Jules Polonetsky y Omer Tene, del FPF (Future of Privacy Forum) han publicado un interesante «white paper» titulado «It’s not how much data you have, but how you use it«, que podéis encontrar aquí.

Me ha parecido muy interesante porque ilustra muy bien la posición estadounidense de la privacidad, en el contexto de la expansión del «big data«, el nuevo oro de la Sociedad de la Información.

De qué va

El artículo arranca con un interesante análisis de la evolución de las soluciones que integran harware y software. Esto es: desde la posición inicial «a lo Microsoft«, donde una empresa se dedica a vender «sólo» software, se está pasando a iniciativas empresariales en las que lo que se vende es la experiencia integrada para el usuario, que llamaremos «a lo Apple«. No sólo te vendo un aparatito, sino que te asocio una serie de aplicaciones, navegadores, sistemas operativos que, objetivamente, hacen más fácil la vida del usuario. Las ventas van bien, porque el usuario está contento (de ahí, lo de «objetivamente«) y sus expectativas de acceso a la información mejoran. Como ejemplo práctico, pueden buscar los resultados de venta del Kindle de Amazon.

Esta integración hardware-software, por otro lado, genera inquietudes sobre la privacidad del usuario, así que el white paper propone unas soluciones que no si si encajan en lo que entendemos por privacidad en Europa.

Expectativas del usuario

Sigue el artículo. Cuando compro un aparatito «a lo Apple«, el usuario tiene la expectativa (o eso dice el artículo) de ver disminuida mi privacidad, obteniendo, como contrapartida, un mejor acceso a la información. Es decir, como usuario,  (los articulistas dan por supuesto este hecho, pero sin pruebas) que estoy dando muchos más datos personales y acepto que puede haber un tratamiento para finalidades que van más allá de la mera gestión de las relaciones cliente-empresa.

Dicho de otra manera, cuando compro «a lo Apple«, acepto que traten más datos personales porque, en el contexto de la relación con la empresa, me espero que me proporcionen más experiencias satisfactorias, con respecto al mero uso del aparatito. Esto es, acepto una ampliación de las finalidades del uso de mis datos (ya avisé de esta visión en este post).

Siguiendo este razonamiento, las empresas no deberían pedir el consentimiento del usuario, cada vez que analizan sus datos personales, porque las nuevas finalidades para las que quieren mis datos son deducibles del contexto de la relación cliente-empresa. Sólo cuando las nuevas finalidades sean claramente incompatibles (sic), entonces será necesario un nuevo consentimiento expreso por parte del usuario.

Caveat emptor

Con esta visión, se impone al usuario la preocupación de averiguar para qué finalidades se usarán sus datos personales, obligándoles a deducir, por el contexto, todas los posibles usos de estos datos (publicidad comportamental, localización del usuario, historial de navegación, etc.). Me parece un poco desproporcionado cargar esta obligación al usuario, desequilibrando la relación cliente-empresa, a favor de esta última.

Mi opinión está avalada (o eso creo), por el borrador del Reglamento Europeo sobre Protección de Datos (com2012_0011es01) en el que (pág. 9) se habla de «consentimiento explícito» y no ya de «inequívoco«. «Explícito» es lo «que expresa clara y determinadamente una cosa«, como dice la RAE en su diccionario. Es decir, se necesita una acción clara y determinada de querer, por parte del usuario, la aceptación de todos los términos actuales de la relación. No es explícito que el usuario deduzca, por el contexto, qué se va a hacer con sus datos, ahora o en el futuro.

Conclusiones

La futura reglamentación de la privacidad, en Europa, pero también en el resto del mundo occidental, creo que girará alrededor del concepto del consentimiento. Y aquí tendremos que decidir entre, por lo menos, tres distintas opciones:

  1.  Tratar al usuario como a un experto en el uso de las complejas herramientas integradas, que conoce perfectamente (y cuando no las conoce, las deduce) el uso presente y futuro que se dará a sus datos personales;
  2. Tratar al usuario como a un idiota, que no sabe nada y al que tenemos que proporcionar toda la información sobre cómo y para qué se tratarán sus datos personales, para así obtener un consentimiento plenamente informado;
  3. Buscar una posición intermedia entre las dos anteriores.

Supongo que sobre estos temas se estarán peleando los lobbies en Bruselas ahora mismo. Francamente, cambiaría ahora mismo la soleada Alicante, por los grises paisajes invernales belgas, para participar en esta interesante cuestión.