Todo lo que sube, baja. Excepto si sube a Snapchat. De ahí no baja

Tras pasar por Twitter (aquí), Instagram (aquí) y Facebook (aquí), le toca a Snapchat. ¿Sabías que, con cierto contenido que subes a la red social, Snapchat puede hacer obras derivadas de forma gratuita y explotarlas a nivel mundial? Si el logo de Snapchat es un fantasma, ya sabes en qué tipo de casa estás entrando.

snapchatSnapchat

He analizado sus condiciones y su política de privacidad y esto es lo que he encontrado.

  • Snapchat trata igual los datos de niños de 13 a 17 años y de adultos de 18 o más años.
  • Entegamos a Snapchat información:
    • Básica: nick, contraseña, e-mail, móvil, edad o fecha de nacimiento
    • Avanzada: nuestros números de la tarjeta de crédito o débito, información sobre cuenta bancaria, otra información relacionada
  • Autorizamos a Snapchat para que recoja: día y hora de cada envío, datos del emisor del mensaje, datos del receptor del mensaje, número de mensajes enviados, frecuencia de envío de mensajes, estadísticas de mensajería, interacciones con los mensajes (apertura de mensajes, captura de mensajes y otras muchas informaciones)
  • Aceptamos que Snapchat:
    • guarde información sobre cada uno de los mensajes enviados e información
    • dé acceso a nuestros mensajes a terceros.
  • Snapchat conoce: tipo de teléfono que usamos, sistema operativo usamos (incluida su versión), sus identificadores únicos de nuestro dispositivo (MAC e IMEI), navegador, idioma configurado, número de móvil, operador de telefonía que usamos.
  • Autorizamos a Snapchat para que
    • conozca la lista de apps que tenemos instaladas en nuestro móvil
    • acceda a nuestra agenda de contactos y a la galería de imágenes de nuestro teléfono
    • nos tenga geolocalizados a través de los datos de conexión y los metadatos de nuestros contenidos.
  • Autorizamos a Snapchat para que nos rastré y monitorice con cookies y otros dispositivos. Incluye: dirección IP, tiempo conectado, URL o URI de entrada y de destino, número de clics, páginas vistas, otras muchas informaciones. Las finalidades son analíticas y publicitarias, principalmente. Este rastreo y monitorización se realiza incluso sobre personas que no son usuarios de Snapchat.
  • Damos permiso a Snapchat para que envíe nuestra información a sus proveedores y a las empresas prestadoras de los servicios que el usuario solicite.
  • Sin que lo sepamos y sin que nos tenga que informar de ello:
    • Snapchat puede entregar nuestros datos personales al Gobierno de EEUU.
    • Autorizamos a Snapchat para que envíe nuestros datos personales a cualquier Gobierno del mundo si la solicitud del mismo le parece justificada.

Supongo que si usas Snapchat lo haces porque te parece entretenido, porque ahí están tus amigos o porque valoras tu privacidad. Es genial eso de que se borren los contenidos. Sensación de privacidad… hasta que lees esto:

Condiciones: “By submitting User Content to Snapchat, you hereby grant us an irrevocable, nonexclusive, worldwide, perpetual, royalty-free, sublicensable, and transferable license to use, reproduce, modify, adapt, edit, publish, create derivative works from, distribute, perform, promote, exhibit, and display such User Content in any and all media or distribution methods, now known or later developed (the “User Content License”), subject to any privacy settings you have set to control who can see your User Content”.

Snapchat podrá hacer casi lo que quiera con nuestros contenidos, ahora o en el futuro y de forma gratuita. La autorización incluye a las imágenes y los vídeos que subimos. La única forma de poner veto a esto es cuidar el uso que hacemos de la aplicación y configurar adecuadamente la cuenta.

Todo lo que sube, baja. Excepto si sube a Snapchat. De ahí no baja.

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?

Facebook ya tiene una ficha sobre ti, aunque no seas usuario la red social

Twitter e Instagram nos analizan y controlan. Lo hemos analizado estudiando sus condiciones de uso y políticas de privacidad [aquí Twitter y aquí Instagram]. No sabemos dónde está el final de este tratamiento, pero sí conocemos el principio: por un lado, se lo autorizamos; por otro, obtienen nuestros datos de Internet y de lo que otros comparten.

facebook-logoLe ha llegado la hora a Facebook. Empezaré por lo más básico: Facebook tienen una ficha de tu abuelo, aunque tu abuelo no sea usuario de Facebook. Subes una foto en la que estás con tu abuelo; subes otra y Facebook une caras por medio del reconocimiento facial; en una publicación dijiste que tu abuelo se llama ‘Juan’ y ¡Zas! Abuelo + Juan + 2 x foto +… Cuando te creas una cuenta en Facebook, le autorizas para que extraiga información de todos los contenidos que publicas, para que los una, para que los reutilice…

Facebook

He analizado sus condiciones, su política de privacidad y su política de cookies y esto es lo que he encontrado:

  • Facebook trata igual los datos de niños de 13 a 17 años y de adultos de 18 o más años.
  • Autorizamos a Facebook para que recopile y analice:
    • Cada gesto que hacemos en su web. Desde la introducción de nuestro nombre y apellidos en el registro, hasta la frecuencia y duración de nuestras actividades.
    • La forma en que nos relacionamos con otras personas: con quién, cómo, cuándo, con qué frecuencia…
  • Facebook vincula a nuestra ficha la información que otras personas publican en la red social. En caso de que no exista tu ficha, Facebook igualmente la recopila y la prepara para ligarla a tu futura ficha. Facebook tiene información sobre ti, aunque no tengas cuenta en Facebook.
  • Autorizamos a Facebook para que analice y trate nuestra libreta contactos, con direcciones y datos personales de otras personas.
  • Cuando compramos a través de Facebook, autorizamos a la red social para que sepa: qué hemos comprado, a quién se lo hemos comprado, qué medio de pago hemos usado (¿bitcoins?), detalles de facturación, lugar de envío, datos de contacto y otras muchas informaciones.
  • Cada vez que accedemos desde un dispositivo, autorizamos a Facebook para que sepa estos datos: Sistema Operativo que usamos, hardware, configuración del dispositivo, nombres y tipos de software, nombres y tipos de archivos, ¡carga de la batería!, intensidad de la señal, identificadores de dispositivos, ubicaciones del dispositivo por geolocalización GPS, Bluetooth y wifi, información sobre la conexión (operador de telefonía usado, tipo de navegador, idioma configurado, zona horaria, número de teléfono, dirección IP…)
  • Al navegar por Internet, si accedes a una página que muestra el botón “Me gusta”, son enviados a Facebook: Tu dirección IP, tus datos de navegación… Esto sucede en las páginas y servicios: con un botón “Me gusta”; con el inicio de sesión con Facebook; que usan los servicios de medición y publicidad de Facebook; y otros. Facebook también recibe datos de ti de uno de sus socios cuando este y Facebook ofrecen servicios de forma conjunta; y de un anunciante acerca de tus experiencias o interacciones. Facebook te conoce aunque no hayas entrado nunca en la red social.
  • Estas son las empresas que envían datos datos personales de usuarios a Facebook:
  • Facebook comparte tus datos con: Los usuarios de la red social; servicios de terceros; empresas del grupo Facebook; servicios de analítica; prestadores de servicios; y socios de Facebook.
  • Facebook puede entregar todos tus datos a cualquier gobierno del mundo sin pedirte consentimiento, sin avisarte y sin que lo llegues a saber nunca (o llegándolo a saber en algún momento, infortunadamente).
  • A través de las cookies, Facebook sabe dónde estás, qué velocidad de Internet tienes, qué navegador usas, qué dispositivos estás utilizando para navegar, qué tipo de publicidad te atrae más y otra mucha información.

Sobre tu contenido, ¿crees que no cedes nada a Facebook? Concedes una licencia no exclusiva, transferible, con derechos de sublicencia, libre de regalías y aplicable en todo el mundo para utilizar cualquier contenido de PI que publiques en Facebook o en conexión con Facebook (“licencia de PI”). Esta licencia de PI finaliza cuando eliminas tu contenido de PI o tu cuenta, salvo si el contenido se compartió con terceros y estos no lo eliminaron”.

En cuanto a la normativa aplicable, nos sometemos a la del Estado de California, EE.UU, además de tener que cumplir la normativa de España. Y, para resolver problemas con Facebook, nos sometemos al Tribunal de Distrito de los Estados Unidos para el Distrito del Norte de California o en un tribunal estatal del condado de San Mateo.

Todo esto para las personas físicas. Si eres empresa, tendrás que tener cuidado, además, con el cumplimiento de la normativa de protección de datos y de cookies, principalmente. Recuerda: si eres una empresa española, eres responsable de elegir una tecnología que te permita cumplir la ley española.

Actualización 22/06/2015 (12:30h): Samuel Parra (de ePrivacidad) señala en un tweet que “si pones menos de 14 años a la hora de registrarte, no entras”, lo que Jorge Morell (autor de Términos y Condiciones), corrobora con otro tweet en el que aporta una nota de prensa de la AEPD titulada “Facebook adecua a la legislación española la edad mínima de sus usuariosFacebook adecua a la legislación española la edad mínima de sus usuarios“.

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?

Así entregas tu vida a Instagram. Punto por punto

Hace unas semanas escribí sobre cómo vendes tú vida a Twitter: ‘Twitter sabe qué harás mañana, aunque no lo publiques en Twitter‘. Hoy le toca a Instagram. ¿Sabías que le autorizas para que envíe y ceda tu información a “empresas”? Ahora piensa: ¿quién tiene tus datos? ¿Realmente te importa? Vamos a ello.

instagram_logoInstagram

He analizado sus condiciones y su política de privacidad y esto es lo que he encontrado:

  • Instagram trata igual los datos de niños de 13 a 17 años y de adultos de 18 o más.
  • Información que entregamos:
    • Básica: Nombre, contraseña, e-mail, nick, foto de perfil, móvil.
    • Contactos: Agenda de direcciones propia y la que alojamos en redes sociales.
    • Contenido. Esto incluye:
      • Tipo de contenido: comentarios, fotos, patrones de edición
      • Información visible: información añadida por el usuario, como las keywords, hastags, geotags y nombres de otros usuarios.
      • Información oculta: cuándo se tomó la fotografía, quién la tomó, con qué dispositivo, cuál era su configuración, dónde se tomó y otras muchas informaciones.
  • Autorizamos a Instagram para que ceda nuestros datos y contenidos a otras empresas sin indicar la finalidad de tal cesión: empresas del grupo, prestadores externos de servicios técnicos, prestadores externos de servicios publicitarios y a otros
  • Autorizamos a Instagram para que analice nuestra personalidad por medio de informes realizados por otras empresas, sin especificar cuáles, que elaboran informes analíticos sobre nosotros. Esto incluye también el análisis de otras páginas que visitamos, complementos instalados, etc.
  • Instagram nos rastrea y monitoriza con fines analíticos y publicitarios usando cookies y otros dispositivos. Este rastreo y monitorización lo realiza incluso sobre personas que jamás han entrado en el dominio de Instagram. Autorizamos a Instagram para que sepa:
    • Nuestra dirección IP
    • Tiempo conectado
    • URL o URI de entrada y de destino
    • Número de clics
    • Páginas vistas
    • Otras muchas informaciones
  • Instagram podrá enviar toda nuestra información desagregada a quien quiera.

Si alguna vez te has preguntado si Instagram podrá reutilizar gratis el contenido que subes a su red social, la respuesta es… sí. ¿Instagram podrá hacer “lo que quiera” con nuestros contenidos? Esto es lo que dice:

  • Instagram no reclama la propiedad sobre ningún contenido que publiques en o a través del servicio.
  • En su lugar, usted otorga a Instagram una licencia
    • no exclusiva
    • totalmente pagada
    • libre de regalías
    • transferible
    • sublicenciable
    • mundial
    • para utilizar dicho contenido.

En definitiva, Entregamos a Instagram el derecho oportuno para que pueda hacer con nuestro contenido prácticamente lo que quiera, sin comillas, dentro del ámbito de la cesión otorgada y teniendo en cuenta sus circunstancias.

Condiciones: “Instagram does not claim ownership of any Content that you post on or through the Service. Instead, you hereby grant to Instagram a non-exclusive, fully paid and royalty-free, transferable, sub-licensable, worldwide license to use the Content that you post on or through the Service”.

“Some of the Service is supported by advertising revenue and may display advertisements and promotions, and you hereby agree that Instagram may place such advertising and promotions on the Service or on, about, or in conjunction with your Content. The manner, mode and extent of such advertising and promotions are subject to change without specific notice to you”.

La autorización incluye las fotos, además de cualquier otro contenido que hayamos compartido. Además, se nos advierte de que Instagram podrán vincular nuestros contenidos con promociones y mensajes publicitarios.

Siéntete orgulloso cada vez que subas algo a Instagram. Le estarás regalado tu obra, tus datos, tu creatividad y una parte importante de tu vida. Por cierto, ¿me sigues?

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?

Twitter sabe qué harás mañana, aunque no lo publiques en Twitter

¿Aún crees que puedes que decidir? Twitter sabe qué harás y ya ha preparado un set de publicidad para ti.

He analizado varias redes sociales (Twitter, Instagram, Facebook, Snapchat…) para conocer qué dicen saber de nosotros y hacen con nuestros datos. En el caso de Facebook quedé impresionado cuando vi que tienen un perfil de cada persona que no tiene perfil en Facebook. Empezaré por Twitter. Si veo que el tema interesa, compartiré también lo que descubierto en Facebook y en las demás.

Twitter_logo_blueTwitter

He analizado sus condiciones y su política de privacidad y esto es lo que he encontrado:

  • Twitter trata igual los datos de niños de 13 a 17 años y de adultos de 18 o más años
  • Autorizamos a Twitter para que transfiera nuestros datos a cualquier país del mundo con el objetivo de que pueda analizarnos.
  • El Gobierno de EE.UU. podrá tener acceso a todos nuestros datos personales y al contenido que compartamos en Twitter. De hecho, existe un acuerdo entre Twitter y la Biblioteca del Congreso de EE.UU. por el cual todos los tweets son almacenados.
  • Información que entregamos :
    • Básica: Nick, contraseña, e-mail, móvil
    • Avanzada: biografía, ubicación, imagen de perfil
    • Adicional: agenda de contactos, información remitida directamente a Twitter
    • Por conexión con cuentas en otros servicios (ejemplo: Facebook): información de registro, información de perfil, otra información
    • Información publicada: mensajes twitteados, metadatos twitteados (geolocalización, datos EXIF, tipo de terminal usado, otros), listas creadas, personas a las que sigues, tweets marcados como favoritos, tweets retwitteados y “muchas otras informaciones”.
  • Twitter geolocaliza a cada usuario para mostrarle información sobre los locales que tiene en su entorno y para sugerirle gente cercana a la que seguir. Para ello:
    • Permitimos que analice:
      • Datos enviados desde el móvil.
      • Redes wifi detectadas alrededor.
      • Torres de telefonía de las operadoras móviles (ejemplo: celdas de Movistar)
      • Dirección IP
    • Puede analizar los tweets ajenos con:
      • Fotos con metadatos (que incluyen fecha de captura y geolocalización) en las que estamos etiquetados.
      • Tweets que digan “Estoy con @usuario en #lugar”
  • Twitter une nuestro perfil con el tipo de enlaces en los que pulsamos y el número de veces que hacemos clic en cada uno de ellos.
  • Por medio de las cookies, Twitter conoce:
    • Cuál es nuestro operador de telefonía con el que accedemos a Internet
    • Nuestra configuración de colores del dispositivo que usemos
    • La versión del navegador
    • Cuánto tiempo permanecemos en Twitter
    • Qué terminal usamos
    • Cómo hemos llegado a Twitter
    • Muchas otras informaciones
  • Cada vez que vemos un widgets de Twitter estamos informando a Twitter de:
    • Qué páginas de terceros visitamos
    • Muchas otras informaciones
  • Si compramos a través de Twitter, autorizamos a Twitter para que sepa:
    • Los datos del vendedor
    • Los datos de la transacción: la fecha, la hora y el monto de la transacción.
    • Nuestros datos de facturación
    • Nuestra dirección de envío
    • Los datos de nuestra tarjeta
    • Muchas otras informaciones
  • Autorizamos a Twitter para que analice nuestros perfiles para recibir publicidad más personalizada, entre otras cosas.
  • Agencias públicas de salud, universidades y otras instituciones analizan nuestras tendencias y comentarios.

Pensaba yo que era un rumor eso de que Twitter podía hacer lo que quisiera con lo que subiéramos a la red. Y, sin embargo, parece que no se trata de un rumor sino de algo bien cierto. Twitter podrá hacer lo que quiera con nuestros tweets, ahora o en el futuro y de forma gratuita. La autorización incluye a las imágenes y los vídeos que subimos.

Cláusula 5 Condiciones: “Usted concede a Twitter una licencia mundial, no-exclusiva y gratuita (así como el derecho de sub-licenciar) sobre el uso, la copia, la reproducción, el procesamiento, la adaptación, modificación, publicación, transmisión, exposición y distribución de tal Contenido a través de cualquier medio o método de distribución presente o futuro”.

Aceptamos no ser avisados en caso de que Twitter cambie las condiciones. Dicen, en la cláusula 12 de las condiciones, que “si la revisión, según nuestro único entender, es relevante, se lo notificaremos”.

Nos sometemos a la normativa del Estado de California, EE.UU., además de a la española. Nos sometemos a los tribunales de California, EE.UU.

Y eso es todo, amigos. Curiosamente, Twitter te conoce mejor que tú a ti mismo.

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?

El Gobierno español regala tus datos a Google. ¿Es legal? Pues no.

Este post surge de una llamada que recibí de un diario para que les diera tips sobre un artículo que han titulado: ‘Ni el Gobierno cumple con la ley: Justicia y Transparencia usan cookies sin permiso‘.

Algunos juristas sostienen que la Administración Pública no está obligada a cumplir la Ley 34/2002 que sanciona el SPAM y exige pedir permiso a los ciudadanos antes de monitorizararlos o permitir que otros los monitoricen con cookies. Defienden que la ley es solo para los que vinculan su presencia en Internet con una actividad económica u onerosa (que no es lo mismo), de manera que la Administración Pública puede hacer lo que le plazca.

Quería intentar demostrar que se equivocan pero voy a poner en cuarentena mi postura hasta que tenga argumentos más sólidos que sostener. En su lugar, voy a explicar cómo vi las cookies y cómo voy a plantear mi estudio del caso, que también puede ser interesante.

Partimos de esta base: El Ministerio de Justicia instala cookies analíticas de Google Analytics y Youtube sin avisar al usuario. Con ello, está enviando ilegalmente datos de usuarios (españoles y extranjeros) a EE.UU. cometiendo varias infracciones que afectan gravemente a los derechos de los ciudadanos y, en mi opinión, les niega el derecho a decidir sobre el destino de sus datos y el tratamiento que se hace con ellos.

Por puntos:
  • ¿Incumple la Ley de Cookies (artículo 22.2 de la LSSI)? En mi opinión, sí y estoy trabajando en una argumentación sólida para sostenerlo.
  • Incumple la normativa de protección de datos: Realiza una transferencia internacional de datos no autorizada considerada infracción grave (art. 44 LOPD)
  • Alguien de marketing del Ministerio de Justicia está haciendo mal su trabajo:
    • YouTube tiene una opción para evitar que Google instale cookies a través de tu página (ver aquí).
    • Para usar Google Analytics el Ministerio de Justicia ha tenido que aceptar un contrato con Google para que esta empresa de EE.UU. trate los datos personales de los que el Ministerio es responsable. Contrato que debe haber sido autorizado por el cauce oportuno, de lo cual no hay constancia.

Si quieres ver las cookies por ti mismo, puedes aprender cómo se hace una auditoría de cookies o puedes hacer lo siguiente:

Captura de pantalla 2015-04-21 12.18.23

1.- Instalo y activo el complemento gratuito Attact Cookie Audit Tool en Google Chrome. 2.- Abro una “nueva ventana de incógnito” en Google Chrome.

 

Captura de pantalla 2015-04-21 12.18.14

3.- Abro la página del Ministerio de Justicia. 4.- Detengo la grabación de datos que está haciendo Attact Cookie Audit Tool. 5.- Veo el informe generado (ver en pdf)

¿Qué debería haber hecho el Ministerio para detener, al menos, las cookies de YouTube?

Regalo un Dogecoin al primero que me diga qué canción suena de fondo (por Twitter: @Pablofb). Regalo 100 Dogecoins al que me lo diga el segundo. ¡Para participar, me tienes que poner tu dirección dogecoin o el QR con ella! Si me vas a decir que lo podía haber grabado directamente desde el PC, conténtate con que lo haya grabado en horizontal.

¿Por qué no lo han hecho de forma correcta? Me comentan desde el Ministerio: “nosotros no tenemos que cumplir la ley“.

Además, Transparencia mantiene el código de Google Analytics en las zonas privada, sobre lo que el compañero Samuel Parra ha publicado este tweet.

Para poder obtener la respuesta a la pregunta de si la Administración Pública debe cumplir con lo dispuesto en la Ley 34/2002 tendremos que analizar:

  1. Si los conceptos de prestador de servicios de la sociedad de la información de la (importante) exposición de motivos y el (fundamental) anexo de la Ley 34/2002 excluyen de por sí a la Administración Pública.
  2. Si la ley 34/2002 es una transposición defectuosa de la Directiva 2000/31/CE. Habrá que determinar, en particular, si el defecto en la ley afecta a los privados en el sentido de restarles un derecho que se concede o respalda a través de la norma europea, en cuyo caso la Directiva podría ser aplicada directamente, si ya concluyó el periodo de transposición, como es el caso.
  3. Si la Ley 34/2002 está vinculada y relacionada con la normativa de protección de datos, que obliga a la Administración Pública igual que al resto de sujetos definidos en el artículo 2 de la Ley Orgánica de Protección de Datos (LOPD). En su caso, deberíamos determinar si existe una relación directa entre los sujetos obligados de una y de otra, prestando especial atención a lo referente al ejercicio de sus actividades, con las excepciones que ambas indican.
  4. Si la instalación de cookies a través de la web del Ministerio de Justicia, por la que se envían datos personales de ciudadanos españoles y extranjeros de forma ilegal a otros países, no debería ya de por sí ser motivo de bloqueo efectivo hasta haber obtenido el consentimiento informado de los interesados.
    1. En el caso de las cookies de YouTube, no hay ningún contrato firmado entre el Gobierno y Google así que los datos se van a usar en EEUU como a Google le plazca.
    2. Respecto a todas las cookies (Analytics y YouTube) es directa la aplicación no ya solo de la Ley 34/2002 si no de la Ley Orgánica de Protección de Datos de Carácter Personal.

Son temas complejos que se entrelazan y que solo marcan algunos caminos de investigación. Contactaré con compañeros (David, Joaquín, Samuel…) para ver si va bien dirigida. El debate sigue abierto. Tan solo plasmo aquí lo que se me va pasando por la cabeza. Como todo lo que escribo en este blog, son reflexiones personales que pueden estar bien o mal encaminadas. Ruego que no se tome nada de esto como un posicionamiento personal.

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?