimizadores de las conexiones, lo cual es evidentemente inviable, o bien, hacer valer nuestro poder como consumidores para exigir a las empresas que nos faciliten una política clara y detallada de la cantidad de datos personales que almacenan y su uso.

Al igual que con los alimentos existe la obligación de detallar su composición y una tabla con su valor nutritivo, debemos obligar a las webs a que detallen de forma clara y sencilla la cantidad de datos personales y el uso que hacen de ellos.

A mí no me importa que una web disponga de datos personales mios, siempre que se den dos casos: Que los datos se los haya proporcionado yo y que sepa con claridad el uso que hacen de ellos.  Tampoco me importa que las webs realicen un seguimiento de mis visitas si con ello pueden ofrecerme contenidos personalizados a mis intereses.

Resumen

Todas las actuales iniciativas que se proponen para controlar la privacidad están abocadas al fracaso porque o bien no tienen en cuenta todos los aspectos técnicos de la navegación web o bien obligan al usuario a elegir de antemano y para cada web, algo molesto, intrusivo e inviable.  Creo que la solución pasa por que las propias empresas definan muy claramente la cantidad y el uso que hacen de los datos.  Y los internautas seremos totalmente soberanos para decidir que webs visitar y cuales no.