El vicio de pedir: carta del Grupo de Trabajo del Artículo 29 a Google

PobreLlevaba un tiempo queriendo leer la carta que envió el 16 de mayo el Grupo de Trabajo del artículo 29 de la Unión Europea a Google. Es muy interesante, porque deja claro que Google cumple muy poco o nada del marco legislativo europeo sobre protección de datos. Y como consecuencia, de la LOPD ni hablemos, aunque eso sería ver el servicio que presta a través del prisma de nuestra dichosa Ley, y llevaría bastante tiempo analizarlo.

Se rogó que se diera una respuesta a primeros de junio para poder tomarla en consideración en la próxima reunión del citado Grupo de Trabajo. Y la ha habido, vaya si la ha habido. Yo me preguntaba cómo podría Google responder a estas cuestiones, cuando está su “política de privacidad” colgada en todas sus webs nacionales (Francia, España, Italia…). La UE lo ha tenido fácil. Es como escribir una carta a un asesino del que tienes las huellas y fotografía cometiendo el delito para que te cuente si ha sido él o no. Pero me sigo preguntado por qué actuó así la UE.

Pongo a continuación la traducción al español de la carta dirigida a D. Peter Fleischer:

Apreciado Sr. Fleischer:

Como Presidente del Grupo de Trabajo del Artículo 29 me gustaría darle las gracias por informarnos sobre las nuevas prácticas de Google relativas a anonimizar los logs que tienen más de 18-24 meses. Es un paso importante y ampliamente bienvenido.

El Grupo de Trabajo del Artículo 29 aprecia el compromiso actual de Google con la comunidad de protección de datos en una gama de asuntos y en particular su buena disposición para consultar con ella, en contraste con una relativa carencia de compromiso de otras empresas punteras en la comunidad de motores de búsqueda.

Aunque la sede de Google se encuentra en Estados Unidos, Google está bajo la obligación legal de cumplir con las leyes europeas, en particular con las de protección de la privacidad, ya que los servicios de Google se prestan a ciudadanos europeos y mantiene actividades de proceso de datos en Europa, en especial el tratamiento de datos que tiene lugar en su centro europeo.

Como Vd. sabe, los logs son información que puede ser relacionada con una persona física identificada o identificable y pueden considerarse datos personales conforme al significado de la Directiva de Protección de Datos 95/46/CE. Por esa razón su recogida y conservación debe respetar las leyes de protección de datos.

El Grupo de Trabajo del Artículo 29 considera que la adopción de un período reducido de conservación de los logs generados por los usuarios de los servicios de Google sería un paso valioso para mejorar las políticas de privacidad de Google. Sin embargo, es de la opinión de que el nuevo período de conservación de 18 a 24 meses anunciado por Google no parece cumplir los requisitos del marco legal europeo de protección de datos.

El Grupo de Trabajo del Artículo 29 está preocupado porque Google no ha especificado suficientemente los propósitos para los que necesita conservar los logs, tal y como requiere el artículo 6.1.e de la Directiva de Protección de Datos 95/46/CE. Teniendo en cuenta la posición en el mercado de Google y su creciente importancia, el Grupo de Trabajo del Artículo 29 desearía una clarificación adicional de por qué se ha escogido este largo período de tiempo de conservación. El Grupo de Trabajo también está interesado en recibir la justificación legal de Google sobre el almacenamiento de los logs en general.

Además, el Grupo de Trabajo del Artículo 29 querría que se prestara atención al artículo 5.3 de la Directiva de Privacidad en las Comunicaciones Electrónicas 2002/58/EC, que regula el uso de “cookies” y requiere, entre otros, que se de información clara y comprensible sobre su uso y finalidad a los usuarios finales. En cuanto a la “google-cookie”, el tiempo de vida de esta “cookie”, que tiene una validez de aproximadamente 30 años, es desproporcionado respecto del propósito de procesar datos para el que se utiliza y va más allá de lo que parece ser estrictamente necesario para proveer el servicio, en el significado del artículo 5.3 de la Directiva de ePrivacidad 2002/58/CE.

El Grupo de Trabajo del Artículo 29 opina que la recientemente anunciada política de Google que apunta a un anonimato mayor debería y tendría que ser mejorada para garantizar un alto nivel de protección de datos cumplimendo con el marco legal europeo de protección de datos.

En este contexto, el Grupo de Trabajo del Artículo 29 agradecería una aclaración sobre lo que comprende (i) la información disociada que todavía contiene información significante sobre el usuario, como por ejemplo el prefijo de red, que es completamente identificable en la mayoría de los casos; y (ii) si es reversible (por ejemplo, si Google tiene medios de invertir la disociación).

En particular, el Grupo de Trabajo del Artículo 29 querría recordar la Resolución sobre Protección de la Privacidad y los Motores de Búsqueda adoptada en Londres los días 2 y 3 de noviembre de 2006, durante la 28ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad que se adjunta. Google debería respetar los siguiente principios de modo particular:

Los proveedores de motores de búsqueda deberían ofrecer sus servicios de una forma respetuosa con la privacidad. Más específicamente, no deberán guardar ninguna información sobre la búsqueda que pueda ser asociada a usuarios o sobre los usuarios mismos de los motores de búsqueda. Después del fin de una búsqueda, no se debería almacenar ninguna información que pueda ser asociada a un usuario individual a no ser que el usuario haya dado su consentimiento explícito e informado de que esos datos son necesarios para almacenar una búsqueda (por ejemplo, para utilizarlos en futuras búsquedas).

En cualquier caso, la clave es la minimización de datos. Tal práctica sería beneficiosa para los proveedores de motores de búsqueda simplificando los compromisos para responder a peticiones de información específica de terceras partes.

La Resolución mencionada señala bastantes asuntos relativos a logs, peticiones de búsqueda combinadas y su almacenamiento, y perfilado detallado de usuarios. La Resolución ruega a los proveedores de motores de búsqueda que respeten las reglas de privacidad y que cambien sus prácticas de acuerdo a ella.

El Grupo de Trabajo del Artículo 29 se apoya esta Resolución y desearía información detallada de Google sobre los pasos que ha tomado para implementar sus recomendaciones.

Finalmente quiero informarle de que al Grupo de Trabajo del Artículo 29 le gustaría contar con las respuestas a esta carta en su próxima sesión en junio de 2007. Por esta razón me gustaría recibir su respuesta a estas cuestiones, si es posible, al principio de junio de 2007.

Peter Schaar
Presidente

Deja un comentario

Tu dirección de correo electrónico no será publicada.