Recientemente actualizamos nuestra política de privacidad por primera vez desde 2022. La mayoría de los cambios son aclaraciones, reorganizaciones y mejoras en la transparencia, en particular sobre cómo operan las herramientas de terceros que gestionan partes de nuestro sitio. Pero un cambio es suficientemente sustancial como para que queramos abordarlo directamente.
El cambio que debes conocer: seguimiento de correos electrónicos con consentimiento
Queremos saber cómo lo estamos haciendo con nuestra labor de defensa: qué campañas captan tu atención y cuáles no, qué temas te interesan mucho, cuáles menos y cuáles en absoluto. Nos ayuda a hacer mejor nuestro trabajo y a priorizar o replantear nuestras estrategias mientras impulsamos el apoyo a la libertad, la justicia y la innovación en todo el mundo.
Por lo tanto, para darnos una idea aproximada de cómo lo estamos haciendo, estamos introduciendo la opción de que nos otorgues consentimiento explícito y voluntario para ver cómo interactúas con los correos electrónicos que te enviamos. Eso incluye si abres los correos y si haces clic en los enlaces que contienen.
Sabemos lo que estás pensando: ¿No se opone firmemente la EFF al rastreo sin consentimiento? Por supuesto que sí. El rastreo furtivo de correos electrónicos es omnipresente en la web y la oposición de la EFF al mismo no ha cambiado. Nunca hemos usado píxeles de seguimiento en correos electrónicos y no vamos a cambiar eso. No estamos construyendo perfiles, no estamos compartiendo los datos y desde luego no los estamos vendiendo.
Pero sí queremos darte la opción de permitirnos conocer cómo están llegando nuestras comunicaciones. Así funcionará el consentimiento: te lo preguntaremos, y si dices que sí, podremos ver si abriste un correo o no, y si hiciste clic en algún enlace. Eso es todo.
Si dices que no, o ignoras la pregunta por completo, nada cambiará y no realizaremos ningún seguimiento.
Si dices que sí, puedes cambiar de opinión y retirar tu consentimiento en cualquier momento haciendo clic en un enlace de cancelación en cualquier correo electrónico futuro o contactando a membership@eff.org.
Hemos escuchado a muchos miembros de la EFF decir que la EFF es una de las pocas organizaciones en las que confían para dar su consentimiento al seguimiento de sus correos electrónicos. Esa confianza es importante y no la tomamos a la ligera. Pero nos llevó a pensar que si lo pedimos, suficientes de ustedes estarían de acuerdo como para que pudiéramos tener una mejor idea de cómo están llegando nuestras campañas y otros correos electrónicos, y eso, a su vez, podría ayudarnos a decidir en qué hacer más énfasis y qué cambiar.
Al brindarte una capacidad real de dar tu consentimiento, la EFF está tomando un camino muy diferente al de la mayor parte de la web. Preguntar no es la norma; decir que no es una opción prácticamente inexistente, y los patrones oscuros a menudo lo dificultan incluso cuando parece que puedes. Lamentablemente, las estimaciones han mostrado que dos tercios de los correos electrónicos recibidos por los usuarios contienen rastreo, independientemente de si los remitentes obtuvieron consentimiento explícito cuando el destinatario se suscribió para recibirlos. El rastreo automático sin consentimiento no tiene por qué ser el estándar, y no debería serlo.
Esperamos que nuestro enfoque funcione e inspire a otros. No debería ser una anomalía que los usuarios no sean rastreados de forma predeterminada, y que solo los usuarios que se sientan cómodos con ello elijan dar su consentimiento. Esperamos que nuestro ejemplo demuestre a las plataformas de correo, organizaciones y usuarios que un enfoque que protege la privacidad es mejor, vale la pena y puede seguir ofreciendo al remitente una comprensión sólida de qué campañas y otros mensajes resuenan entre los destinatarios. Sopesamos esta decisión con cuidado. Sabemos que el rastreo de correos electrónicos es algo que hemos criticado cuando se usa de forma encubierta o sin consentimiento genuino, y que a muchas personas no les gusta en absoluto. Para la EFF, un requisito de consentimiento previo no es una formalidad. Es la distinción clave entre una estrategia furtiva y una relación transparente contigo. Y para nosotros, es simplemente un enfoque de sentido común basado en el respeto.
También es coherente con nuestra defensa y nuestro enfoque respecto a la tecnología. Llevamos muchos años diciendo que las leyes sólidas de privacidad del consumidor deben exigir un consentimiento previo real antes de recopilar datos. Y hemos puesto en práctica nuestras palabras de otras maneras también, incluyendo la defensa de las políticas de Do Not Track y en Privacy Badger, que te protege de anuncios y rastreadores que violan el principio del consentimiento del usuario.
De nuevo, este comportamiento ha sido nuestra recomendación para políticas de privacidad y leyes de privacidad. En 2022 publicamos una guía para organizaciones sin fines de lucro que recomendaba lo siguiente:
No rastrear las tasas de apertura de correos electrónicos puede, lamentablemente, generar a veces problemas de "higiene" de la lista, porque resulta difícil saber si los suscriptores de correo electrónico en tu lista siguen interesados. Puedes enviar correos electrónicos ocasionales para asegurarte de que los suscriptores desean seguir recibiéndolos, ya sea utilizando el seguimiento de aperturas o de clics, e informando a las personas de que el propósito de ese correo específico es determinar los suscriptores activos. El punto esencial es informar a los usuarios cuando estás usando el rastreo, y hacerlo de forma limitada cuando sea posible....
El Internet Archive descubrió que, aunque preferían no usar el rastreo de aperturas en sus correos a los suscriptores, con los años se habían añadido a su lista demasiadas direcciones de correo electrónico inalcanzables, e incluso algunas se habían convertido en trampas de spam. Para seguir trabajando con su proveedor de servicios de correo electrónico, necesitaban activar algún tipo de rastreo. Necesitaban datos de apertura de correos para saber si una dirección de correo electrónico seguía activa o no; pero no necesitaban ni querían datos de género, edad o demografía. Optaron por informar a los usuarios de que sus tasas de apertura de correos electrónicos estaban siendo rastreadas, y ofrecer la opción alternativa de suscribirse a versiones en texto plano de sus correos, que no transmitirán ningún dato en absoluto.
En 2019, recomendamos que todas las leyes sólidas de privacidad del consumidor deben incluir el consentimiento previo para la recopilación de datos. Escribimos:
Derecho al consentimiento previo
La nueva legislación debería exigir a los operadores de servicios en línea que obtengan consentimiento previo para recopilar, usar o compartir datos personales, en particular cuando dicha recopilación, uso o transferencia no sea necesaria para prestar el servicio.
Cualquier solicitud de consentimiento previo debe ser fácil de entender e informar claramente al usuario qué datos pretende recopilar el operador, cómo los usará, durante cuánto tiempo los conservará y con quién los compartirá. Este consentimiento previo también debe ser continuo, es decir, la solicitud debe renovarse cada vez que el operador desee usar o compartir datos de una nueva manera, o recopilar un nuevo tipo de datos. Y el usuario debe poder retirar su consentimiento, incluso para fines específicos, en cualquier momento.
El consentimiento previo es mejor que el consentimiento posterior. El estándar predeterminado debería ser no recopilar, usar ni compartir información personal. Muchos consumidores no pueden o no cambiarán los valores predeterminados en las tecnologías que usan, incluso si prefieren que las empresas no recopilen su información.
Nos mantenemos fieles a esas recomendaciones, que lamentablemente aún no son ley, y seguimos nuestros principios.
Esperamos que te sientas cómodo dando tu consentimiento, pero también respetamos que necesitas tomar esa decisión por ti mismo, y que quizás necesites cambiarla a medida que avanzas. Haremos nuestra parte para que eso sea lo más claro y sencillo posible. Y si estás de acuerdo, estaremos agradecidos de tener la oportunidad de aprender un poco más sobre cómo lo estamos haciendo, con suerte de maneras que puedan hacernos aún más eficaces a la hora de garantizar que la tecnología apoye la libertad, la justicia y la innovación para todas las personas del mundo.
Otros cambios: claridad y protecciones más sólidas
El resto de la actualización trata en gran medida de ser más precisos y ofrecer mayor transparencia sobre nuestras prácticas.
Cookies en eff.org: La nueva política refuerza nuestras prácticas en materia de cookies. Anteriormente, establecíamos excepciones para usuarios que habían iniciado sesión o habían seleccionado "recuérdame"; ahora no usamos cookies de identificación persistentes en el dominio eff.org en absoluto. También aclaramos que otros sitios operados por la EFF, como acteff.org y shopeff.org, tienen sus propias políticas de cookies y que nuestras políticas no son las que se aplican allí. No nos complace que tengas que navegar por múltiples políticas como esta, pero es una de las formas en que el ecosistema de cookies se ha vuelto desafortunadamente complejo. Queremos asegurarnos de que lo sepas y de que sepas dónde buscar toda la información.
Transparencia sobre herramientas de terceros: De manera similar, aunque la gran mayoría de los sitios web públicos, herramientas en línea y proyectos tecnológicos de la EFF son creados internamente, autoalojados y autogestionados, algunos no lo son. En esta nueva política, estamos trabajando para ser más detallados y explícitos sobre esos servicios de terceros, y cómo operan bajo sus propias políticas de privacidad, no solo bajo la nuestra.
Para ayudarte a entender exactamente qué opciones tienes al usar estas herramientas, estamos publicando Guías de Privacidad dedicadas para cada una de ellas. La primera ya está disponible para nuestra tienda, que funciona con Shopify: Guía de Privacidad de EFF en Shopify. Las guías para nuestras otras herramientas de terceros llegarán pronto. Como siempre, recomendamos instalar Privacy Badger para limitar la exposición al rastreo de terceros.
En general, la EFF cree que cuando un proyecto como el Atlas of Surveillance no existe y creemos que debería existir, lo construimos y lo mantenemos. Pero lo que más nos importa es proteger tus derechos digitales. Así que el tiempo necesario para mantener y actualizar las herramientas que hemos construido debe sopesarse frente a nuestra necesidad de crear nuevos proyectos para afrontar nuevos desafíos. Y a veces, una herramienta que era necesaria cuando la construimos, como el Centro de Acción de la EFF, puede ser reemplazada por algo que pueda aliviar parte de la carga de nuestro personal interno.
Para hacer espacio para nuevos proyectos, investigamos cuidadosamente los servicios en los que nos apoyamos —como nuestras herramientas de campaña, procesadores de pagos y tienda en línea— y buscamos opciones de terceros que sean las mejores del sector y ofrezcan un nivel de privacidad que nuestros usuarios merecen. En esta nueva política de privacidad intentamos darte toda la información posible sobre esos servicios de terceros.
Gestión de datos según el RGPD: Añadimos un proceso claro y específico para que los usuarios de la UE y otros lugares puedan solicitar la eliminación de sus datos personales. Envía un correo a info@eff.org con el asunto "GDPR Data Deletion Request" y responderemos dentro del plazo legalmente requerido.
Retención de datos: Reorganizamos y aclaramos cuánto tiempo conservamos diferentes tipos de registros (comunicaciones, registros financieros, documentación de donaciones) en una lista más clara. El contenido no ha cambiado, pero la estructura debería facilitar encontrar lo que es relevante para ti.
Centro de Acción: Es posible que notes que la política anterior incluía una sección dedicada a nuestro Centro de Acción: cómo gestionábamos tus datos de participación en campañas, qué conservábamos, etc. Esa sección ya no existe porque estamos trasladando nuestras herramientas de campaña a un proveedor externo. Esta es el tipo de situación que aborda el nuevo lenguaje de transparencia sobre terceros: ese proveedor opera bajo su propia política de privacidad, a la cual enlazaremos en su Guía de Privacidad dedicada. Nuestro compromiso con tu privacidad en esos contextos no cambia; simplemente reside en un lugar diferente ahora.
Lo que no ha cambiado
Los fundamentos siguen siendo los mismos de siempre: no vendemos tu información, no la compartimos con terceros sin tu consentimiento real (no fabricado ni condicionado por patrones oscuros), salvo por requisitos legales que no podemos cambiar. Resistimos activamente las demandas legales que consideramos improcedentes. La misión de la EFF es proteger tus derechos digitales, y nuestras propias prácticas seguirán reflejando eso. Los cambios que hemos descrito anteriormente nos ayudarán en esa misión.
Puedes leer la política actualizada completa en eff.org/policy. Si tienes preguntas, siempre puedes contactarnos en info@eff.org.
