Els webs de les grans empreses violen la Llei de protecció de dades reiteradament

02/01/2018
Marc Pidelaserra
Cada cop es van estenent més els scripts de repetició de sessió, unes aplicacions que capturen tots els moviments que fem quan naveguem per un web

Les vendes per internet continuen creixent d'una manera exponencial, i pràcticament el 60% dels consumidors espanyols compren mitjançant el comerç electrònic (e-commerce) almenys un cop al mes. Ho indica així l'informe Total Retail 2017 elaborat per PwC, que recomana a les empreses que inverteixin en l'anàlisi de dades per tal de consolidar aquesta tendència i oferir una experiència de navegació més bona als usuaris.

En aquest sentit, hi ha diverses eines (scripts), que comercialitzen empreses especialitzades en màrqueting en línia, que permeten analitzar el comportament dels usuaris dins d'un web. Aquestes eines van des de mètriques bàsiques referides al nombre de visites, a les pàgines més vistes i a les hores de connexió, fins a les anomenades repeticions de sessió (session replays), unes aplicacions que permeten capturar absolutament tot el que faci un usuari dins d'un web: moviments i clics amb el ratolí, historial complet de navegació, anàlisi de les tecles que polsem i, on hi ha el focus de la polèmica, les dades personals que hi introduïm.

Investigadors de la Universitat de Princeton han publicat un estudi en què afirmen que gairebé cinc-cents dels webs més visitats mundialment fan servir aquest tipus de scripts de repetició de sessió, que «cacen» les dades personals de les persones que els visiten sense avisar-ne prèviament. Els experts alerten, a més, que hi ha el risc que aquestes dades es puguin filtrar i que informació sensible com les contrasenyes, els comptes bancaris i els informes mèdics acabin en mans de tercers.


Conèixer els usuaris per a ser competitius

«Les empreses solen utilitzar aquests programes per a millorar el disseny de les pàgines web i, fonamentalment, per a millorar la interacció amb els usuaris», afirma Josep Maria Català, professor dels Estudis d'Economia i Empresa de la UOC, que apunta que un dels atractius principals que té per a les empreses és conèixer els passos de compra i evitar l'abandonament dels cistells, o per a col·locar millor les promocions i les ofertes d'última hora. Català assenyala que abans els estudis dels consumidors eren molt més cars, perquè les empreses havien de recórrer a tècniques qualitatives, com ara entrevistes a públics seleccionats o sessions grupals, o bé havien d'encarregar estudis de mercat. «Ara tots aquests costos s'han reduït amb la instal·lació d'una línia de codi al web i tota la informació es recull automàticament», explica.

També entra en l'equació el factor de la competitivitat. Com més informació tinguin les empreses sobre els seus usuaris, millor podran planificar què s'ha de posar a la venda i més bé podran implantar les estratègies de màrqueting, fet que el professor considera que és «primordial per a no perdre la cursa davant els competidors».


Vulneració sistemàtica de la Llei de protecció de dades

«El primer que cal determinar en aquests casos és si les finalitats de recollir les dades personals dels usuaris són legítimes, ja que en cas que no ho siguin, el tractament no es podrà dur a terme», explica Carles San José, professor dels Estudis de Dret i Ciència Política de la UOC. En segon lloc, el responsable del tractament de les dades, que en aquest cas és l'empresa propietària del web, ha d'informar la persona usuària de manera expressa, precisa i inequívoca de la finalitat de la recollida de dades i també els destinataris de la informació, i, així mateix, la persona usuària ha de consentir aquest rastreig o seguiment de la seva activitat mentre navega pel web, i també la comunicació eventual de les seves dades a tercers. «Aquest consentiment ha de ser exprés si es recullen dades personals especialment protegides (art. 7 de la LOPD; per exemple, les dades referents a la salut) i s'ha de poder acreditar que s'havia atorgat», explica San José. Al seu torn, el titular del web no pot fer servir les dades obtingudes amb una finalitat diferent de la finalitat de la qual ha informat a la persona usuària, i només pot recollir i tractar les dades que siguin adequades, pertinents i no excessives amb relació a la finalitat pretesa (de la qual ha d'haver informat a la persona usuària).

D'aquesta manera, les empreses podrien incórrer en vulneracions sistemàtiques de la LOPD, com, per exemple, la infracció lleu per no informar de la manera adequada la persona usuària, la infracció greu per tractar les dades sense consentiment, o la infracció molt greu per tractar dades especialment protegides sense consentiment. La mateixa LOPD preveu sancions d'entre 900 i 600.000 euros, segons la gravetat de la infracció. Carles San José considera que «en aparença, l'ús de scripts planteja dubtes seriosos des de la perspectiva de la normativa sobre protecció de dades de caràcter personal».


Més transparència per a generar confiança

L'alerta sobre aquestes pràctiques pot generar un grau de desconfiança en els consumidors, fet que es pot tornar en contra de les mateixes empreses. «Molts usuaris falsegen les dades, cosa que es coneix com a dades brutes (dirty data), i això influeix en l'èxit de les campanyes comercials», explica Josep Maria Català. D'aquesta manera, el professor dona tres consells a les empreses que facin servir scripts de seguiment o es plantegin implantar-los als webs:

· Transparència amb els clients: igual que es fa en les trucades telefòniques, dir a l'usuari que la seva sessió pot ser enregistrada per tal de millorar la usabilitat del web. Si les empreses ho diuen i són transparents, aconseguiran més dades reals.

· Contractar proveïdors de confiança: és recomanable que, si un negoci vol instal·lar un script al seu lloc web, el contracti a una empresa especialista i que, preferiblement, estigui instal·lada a Espanya i acrediti que compleix la regulació vigent.

· Bona anàlisi de les dades: un cop s'hagi aconseguit la informació que es vol, que l'empresa la tracti bé i la faci servir per a millorar els seus processos. D'aquesta manera, tant l'usuari com l'empresa en trauran profit.

Així, doncs, una bona comunicació entre l'empresa i l'usuari, i l'establiment d'uns límits que siguin coneguts per les dues parts, pot afavorir que el comerç electrònic continuï guanyant adeptes any rere any.