Piratería… Si preguntamos a cualquier directivo de la industria del software, con toda probabilidad asociará esta palabra con pérdidas económicas y reducción de empleo. Pero, ¿ha sido siempre así? La experiencia nos demuestra que no: una de las claves del éxito de una determinada aplicación es contar con una base de usuarios lo más amplia posible, convertirse en un estándar de facto. Y la forma más rápida de conseguirlo es manteniendo una posición tibia y tolerante en lo que a la piratería se refiere. Así lo han hecho en el pasado algunas de las más grandes compañías del sector, y así lo siguen haciendo muchas otras en la actualidad.

Parece un buen plan, ¿verdad? Positivo para la industria, que consigue introducirse en el mercado, ganar cuota y generar usuarios… y positivo para los clientes, que consiguen (recurriendo a la picaresca) un producto de calidad con una inversión mínima, en ocasiones incluso nula. Sin embargo, y como suele ocurrir, no es oro todo lo que reluce. Llega un momento en el que los desarrolladores buscan recuperar su inversión, y es entonces cuando la cosa se complica. Las versiones de prueba que nunca caducaban dejan de funcionar. Las actualizaciones a través de Internet no pueden instalarse. O directamente, aparece en nuestro buzón una carta de la empresa de turno invitándonos a «regularizar» nuestras muchas licencias piratas.

Una política como la descrita provoca, antes o después, serios quebraderos de cabeza para todo el mercado:

• Para el cliente, que termina por depender de un software determinado, y cuando se ve en la necesidad de desembolsar un dineral para seguir usándolo se encuentra con un triple dilema: o pagar, o afrontar una reconversión total de sus sistemas, o mantenerse en la ilegalidad asumiendo las posibles consecuencias legales;
• Para el fabricante, que ante los escandalosos porcentajes de piratería se ve obligado a lanzar costosas campañas jurídicas y publicitarias, que a menudo criminalizan a los clientes;
• Y para todo el sector, con las consiguientes demandas multimillonarias por vulneración de la competencia.

Resulta obvio que ganar cuota de mercado es imprescindible para la industria del software, y que ahorrar costes lo es también para los clientes. Ahora bien, es igualmente imprescindible que las prácticas llevadas a cabo para conseguirlo no se limiten al corto plazo, y que se planifiquen con la suficiente base jurídica para permitir a desarrolladores y clientes saber a qué atenerse, ahora y en el futuro. Evitar sorpresas, sin conformarnos con el “seguro que no se enteran” o el «tranquilo, que no te vamos a decir nada».

Como casi siempre, la mejor opción pasa por un asesoramiento previo a la toma de este tipo de decisiones, tanto para proveedores como para clientes. Solo así podremos defender que la opción elegida era realmente la más adecuada… y no sólo la que más dinero reportaba (o menos consumía) a final de mes.

Es de sobra conocido que, desde hace meses, Bruselas está trabajando en renovar el marco comunitario de la protección de datos. Ya lo anunció en una conferencia de alto nivel celebrada en mayo de 2009, y ahora nos lo recuerda a través de una Comunicación titulada «Un enfoque global a la protección de datos personales en la Unión Europea«. Entre las muchas e interesantes reflexiones incluidas en este documento nos permitimos destacar una, muy relacionada con otro tema que tratábamos hace unos días: la propuesta de clarificación del llamado «derecho al olvido».

Al contrario de lo que afirman muchos medios de comunicación, el derecho al olvido no es algo nuevo. La jurisprudencia norteamericana lo reconoce desde 1931, y en nuestra legislación figura en el artículo 4.5 de la LOPD: «Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados». El problema, como afirma la Comunicación de la Unión Europea, es que en Internet, y en especial en las redes sociales, es especialmente complicado «que los individuos puedan ejercer un control efectivo sobre los datos que les conciernen». De hecho, la propia Agencia Española de Protección de Datos advierte en su web que «al dar de baja un perfil, y a pesar de haber cancelado la cuenta, cierta información puede seguir publicada en los perfiles de tus contactos de la red social». De ahí que Bruselas se esté planteando reforzar este derecho.

A diferencia del «derecho de cancelación», reservado para suprimir aquellos datos que resulten ser «inadecuados o excesivos», el derecho al olvido se acerca más a la denominada «revocación del consentimiento». Un matiz importante, porque la filosofía detrás de esta figura es completamente distinta: dado que nuestros datos personales nos pertenecen, podemos decidir en cualquier momento que no queremos que una empresa los siga tratando. Aunque no sean excesivos. Y sin más explicaciones.

Mientras que la Directiva de Protección de Datos ni menciona esta figura, en España está ya concretada en el artículo 17 del Reglamento de Desarrollo de la LOPD. Para ahorrarles la lectura, básicamente se regula que los ciudadanos tendremos la posibilidad de revocar nuestro consentimiento de forma sencilla y gratuita, y que las empresas tienen un plazo de diez días para atender nuestra petición. El problema es cómo hacer realidad esta facultad en Internet, donde las empresas se escudan en dificultades técnicas… o directamente se acogen a jurisdicciones extranjeras para no tener que cumplir con las estrictas normas comunitarias de privacidad. Veremos cómo solventa este dilema la Comisión Europea.

La noticia saltaba hace unos días en The Wall Street Journal, que alertaba de que, al parecer, algunas de las aplicaciones más populares de la red social Facebook compartían la información de sus usuarios con compañías del sector publicitario. Sólo unos días más tarde, el mismo rotativo desvelaba idénticas vulnerabilidades en MySpace, su principal competidor fuera de nuestras fronteras. Un escándalo de proporciones espectaculares, teniendo en cuenta que ambos servicios suman cerca de mil millones de usuarios en todo el mundo.

Por resumir el asunto en pocas palabras, mientras los usuarios pasaban el rato plantando lechugas, contestando tests o echando unas manos de póker, los desarrolladores de estas aplicaciones accedían a datos personales como su nombre completo o los de sus amigos, y los transmitían a sus anunciantes. En ocasiones, incluso de forma inconsciente. Y ello, por supuesto, sin conocimiento alguno por el usuario.

Básicamente, las aplicaciones son programas que añaden funcionalidades a una red social: juegos, servicios, bromas… El problema es que rara vez forman parte de dichas redes: suelen ser desarolladas por empresas externas, que mantienen el control en todo momento sobre su funcionamiento, y deciden a qué datos del usuario necesitan acceder. El Grupo del Artículo 29, que agrupa a las agencias de protección de datos de la Unión Europea, mostró ya su preocupación por este asunto en 2009, afirmando que los creadores de aplicaciones pueden ser considerados «responsables del tratamiento» si tratan datos personales de los usuarios, con lo que se les podría aplicar la estricta normativa europea de protección de datos. Posición nuy similar, todo sea dicho, a la recogida en la recientemente publicada obra «Derecho y redes sociales» , que desde aquí recomendamos.

Es evidente que, a día de hoy, contar con datos personales de clientes y usuarios es un activo fundamental para cualquier empresa, en especial en el ámbito de Internet. Ahora bien, a menudo no se tiene en cuenta la responsabilidad que ello conlleva cuando se desarrollan programas, se diseñan nuevas técnicas publicitarias, o se elige la plataforma desde la que ofrecer servicios. Al respecto, algunos consejos útiles pasan por tratar únicamente los datos imprescindibles para el funcionamiento del servicio, ofrecer información completa a los usuarios y facilitarles el control de sus datos personales. Medidas de seguridad, aparte.

Las responsabilidades derivadas de ignorar estos requisitos son muchas, y los riesgos, enormes: desde las elevadas sanciones al igualmente relevante daño reputacional. Máxime en una época como la actual, en la que los medios de comunicación parecen empeñados en publicar noticias apocalípticas sobre Internet y las redes sociales. Por lo de pronto, la Agencia Española de Protección de Datos está investigando a Facebook, lo que ha merecido una amplia cobertura tanto en prensa escrita, como en radio y televisión. Un precio muy elevado por permitir que sus usarios planten «cibertomates», ¿no creen?

Actualización (02.11.2010)
El Mundo: Facebook penaliza a los desarrolladores que vendieron datos de usuarios.

El miércoles 20 pude asistir a la Tercera Sesión Anual Abierta de la Agencia Española de Protección de Datos. No me he perdido ninguna de las dos ediciones anteriores, y fiel a la tradición, no quería dejar pasar la oportunidad de reencontrarme y charlar con colegas de profesión, y de presenciar un año más las exposiciones del regulador de la privacidad.

Siempre es de agradecer la organización de una jornada específica para acercar temas jurídicos al público en general, máxime cuando se hace con una clara vocación de servicio público, y se abordan cuestiones de indudable interés para quienes han de aplicar la Ley. En el caso de la AEPD el agradecimiento debe ser doble, pues al esfuerzo organizador se une su carácter grauito y su periodicidad anual.

Si bien el tema principal giraba en torno a la protección de datos en la Administración Electrónica, esta vez yo tenía un interés especial en conocer la opinión de la AEPD sobre las últimas Sentencias del Tribunal Supremo, que declaró nulos cuatro artículos del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos y ratificó unos cuantos más. Como es lógico, mi interés se centraba en los comentarios a los artículos anulados… pero la AEPD sacó la muleta y centró su discurso en los ratificados.

En cualquier caso, la parte más interesante fue, un año más, la relativa a la resolución de cantidad de dudas y consultas de los asistentes, a pesar del interés de alguno que otro en obtener asesoramiento privilegiado para resolver cuestiones de sus clientes. Eso sí, nefastas las presentaciones que acompañaban las ponencias: compruébenlo ustedes mismos echando un vistazo a los PowerPoint. Los que me sigan en Twitter ya lo saben, pero nunca me ha gustado ese programita, y menos todavía ahora, que hasta hay estudios que dicen que nos vuelve tontos.

En fin… quizás la parte más entretenida de este tipo de eventos es el reencuentro con los compañeros, la «desvirtualización» de tuiteros que también seguían la #sesionAEPD, y el hecho de escaparnos una mañana entera de la pantalla del ordenador y de las muchas veces interminables reuniones. El año que viene, esperemos que más y mejor.

Mi tía abuela Milagros (a la que, por cierto, aprovecho para felicitar desde aquí su cumpleaños) me ha repetido en más de una ocasión, como consejo para la vida profesional, que hace ya más de 70 años, cuando empezaba su trabajo como peluquera, su jefa le insistía en que «una cliente contenta simplemente vuelve, pero si le haces un destrozo se lo va a contar a medio pueblo«.

Esta anécdota familiar viene a colación de algo que ya comentaba de pasada en anteriores entradas: la creciente trascendencia de la reputación online. Si bien es cierto que la importancia del prestigio de un negocio no es un factor nuevo, su evolución a lo largo del tiempo es de lo más curiosa. Si hace unas décadas una mala crítica de un cliente (fundada o no) podía dar al traste con un proyecto era, en parte, por el limitado entorno en el que se movían las empresas de la época. En cuanto los negocios crecieron en ámbito territorial, la repercusión de las críticas comenzó a diluirse. Sin embargo, el extraordinario poder de difusión del universo 2.0, que tantos beneficios trae al marketing y a la comunicación corporativa, permite igualmente que una sola voz ser escuchada, leída, comentada, retuiteada… y que supere el ámbito del pueblo para alcanzar todo los rincones del planeta en cuestión de un instante.

Como bien resume Marcos G. Piñeiro en el blog de Concepto05, las consecuencias derivadas de la publicación de un mensaje negativo en la Red no siempre son sustanciales: dependerá de factores como la intensidad, la dispersión o la influencia. Y a pesar de ello,  las empresas realizamos serios esfuerzos para monitorizar lo que de nosotros «se dice, se comenta o se rumorea» en la red, pues obviar su potencial puede convertirse en una auténtica bomba de relojería en  términos de imagen (incluso para los despachos de abogados, como advertía hace ya un tiempo Josan García). Y es que el riesgo se intensifica porque, lo que se dice en la Red, permanece en la Red. En ocasiones, incluso durante décadas. Y toda vez que la información es indexada por un buscador, las posibilidades de reducir su impacto son limitadas (el mismo Google exige sentencias judicales para eliminar contenidos de sus resultados, pese a los esfuerzos de organismos como la Agencia Española de Protección de Datos).

En la mayor parte de los casos, la reacción inmediata del «criticado» resulta la misma: quiero que «eso» que me perjudica desaparezca sea como sea. Una posible solución es tratar de desplazar la crítica o noticia lejos de los primeros puestos en los buscadores, mediante técnicas SEO. Otra, más contundente, es la interposición de acciones legales, pero esta opción debe ser considerada teniendo en cuenta lo que  se ha venido a conocer como Efecto Streisand, que se produce cuando el intento de censura o eliminación de determinado contenido acaba provocando un efecto rebote, que aumenta el impacto, repercusión y perjuicio que precisamente tratábamos de evitar.

Algo que no impide que, en caso de conductas delictivas o desleales (injurias, amenazas, publicidad denigratoria…), se puedan y se deban utilizar los recursos legales al alcance del ciudadano para depurar responsabilidades.

Como casi siempre, la mejor opción suele ser un «mix» de ambas: una política global de marketing y comunicación que cimente nuestra imagen frente a posibles críticas y «ataques», y una respuesta legal (en su caso) contundente, consciente de las implicaciones de este tipo de situaciones, y coordinada. No vaya a ser que una mala gestión de de la comunicación pública de esas acciones legales pueda derivar en que duela más la tirita que que el corte.