unroll me

Si un servicio es «gratuito», el negocio eres tú.

¿Cuántas veces habré repetido esta frase por estos lares? Tengo miedo que al menos un 20% de las piezas publicadas por aquí puedan resumirse con ella. Y este artículo, por cierto, va a ser otro de ellos.

Estos días he seguido con interés (profesional, que tampoco le deseo mal a nadie :P) la caída en desgracia de Uber. Uno de los mayores casos de éxito de economía colaborativa salpicado por no pocas crisis reputacionales. Desde la denuncia de una de sus ingenieras (EN) por el trato aparentemente machista dentro de la organización, pasando por el «supuesto» robo de propiedad intelectual (EN) de la tecnología de autonomía de sus coches a una Waymo, empresa actualmente dentro del entramado de Google (nótese las comillas, que hay emails firmados que lo demuestran…), hasta la de esta última semana: el uso de los datos obtenidos mediante una aplicación de terceros para espiar a la competencia.

El caso de unroll.me

UnRoll.me es una extensión muy popular para gestores de correos como GMail, Outlook y compañía. Básicamente nos ofrece una manera sencilla e inmediata de saber a cuántas newsletteres estamos suscritos, pudiendo fácilmente eliminar aquellas que ya no queramos.

Ofrece por tanto un servicio gratuito (hasta donde tengo constancia no hay versión de pago) que es el que utilizan sus millones de usuarios. Algo que instalas una vez, lo utilizas, y lo más probable es que no vuelvas a saber de ello nunca más.

¿Dónde está el problema entonces?

En que su modelo de negocio, como es de esperar, pasa por revender información a terceros. ¿Y qué información puede obtener una extensión de un servicio de correo en la nube? Pues toda la que se pueda obtener del consumo de esos emails. A saber:

Recopilamos información no personal, datos que no permiten la asociación directa con un individuo. Podemos recopilar, usar, transferir, vender y divulgar información no personal para cualquier propósito. Por ejemplo, cuando utilizas nuestros servicios, podemos recopilar datos de y sobre los «correos electrónicos comerciales» y «correos transaccionales» que son enviados a tu cuenta. […] Podemos divulgar, distribuir, transferir y vender dichos mensajes, así como los datos que recopilamos en relación a dichos mensajes, siempre que, si divulgamos dichos mensajes o datos, toda la información personal que contengan sea eliminada antes de su divulgación.

Es decir, todo aquello que se pueda desprender del uso y recibo de emails en nuestro correo, previa anonimización de la información.

Nada nuevo bajo el sol. Esta información está disponible públicamente y es mostrada a todos aquellos que se crean una cuenta dentro de su política de privacidad (EN). Si lo usas, la aceptas. Punto.

Uber, sabedora de esto, ha hecho algo totalmente legítimo: Comprar la información de unroll.me referente a Lyft, su principal competidor, para utilizarlo como medidor de la salud empresarial de su competencia. Es decir, con la compra han obtenido un mapa demográfico significativo de usuarios que utilizan Lyft (cosa que unroll.me sabe ya que les habrá llegado al correo información de los recibos de servicios anteriores). Extrapolando los datos (porcentaje de usuarios de Lyft frente a porcentaje de usuarios de unroll.me, y este porcentaje frente al porcentaje global esperable del mercado) obtuvieron una señal bastante cercana (presumiblemente) al negocio de su competencia. Algo que, como bien sabe, y habida cuenta de que hablamos de empresas privadas, además de ser profundamente interesante para la estrategia corporativa (qué mejor que saber cómo le va realmente a tu competencia), se guarda con muchísimo celo (el negocio de la mayoría de estas grandes compañías de base tecnológica se basa, precisamente, en la incapacidad del mercado de conocer los números reales).

¿Han hecho algo ilegal?

No soy abogado, pero a priori, si no se me escapa nada, están dentro de los límites aceptables. En todo caso se les puede reprochar el haber tenido una picaresca que a muchos otros les hubiera gustado tener, y que previsiblemente ya estarán hoy en día unos cuantos más aprovechando.

Los datos personales como modelo de negocio opaco al usuario

¿De qué sí creo que pueden servir situaciones como esta? Para darnos cuenta de que el escenario actual es de todo menos halagüeño para el usuario.

El problema de la dependencia de terceros es algo que he tratado en más de una ocasión en estos últimos años, y conforma una panorámica en la que el usuario tiene todas las de perder.

Ya sea en un navegador, en un sistema operativo, o como en este caso, en una cuenta digital, debería existir siempre un límite de tiempo en el que una aplicación/extensión de terceros tiene acceso a los permisos que le hemos concedido, volviendo a pedirlos una vez este periodo ha terminado.

¿Que es una molestia para el usuario? También lo es un segundo factor de autenticación, y creo que ya la mayoría somos conscientes de que es una medida de seguridad mínima.

Jojo Hedaya, el CEO de unroll.me, no ha tardado en responder públicamente totalmente confundido (EN): «¡Pero si es que todo esto está correctamente explicado en los términos del servicio!». Como si no supiera que estos textos, a veces complejos innecesariamente, no son más que un mero trámite legal que nadie lee. Como si fuera la primera vez que ocurre, vamos…

¿Hay alternativas?

Sí, las hay, pero en la práctica y hoy en día son impensables.

El que exista un tejido tecnológico capaz de aumentar las funcionalidades de los servicios y dispositivos que usamos es algo que tenemos que defender a ultranza. A fin de cuentas, mientras más parametrización exista, más control puede llegar a tener el usuario.

Pero como decía, esto debería hacerse bajo una serie de garantías que en la actualidad no existen:

  • Facilitar hasta el extremo la gestión de permisos: En el caso de GMail, y por formar este servicio parte de nuestra cuenta de Google, bastaría con entrar en Aplicaciones Conectadas (EN) y revisar que todas las que tengamos de verdad las necesitemos. Dedíquele tan solo un par de minutos a este enlace, y elimine el acceso a Google, Youtube, Drive, Android, Gmail y compañía a todas aquellas extensiones, servicios y aplicaciones que ya no utilice, o que no quiera seguir utilizando.
  • Que por defecto exista un límite temporal de acceso: No tiene sentido que este paso lo hagamos una única vez «en caliente», justo cuando vamos a utilizar un servicio. Lo suyo sería que por defecto en cualquiera de estas plataformas se volviera a pedir la conformidad al usuario. Es solo mostrar una pantalla con la opción de aceptar o denegar, previsiblemente justo la próxima vez que ese servicio lo vaya a utilizar, y como está empezando a hacer Android o Chrome con algunos permisos específicos (acceso a la galería, al micrófono…). Ya solo con esto se eliminan de raíz muchos de los problemas asociados habitualmente a dependencias de terceros (extensiones o apps que se venden a otro con menos escrúpulos, servicios que acaban por cambiar de objetivos…).
  • El control de la información que cedemos en manos del usuario: Al igual que a nuestra cartera solo nosotros podemos meterle mano, lo suyo sería que ocurriera exactamente lo mismo con los datos que utilizamos como moneda de cambio. La directiva europea en materia de PIMs (personal information management systems) es, como ya expliqué hace unos meses, el acercamiento más adecuado que se me ocurre. Forzar a toda compañía a ofrecer el PIM de turno al usuario, un espacio centralizado de control de datos personales, convenientemente bien explicado en un lenguaje claro y entendible, que además ofrezca la capacidad de exportación o migración a otro servicio de la competencia.

Estamos aún lejos de algo así (empresas como Google, Telefonica o Microsoft son las que más cerca están de conseguirlo), pero es el único camino aceptable.

La alternativa, que hemos vivido hasta el momento, lleva a situaciones como la anteriormente mencionada. Al abuso de aquellos que llevan la picaresca como bandera, anteponiendo el negocio a los derechos del consumidor.