CC0 Creative CommonsAcertado y radical artículo de Doc Searls en su blog de Harvard, GDPR will pop the adtech bubble, en el que incide en lo negativo de la espiral tecnológica de la llamada adtech, para muchos lo peor que ha pasado a la publicidad en toda su historia y probablemente la responsable de la escalada en el uso de bloqueadores de publicidad, una guerra en la que, presumiblemente, aún nos quedan muchas batallas por vivir.

La esencia del problema es la de siempre: que hacer seguimiento de las personas sin su conocimiento, consentimiento explícito, aprobación o una orden judicial es algo erróneo, que genera rechazo de manera natural, y que además, no funciona: los usuarios afirman que acaban hartos de ver cómo los mismos anuncios de las mismas compañías les persiguen por toda la web, anuncios que en muchas ocasiones les resultan completamente irrelevantes o corresponden a productos que ya han adquirido, y que prácticamente en ningún caso influencian su decisión de compra, por muchas ensoñaciones que se hagan los directores de marketing recurriendo a métricas completamente erróneas. Que puedas identificar a una persona por las características del dispositivo que usa, mediante una cookie que no puede eliminar o mediante técnicas más dignas de una agencia de espionaje que de un anunciante no quiere decir que hacerlo sea una buena idea. Es más: es posible que sea una idea muy mala, y que acabe volviéndose en tu contra.

Con la entrada en vigor de GDPR el próximo día 25 de mayo, son muchos los que, como Searls, esperan ver cómo se pincha la burbuja del adtech, una “moda” nociva en la que todos los anunciantes y agencias han querido invertir sin cuestionamiento alguno, pero que realmente ha tenido muchos más efectos negativos que positivos. Dentro de la fortísima resaca de casos como el de Cambridge Analytica, hasta Facebook está moderando sus métodos y tratando de poner coto a determinadas malas prácticas, desde esquemas demenciales destinados a engañar a los algoritmos de Instagram, hasta más de doscientas aplicaciones que capturaban datos de manera indebida, pasando por prácticas antes permitidas o incluso alentadas, como la incorporación al targeting de datos de terceras partes. Otro de los grandes monstruos de la publicidad online, Google, también ha anunciado fuertes limitaciones a la actividad publicitaria de terceras partes en su plataforma. Y si esto lo hacen Facebook o Google, que distan mucho, en este sentido, de ser “angelitos”, y lo hacen no solo por responder a los recientes escándalos sino también por adaptarse a la inminente aplicación de GDPR, cabe esperar muchos más efectos en ese sentido.

Si estás en el negocio publicitario, vete empezando a planteártelo: GDPR puede suponer un fuerte cuestionamiento, so pena de fuertes multas, de las prácticas publicitarias que muchos pensaron que estaban aquí para quedarse, pero que dieron origen a una situación claramente insostenible, a lo que estaba cada vez más delimitando una receta para el desastre. El secreto del éxito para el futuro no está en tratar de construir formas de engañar a GDPR o a evitar sus efectos, sino entenderlo como lo que es: un reglamento que emerge de una fuerte presión popular, de un descontento masivo que reclamaba acción a los legisladores. GDPR tendrá muchas cosas buenas y muchas malas, y habrá que esperar a que haya pasado un tiempo tras su entrada en vigor para valorar de verdad sus efectos, pero lo que sí es seguro es que la publicidad no va a poder seguir funcionando de la misma manera. Y para muchísimos usuarios hartos de los abusos infumables del adtech, eso son muy buenas noticias.

 

IMAGE: Nick Youngson CC BY-SA 3.0 Alpha Stock ImagesDos noticias aparentemente contrapuestas me llaman la atención esta semana en el complejo asunto de la Facebook post-Cambridge Analytica y el futuro que la espera: por un lado, la compañía está llevando a cabo estudios de mercado destinados a intentar averiguar qué porcentaje de usuarios podría estar interesado en un modelo de suscripción, un pago mensual a cambio de utilizar la red social sin verse sometido a ningún tipo de publicidad ni a tratamiento de sus datos. Por otro, unas declaraciones de Matt Hancock, Secretario de Estado de Digital, Cultura, Medios y Deporte del Reino Unido, en las que afirma estar abierto a la idea de obligar a plataformas digitales como Facebook o Google a pagar por los datos que extraen de sus cientos de millones de usuarios.

¿Cuál es el futuro de nuestros datos personales? En el momento actual, y a la espera del escenario que resulte tras la entrada en vigor, el próximo 25 de mayo, del Reglamento General de Protección de Datos en la Unión Europea (que afecta a todo aquel qe pretenda desarrollar relaciones o negocio de algún tipo con sus ciudadanos), nuestros datos están simplemente ahí, abiertos a prácticamente cualquier tipo de recolección, análisis o transacción de cualquier tipo. Poco ayuda a la especulación sobre el futuro el enorme analfabetismo de la mayoría de la población en este aspecto, carente de cualquier tipo de fundamento o lógica empresarial y que lleva a una gran cantidad de personas a pensar que sus datos son un objeto constante de compraventa entre compañías: con excepciones, nuestros datos son recopilados, procesados y explotados por las mismas compañías, que no los venden a terceros por una simple cuestión de lógica y viabilidad, sino que se limitan – que no es poco – a permitir su explotación, con sus términos, sus condiciones y sus herramientas.

Ambos futuros, de hecho, podrían ser compatibles, aunque arrastran connotaciones relativamente complejas. Muchos han querido relacionar la idea de que las compañías que explotan nuestros datos paguen por ellos a sus legítimos propietarios un cierto porcentaje de las ganancias que generan con ellos, una suerte de “renta básica” que provendría de esa cesión consciente de nuestros datos para su explotación. La posibilidad de combinar esa idea con un modelo freemium que, potencialmente, excluyese a aquellos que pueden pagar por ellos de ese modelo basado en publicidad y de ese tratamiento de sus datos evoca una sociedad estratificada, con una capa privilegiada que paga por el derecho a su privacidad mientras otra se ve obligada a sacrificarla y ponerle un precio para obtener a cambio un determinado ingreso.

Por otro lado, una dualidad así requeriría de algunos análisis de escenarios: obviamente, eliminar a los perfiles potencialmente más interesantes del abanico al que un posible anunciante puede impactar a través de una red social es un factor que reduce el atractivo total de anunciarse en esa red social. Si la propuesta mayoritaria de una campaña en Facebook pasa a ser únicamente la de impactar a los que no pueden pagar para salvaguardar su privacidad, la inversión potencialmente realizada por esas marcas podría reducirse en consecuencia, y habría que ver hasta qué punto los ingresos recibidos por Facebook en concepto de suscripciones puede ser suficiente como para compensar esas pérdidas. El correspondiente análisis implica entender no solo el porcentaje de usuarios potencialmente interesados en pagar por ese servicio freemium,  sino también la correspondiente sensibilidad al precio, que podría buscar una estrategia de posicionamiento amplio o más o menos elitista.

¿Cuál es el futuro escenario para la explotación de nuestros datos personales, una actividad que hoy implica a unas pocas compañías, pero que muy posiblemente sea cada vez planteado por compañías en más y más ramos de actividad? Pagar a los usuarios por el acceso a esos datos? ¿Que sean los usuarios los que paguen para evitarlo? ¿Ambos? Muchas posibilidades, que posiblemente dependan de la evolución del escenario que se genere tras la aplicación de GPRD, y muy pocas certidumbres.

 

IMAGE: CC BY-SA 3.0 Nick Youngson - Alpha Stock ImagesLa inminente entrada en vigor del Reglamento General de Protección de Datos (GDPR) el próximo día 25 de mayo, que obliga no solo a las compañías radicadas en Europa sino también a todas las que pretendan ofrecer productos o servicios a ciudadanos de la Unión Europea, está teniendo una primera consecuencia interesante: una gran cantidad de compañías están reescribiendo sus términos de servicio (TOS) con el fin de convertirlos en documentos que un usuario medio, sin necesidad de un conocimiento profundo de leyes, pueda aspirar a entender.

La opacidad y longitud de los documentos que definen los términos de servicio es un tema sobre el que he escrito en numerosas ocasiones: la cajita que marcamos para indicar que, supuestamente, hemos leído y entendido los términos de servicio cuando abrimos una cuenta o nos damos de alta en un servicio es, sin duda, la gran mentira de internet. Pretender seriamente que alguien se lea y entienda cincuenta y seis páginas de cláusulas referentes a todo tipo de aspectos escritos no en español ni en inglés, sino en “legalés” es algo completamente absurdo, y es además uno de los temas que GDPR ha expresado de una forma razonablemente clara: el reglamento subraya como requisito un lenguaje claro y sencillo a la hora de explicar el consentimiento al usuario, algo que, en la gran mayoría de los casos, está muy alejado de la situación que vivimos actualmente.

Pero obviamente, las compañías que utilizan este tipo de documentos largos, enrevesados y complejos no lo hacen por capricho: cuando la red comenzó a convertirse en un vehículo para actividad económica, la provisión de servicios o la venta de productos, muchos vieron la oportunidad de aprovecharse de una mentalidad que surgía, en principio, de una actitud básicamente ingenua, de una comparación directa con las actividades correspondientes fuera de la red. Cuando cuando entramos en una tienda en la calle, paseamos por ella mientras examinamos productos en sus estanterías, tomamos alguno, lo pagamos y nos vamos, no firmamos ningún tipo de documento de términos y condiciones de servicio. Cuando esas actividades pasaron a la red, en un contexto en el que mucha de la interacción cambiaba y se situaba de repente en un entorno que, para la mayoría de los usuarios, generaba más incertidumbre, las compañías se vieron en la necesidad, en muchos casos debido a acciones y casuísticas generadas por los propios usuarios, de poner por escrito los las reglas que gobernaban esos intercambios comerciales. De nuevo, el leguaje jurídico no es alambicado, complejo y difícil de leer por capricho de alguien, sino por una necesidad de concreción, de definición que evite las ambigüedades, que deje muy poco a la interpretación. Así, los asesores jurídicos de estas compañías, ante un contexto redefinido, trataron de contemplar todos los posibles supuestos y de reflejarlos en los términos que conocían, en el lenguaje que estimaban que tenían que utilizar para tratar de blindarse ante cualquier eventualidad.

El resultado está claro: el propio Mark Zuckerberg, cuando un senador le leyó una parte de la primera página del largo documento de TOS de Facebook y le dijo que aunque era abogado, era incapaz de entender lo que decía esa frase, contestó que “no creía que el usuario medio fuese a leerse todo ese documento”. ¿En dónde nos deja algo así? Sencillamente, en que ese usuario medio, en efecto, no se lee nada, y simplemente confía que esos TOS estarán redactados con “sentido común”. Así, como comprobaron dos profesores cuando pidieron a sus alumnos que se diesen de alta en una red social inventada, podemos esconder entre las cláusulas de los TOS cualquier cosa, incluso la obligación de entregar sin condiciones a la compañía a nuestro primer hijo, que los usuarios llegarán, harán clic en el cuadradito indicando que han leído y entendido el acuerdo, y seguirán adelante con su vida, completamente ignorantes con respecto a lo que han firmado.

A lo largo del tiempo, la evidente incoherencia entre lo que los usuarios supuestamente aceptan y la imposibilidad de leerlo o entenderlo se ha hecho patente en numerosas ocasiones: después de todo, los TOS actúan, salvo en casos claramente abusivos, con la validez de un contrato, y los abogados pueden utilizarlos en toda la extensión de sus intereses. En el año 2012, el francés Hugo Roy, actualmente en la Free Software Foundation Europe, creó Terms of Service, Didn’t Read, un servicio con plugin para el navegador incluido, que permite calificar los documentos de TOS de las compañías y aspira a explicarlos o a hacer presión de cara a su eventual simplificación. Ahora, en pleno paroxismo por la próxima entrada en vigor de GDPR y mientras muchas compañías se quejan de la dificultad para adaptarse a sus requerimientos, podríamos encontrarnos con que uno de sus primeros efectos sea precisamente ese: que las compañías se vean obligadas a hacer un esfuerzo por convertir sus TOS en documentos realmente legibles, que una persona normal pueda aspirar razonablemente a leer y entender. Si es así, puede ser que hasta haya valido la pena. Y si en tu compañía no os habéis puesto aún con ello, ya va siendo hora…

 

IMAGE: BiljaST - CC0 Creative CommonsFacebook se dispone a hacer un cambio en la atribución de todos los usuarios no europeos que vivan fuera de los Estados Unidos o Canadá, unos 1,520 millones de personas en África, Asia y América Latina, para hacer depender sus términos de uso de Facebook, Inc., compañía norteamericana, en lugar de Facebook Ireland, la subsidiaria que creó en 2008 para aprovechar las reducidas tasas de impuesto de sociedades del país. Con este movimiento, reduciría sensiblemente el impacto de la entrada en vigor del Reglamento General de Protección de Datos (GDPR) el próximo 25 de mayo, así como el riesgo potencial en caso de infracciones, previsto en un máximo de un 4% de los ingresos globales anuales de la compañía.

El movimiento contrasta con las expresiones de interés anteriores de Mark Zuckerberg en vísperas de su comparecencia ante el Comité del Senado de los Estados Unidos sobre Comercio, Ciencia y Transporte en las que anunciaba que su compañía tomaría el marco europeo definido por la GDPR como un estándar a nivel mundial, para así ofrecer el mismo nivel de control sobre su privacidad a sus usuarios en todo el mundo. Ahora, todo indica que esa idea se reduce a ofrecer a quienes no estén de facto de manera obligatoria por su residencia bajo el paraguas europeo unos controles “similares” que respondan a un espíritu parecido, pero que no caigan bajo el control de unas autoridades con las que la compañía ha tenido ya numerosos encontronazos, y sobre todo, limitando el importe máximo de posibles sanciones en caso de incumplimiento. 

En su momento, algunos analistas avanzaron sus dudas con respecto a aquellas declaraciones de Zuckerberg con titulares “oscilantes” en uno u otro sentido. Esas dudas parecen ir desvelándose: lo que indica el movimiento es que la compañía se adaptará al marco regulatorio en cada uno de los territorios en los que se sitúe su actividad, pero no necesariamente tomando la métrica europea como estándar, o al menos, no dependiendo realmente de sus controles. Desde un punto de vista operativo, esto podría suponer una cierta rebaja de expectativas: fuera de Europa, la compañía ya solo tiene que “intentar acercarse” al nivel de protección europeo, pero en la práctica, nada la obliga realmente a ello ni la amenaza con posibles sanciones si no lo hace. Si en algún momento, y en parte seguramente como reacción al escándalo de Cambridge Analytica y a la comparecencia de Mark ante el comité del Senado, el gobierno norteamericano o el de otros países decide desarrollar un marco legislativo que dote a sus ciudadanos de niveles de protección parecidos a los europeos o inspirados en ellos, la compañía tendría lógicamente que adaptarse… pero mientras eso no ocurre – y en el caso de la administración norteamericana, no parece que vaya a ocurrir pronto –  es mejor seguir dependiendo de legislaciones más benevolentes en ese sentido. No precisamente el nivel de propósito de enmienda que la compañía parecía expresar cuando comenzó a plantear cambios en la forma en que trataba los datos personales de sus usuarios tras las disculpas de su fundador.

Si quieres cambiar realmente tu compañía, procura establecer mecanismos y simbología que permitan ver claramente que las cosas han cambiado. Si lo primero que haces ante un cambio legislativo que podría proteger más a una parte de tus usuarios es salir huyendo y llevarte a esos usuarios a otro sitio en el que ese cambio no les afecte, realmente no es un buen indicador de que te estés tomando ese cambio demasiado en serio, y parece reflejar más bien una situación de búsqueda de contingencias, de mero control de daños. Ofrecer controles “similares” a los europeos no es lo mismo que ofrecer los controles europeos, de la misma forma que la ley no es necesariamente lo mismo que el espíritu de la ley. El primer es lo que es, el segundo depende de quien lo interprete. Interpretada por Facebook, con sus indudablemente peligrosos antecedentes, la GDPR no va a ser la GDPR, sino algo que posiblemente sea parecido, o posiblemente ni siquiera eso, porque nada obliga a la compañía a ello más que un acto de voluntarismo. Y cuando hablamos de la interfaz entre privacidad y Facebook, es muy posible que el voluntarismo se quede muy corto y no sea suficiente. Veremos en que se queda. Pero como forma de abrir la conversación después de un escándalo, no parece presagiar nada especialmente halagüeño.