Por Jennifer Valentino-DeVries y Jeremy Singer-Vine | The Wall Street Journal Americas
Andy Morar, un propietario de hotel en Georgia en Estados Unidos, quiere comprar un BMW. Recientemente envió un correo electrónico a un concesionario, usando un formulario en su página web en el que revelaba su nombre y otros datos personales.
Su mensaje llegó al concesionario, pero también fue a dar, sin su conocimiento, a una empresa que rastrea compradores de autos en línea. En cuestión de segundos, su nombre quedó vinculado a un análisis de los sitios web que Morar había visitado de manera anónima, lo que luego sería estudiado por su concesionario local.
Tras ser informado de que un agente de ventas de la sala de exposición efectivamente podía monitorear las gestiones que llevaba a cabo en su computadora en casa, Morar respondió: «Cuanto menos sepan mejor».
La creciente capacidad de ligar la identidad de las personas con sus búsquedas habituales en Internet borra aún más la línea que separa la vida pública y privada de los consumidores, que ya de por sí ha perdido nitidez. Las empresas de rastreo están cambiando el significado del anonimato conforme buscan obtener información más valiosa y precisa sobre clientes potenciales.
Un ejemplo es Dataium LLC, una empresa que hace un seguimiento de compradores de autos como Morar. Dataium señaló que la navegación por Internet de los consumidores sigue siendo anónima, aunque puede ser vinculada a sus nombres. La razón es que Dataium no da a los concesionarios detalles sobre cada clic de los internautas, sino que solo proporciona un análisis de sus intereses.
El uso de identidades verdaderas en la web se está popularizando a un ritmo rápido. Un estudio de The Wall Street Journal de unas 1.000 páginas de Internet halló que 75% ahora incluye código de redes sociales, como los botones «Me gusta» de Facebook y «Tweet» de Twitter. Este código puede ligar la identidad del usuario con su actividad en línea a un nivel sin precedentes e incluso monitorear la llegada del usuario a un sitio Web, aunque éste nunca haga clic en esos botones.
En una investigación separada, el WSJ examinó lo que ocurre cuando personas se conectaron con un nombre de usuario y contraseña a alrededor de 70 sitios populares y hallaron que, en más de 25% de los casos, los sitios compartieron con otras empresas el nombre verdadero del individuo, su correo electrónico y otros detalles personales.
En 2010, cuando el WSJ reportó sobre Rapleaf , una empresa pionera que había desarrollado un sistema para rastrear a personas en línea a través del correo electrónico, la práctica era casi totalmente desconocida. Hoy en día, empresas como Dataium están llevando estas técnicas a un nuevo nivel.
Analizar a los compradores de autos en línea da una ventaja a los vendedores, ya que así pueden comprobar no sólo si la persona está realmente interesada (¿De verdad planea comprar un convertible rojo o solo está fantaseando?), sino que además les facilita una evaluación detallada de los vehículos y opciones específicas que prefiere. «Entonces cuando viene al concesionario, sé cómo hablar con él», afirmó el co-fundador de Dataium, Jason Ezell, en una conferencia para vendedores de autos el año pasado.
Morar, de 38 años, ha estado estudiando el deportivo BMV X5 de 2013, revisando los descuentos para ciertas configuraciones. Dataium declinó divulgar específicamente lo que sabe de Morar.
Dataium señaló que los concesionarios solamente pueden ver un análisis sobre la conducta de la persona, y no los pormenores de todos los sitios que visita. La información únicamente se liga al correo electrónico del usuario cuando éste lo proporciona voluntariamente a los concesionarios, señaló Dataium.
La empresa propietaria del concesionario al que fue Morar, Asbury Automotive Group Inc., dijo que transmite avisos de privacidad a sus clientes «en relación al uso de información personal no pública». Asbury no quiso comentar sobre si utilizó los datos sobre Morar provistos por Dataium.
Batalla regulatoria
Las empresas que realizan seguimiento en línea han sostenido que la información que recopilan es anónima, y por tanto inocua. Pero la definición de la industria de lo que es «anónimo» ha cambiado con el tiempo.
Tras una batalla regulatoria a principios de los años 2000, el sector de publicidad en línea concluyó que «anónimo» significa que la empresa no tiene acceso a «información personalmente identificable» (PII, por sus siglas en inglés). Sin embargo, algunas compañías ahora describen como anónima la publicidad o el rastreo incluso cuando utilizan o cuentan con los nombres verdaderos o correos electrónicos de los usuarios.
Su argumento: la información sigue siendo anónima porque los datos de identidad se eliminan y se protegen o separan del historial de navegación. Facebook Inc., por ejemplo, ofrece un servicio que muestra avisos a grupos de personas en base a correos electrónicos, pero únicamente si los anunciantes ya cuentan con ese correo electrónico. Facebook dice que no proporciona el correo electrónico de usuarios a los anunciantes.
«Ofrecemos avisos basados en su identidad», afirmó Eric Egan, director de privacidad en Facebook, «pero eso no significa que usted sea identificable». Facebook, Rapleaf y otras compañías aseguran que «anonimizan» su información.
¿Cómo funciona la «anonimización»? Una página web usa una fórmula para convertir los correos electrónicos de sus usuarios en filas ininteligibles de números y letras. El anunciante hace lo mismo con la lista de correos electrónicos de sus clientes. A continuación, ambos envían sus listas a una tercera empresa que busca coincidencias. Cuando dos direcciones concuerdan, el sitio web puede mostrar un aviso dirigido a una persona específica, a pesar de que los verdaderos e-mails nunca cambiaron de manos.
De todos modos, la facilidad con la se pueden compartir detalles personales en Internet hace que sea difícil saber si la información de alguien está protegida. Un sondeo del WSJ de 50 sitios populares, además del propio sitio del diario, encontró que 12 de ellos enviaron a terceros información potencialmente identificadora, como correos electrónicos o nombres y apellidos.
El WSJ además examinó 20 sitios adicionales que manejan información sensible, incluyendo sitios enfocados en relaciones personales, información médica o niños. Nueve de estos enviaron a otros información potencialmente identificadora.
En algunas ocasiones, la información era codificada y enviada a otra empresa vía una transmisión especial. Otras veces, los nombres de las personas simplemente se incluían en el título o la dirección de un sitio web. Esa información se envía automáticamente a todas las firmas de publicidad que tienen presencia en un sitio web, a menos que el propietario del sitio tome medidas para prevenirlo.
El sitio del WSJ compartió cantidades considerables de información personal de sus usuarios. Envió correos electrónicos y nombres verdaderos de usuarios a tres compañías. También transmitió otros detalles, como sexo y fecha de nacimiento, datos que WSJ.com permite que sus lectores revelen cuando llenan su perfil del sitio web.
Una vocera del WSJ señaló que la mayoría de la transmisión de información personalmente identificable no fue intencional y está en proceso de ser corregida. La única transmisión intencional de información de identidad, dijo, fue una versión codificada de correos electrónicos de usuarios, proporcionada a una compañía que envía publicidad vía e-mail a lectores que optan por recibirla. Aseguró que el WSJ obliga a las empresas con las que trabaja a firmar una cláusula que les impide utilizar información recibida de manera inapropiada.
La lucha regulatoria en torno a la privacidad en la web a principios de los 2000, estableció estándares básicos que ahora se están poniendo a prueba. En ese entonces, la Comisión Federal de Comercio de EE.UU. investigó la fusión de la empresa de publicidad en línea, DoubleClick, con el gigante de listados de correo tradicional, Abacus Direct, en base a preocupaciones de que Abacus combinaría su lista de nombres verdaderos de personas y sus domicilios con los perfiles de navegación en la web de DoubleClick.
DoubleClick (ahora parte de Google) finalmente prometió no hacer eso. La riña provocó la creación de un grupo de autorregulación de la industria que prometió no vincular información personalmente identificable a los hábitos de navegación por Internet, a menos que la persona lo permitiera.
Pero la fascinación por las verdaderas identidades no ha menguado. Después de todo, es así como la mayoría de las empresas conoce los hábitos de sus clientes. Las tiendas físicas pueden «capturar datos como nombre, ciudad y correo electrónico» cuando una persona compra algo o se registra para una tarjeta de fidelización, aseveró un representante de Yahoo!.
Yahoo! ofrece un servicio, Audience Match, que permite a minoristas encontrar y dirigirse a sus clientes en línea. Yahoo! dice que emplea la anonimización y no otorga nombres ni información de navegación en la web a los anunciantes.
En el pasado, las compañías de rastreo y minoristas enfrentaban mayores dificultades para identificar usuarios en Internet. Hoy, una sola página web puede contener códigos de computadora provenientes de muchas compañías distintas de publicidad y rastreo. Estos montos separados de código a menudo comparten información entre sí. Por ejemplo: si comparte su nombre en un sitio web, como lo hizo Morar en su búsqueda de autos, podría ser visto por otras compañías con avisos o codificación especial en ese sitio.
Craig Willis, un profesor de informática en el Instituto Politécnico de Worcester, publicó un estudio en 2011 demostrando que 56% de más de 100 sitios web filtraron porciones de información privada de manera similar a la señalada en el estudio del Journal. «La información entra, pero no sabemos si es abandonada e ignorada o guardada para uso futuro», aseguró