Privacidad y protección de datos

Google, matrix y principios de protección de datos · Blog sobre privacidad y legal web

Privacidad y protección de datos

Google, matrix y principios de protección de datos

(0) 12/12/2014 11:40h

Google

 
Desde hace tiempo Google se mete en todos los charcos posibles e imaginables, especialmente en lo que se refiere a la privacidad de sus usuarios. Es lo que tiene ser disruptivo. Asistimos a la recopilación de datos de redes wifi por todo el mundo que efectuaban sus coches mapeadores (algo que ocurrió “inadvertidamente”, sin querer),  o instalar cookies en Safari (por lo que pagará 22,5 millones de dólares a la FTC). Lo último ha sido el cambio en la política de privacidad de sus servicios, unificada ahora. Recientemente, el director de la Agencia Española de Protección de Datos calificaba su proceder como irresponsable y ejemplo negativo de la gestión de la privacidad. En la memoria de este organismo del año 2013 me encuentro con un buen resumen de toda esta historia de desencuentros entre la compañía y las autoridades de protección de datos europeas. Los entrecomillados corresponden a citas de este documento (a partir de la página 47). Esto es lo que pasó.
El grupo de Autoridades Europeas de Protección de Datos (GT29) inicia una investigación coordinada en febrero de 2012 cuyo objeto es el análisis del cambio en la política de privacidad de Google. Dicha política entró en vigor el primero de marzo de 2012. Como consecuencia de este primer análisis, el GT29 remitió un informe con los resultados observados y recomendaciones “orientadas a alinear la nueva política de privacidad  con la normativa europea”. Google no responde.
En febrero de 2013, el GT29 acordó “iniciar acciones en el plano nacional y que las actuaciones  que pudieran desarrollar las Autoridades con competencias suficientes  o mejor situadas para abrir procedimientos en esta línea se llevaran a cabo de forma coordinada, creándose una task force liderado por la CNIL. En esa task forcé se ha integrado la Agencia Española de Protección de Datos, junto con las autoridades de Alemania, Holanda,  Italia y Reino Unido.” Esto tiene una sencilla explicación: el GT29 no tiene competencias para inspeccionar y sancionar, deben intervenir cada una de las autoridades de los estados miembros de acuerdo con su normativa nacional. Esto es una de las cosas que se pretenden cambiar con el nuevo reglamento europeo de protección de datos. La AEPD inicia investigaciones y, como resultado de esas pesquisas, se procede a la apertura de procedimiento sancionador por posibles infracciones a la Ley Orgánica de Protección de Datos. Si os interesa profundizar en el análisis de la resolución, el blog Privacidad Lógica realiza un análisis pormenorizado. Este procedimiento concluye el 19 de diciembre de 2013 con una resolución en la que se constata “el incumplimiento por parte de Google de varios preceptos de la normativa española relativos a información, ejercicio de derechos y legitimidad del tratamiento, que suponen tres infracciones graves de la LOPD.” Con muy parecidas conclusiones terminan los procedimientos sancionadores iniciados por Holanda y Francia, que “impone la máxima sanción que permite su ordenamiento jurídico”.

 
La AEPD concluye que “Google recoge y trata ilegítimamente información personal, tanto de los usuarios autenticados (dados de alta en sus servicios) como de los no autenticados, e incluso de quienes son meros usuarios pasivos, que no han solicitado sus servicios pero acceden a páginas que incluyen elementos gestionados por la compañía sin explicitarlo”.
Me vais a perdonar que os copie el siguiente párrafo, pero es que me parece escalofriante la conclusión de la AEPD, no sólo en el procedimiento sancionador, sino también en la memoria de su actividad. Viene a ser un aviso, la mejor manera de contar a la gente qué hace Google con tus datos:
“Google recopila información personal a través de casi un centenar de servicios y productos que ofrece en España sin proporcionar en muchos casos una información adecuada sobre qué datos se recogen, para qué fines se utilizan sin obtener un consentimiento válido de los titulares…” Y continúa: “La falta de información  adecuada, particularmente sobre las finalidades específicas que justifican el tratamiento de los datos, impide que pueda considerarse que existe un consentimiento específico e informado y, en consecuencia, válido”. Pero es que hay más: “Google combina la información personal  obtenida a través  de los diversos servicios o productos para utilizarla con múltiples finalidades que no se determinan con claridad, vulnerando con ello la prohibición de utilizar los datos que se recogen en un servicio con los obtenidos en otros”.  Por si todo esto no fuera suficiente, Google “almacena y conserva datos personales por periodos de tiempo indeterminados e injustificados…” Finalmente, la resolución concluye que “Google obstaculiza –y en algunos casos impide- el ejercicio de los derechos de acceso, rectificación, cancelación y oposición”.
 

Matrix

 
En estos momentos no puedo dejar de pensar en ese primer encuentro entre el Agente Smith y Thomas A. Anderson (antes de despertar Neo) en Matrix, cuando le dice “…y es culpable prácticamente de todos los delitos informáticos tipificados en las leyes.” Efectivamente, Google, de acuerdo con el parecer de la AEPD, ha sido sancionado por vulnerar prácticamente todos los principios fundamentales que inspiran y conforman la normativa sobre el derecho fundamental a la protección de datos de carácter personal. Veréis, los principios de protección de datos vienen a ser como la atmósfera, reglas por defecto, marco básico, los pilares, las vigas maestras sobre las que no hay excepciones. Se puede exceptuar el deber de información, también el consentimiento. Pero no se puede excepcionar la necesidad de vincular un tratamiento de datos a una finalidad determinada, explícita. Y eso es lo que precisamente hace Google. Como resultado de todo esto la AEPD considera la existencia de tres infracciones graves de la LOPD imponiendo una sanción de 300.000 por cada una de ellas. Es decir, la vulneración total, masiva, deliberada de un derecho fundamental asciende a 900.000 euros.

Principios de protección de datos

Gracias por haber llegado hasta aquí. No, no tengo nada en contra de Google. Tiene cosas buenas y otras no tanto, después de todo lo que les interesa es ganar dinero. La intención de este blog, objetivo del que soy consciente me encuentro cada vez más lejos, no es otro que ofreceros información útil para comprender la normativa de protección de datos de carácter personal de forma clara y sencilla, fundamentalmente a través de ejemplos prácticos. Y aquí es donde viene la moraleja en forma de expresión del principio de calidad de datos. Este principio engloba a tres: el principio de finalidad, el de pertinencia y el de veracidad.
El principio de finalidad nos dice que los datos se debe de recoger con un fin. Para algo. Para el cumplimiento de finalidades legítimas. Precisamente ese fin determina los límites del tratamiento. Los usas para esto, no para esto otro. El de pertinencia, muy relacionado con la finalidad implica que únicamente trataremos los datos que necesitemos para el cumplimiento de las finalidades legítimas ¿Qué datos necesito para cumplir con la finalidad que legitima el tratamiento? ¿Necesito la fecha de nacimiento? ¿Y el número de hijos? ¿Seguro que necesitas el estado civil? El principio de veracidad exige que los datos estén actualizados, que respondan a información actual de la persona.
Os explico todo esto para que prestéis atención a vuestros textos informativos ¿Estoy explicando de forma explícita la finalidad del tratamiento? ¿Les cuento a mis clientes para qué utilizo sus datos? Prestad atención a esto, porque si no informamos correctamente el consentimiento prestado para el tratamiento de datos no será válido. Y me encuentro un día tras otro con textos informativos así, con finalidades indeterminadas, “para la prestación de nuestros servicios o entrega de nuestros productos” o con la coletilla “y para "enviarle información comercial sobre productos de su interés”. Esa expresión, "de su interés" NO es válida ya que es indeterminada. No la utilicéis. No peguéis en vuestros avisos textos con esa expresión. No vale. El consentimiento obtenido con esa información no es válido ¿Y cómo de determinada tiene que ser la finalidad? La Sentencia de la Audiencia Nacional de 27 de abril de 2006 considera que la expresión "comunicarles actividades culturales, formativas, deportivas y de ocio" es "excesivamente genérica y la referencia a promociones comerciales...no cubre la posibilidad de remitir promociones relativas a líneas de ADSL..."
Si os sirve de ayuda, yo pregunto a mis clientes a qué se dedican, cual es su negocio, y después avanzamos hacia qué datos necesita para su negocio. Sonara un poco obvio, pero muchas veces descubrimos tratamientos de datos que no son necesarios en absoluto. Explicar sencillamente, porque necesitamos los datos de nuestros clientes y usuarios.

Ley Orgánica de Protección de Datos
Anterior Siguiente

Comentarios (0)

¿Quieres comentar este post?

Código anti Spam

Política de privacidad y Responsabilidad de los comentarios