Animemos a Google para que cumpla…

Pompones2He puesto esta fotografía de unos pompones de animadoras porque creo que les van a hacer falta a los miembros del Grupo de Trabajo del artículo 29 para el próximo documento que elaboren contra cualquiera de los grandes de los datos. Ya que se ponen, que lo hagan de un modo completamente profesional.

Y es que ayer vimos cómo con sus “conclusiones y recomendaciones” han “animado” a Google a que cumpla con las Directivas europeas. Este documento que ha costado elaborar unos 7 meses (¡…!), y ni quiero saber el trabajo de cuántos expertos de la CNIL, no sirve absolutamente para nada. Igualito que todas las advertencias, cartas y demás papelitos que se le han enviado a esta empresa. Por un oído les entra y por otro les sale. Triste, pero cierto: la UE como tal no puede hacer nada más en cuanto a protección de la privacidad.

El documento constituye una crítica a la poca concreción de las políticas de privacidad de Google, pero creo que incurre en el mismo defecto que critica. Es muy inconcreto. Quien espere leer un dictamen donde vengan claras las infracciones reales que han cometido y las consecuencias que tienen, mejor que ni lo abra.

Lo que más preocupa al G29 es la combinación de datos entre servicios. Dice el G29 que no existe un fundamento jurídico para esa combinación en cuatro casos (innovaciones de marketing, desarrollo de productos, fines publicitarios, y fines analíticos), ya que no existe un consentimiento válido del usuario porque no conoce el alcance exacto de la combinación de los datos. Y que el fundamento jurídico del interés legítimo puede no ser aplicable, salvo que se limite de modo claro el alcance y la duración de la combinación de los datos y dote a los usuarios de derechos elementales y efectivos. Pero vamos a ver, ¿es, o no es aplicable? Porque si puede no serlo, se está admitiendo directamente que existe un interés legítimo de Google para hacerlo. Con alegarlo y explicarlo basta.

El remate de la carta puede interpretarse como una admisión de culpa, donde el G29 reconoce que la aplicación de sus recomendaciones puede implicar una interferencia en el modo de trabajar de Google. Nunca mejor aplicada la locución latina de excusatio non petita, accusatio manifiesta:

Nuestras recomendaciones no pretenden limitar la capacidad de la empresa para innovar y mejorar sus productos, sino incrementar la confianza y el control de los usuarios y garantizar el cumplimiento de las leyes y los principios en materia de protección de datos

Las recomendaciones, si son llevadas a cabo, permitirán al usuario decidir qué datos se combinan y cuáles no. Google no puede dejar en manos de los usuarios esas decisiones, porque su negocio existe y funciona gracias al análisis de información proveniente de éstos. Una cosa es cumplir con el deber de información, y otra es permitir decidir al usuario qué datos y cómo puedo tratarlos cuando esos tratamientos son la única retribución para la empresa a cambio de un servicio gratuito. Esa postura no es extraña, y de hecho en España la AEPD ya ha utilizado ese razonamiento (“…el precio que paga el usuario es autorizar el tratamiento de sus datos personales para recibir publicidad”).

Dudo que Google tenga que ser transparente en cuanto a qué métodos utiliza, asunto también exigido por el G29. Esta combinación de información y su análisis posterior, ahora que está de moda el “Big Data”, tiene para Google unos beneficios nada desdeñables. Pero como he afirmado antes, es su retribución, y no entiendo por qué tendría que explicar los medios por los que realiza esos tratamientos.

Asistimos a otra manifestación de impotencia de la vieja Europa frente a Google. Está bien intentar actuar todos juntos, pero los resultados son penosos. La alusión a Alemania que se hace nos da un baño de realidad, puesto que es el único país que hasta ahora ha conseguido que Google retoque uno de sus servicios (Analytics) para cumplir con su normativa. También Facebook tiene especialidades con Alemania. Será por algo. Estos antecedentes de los maestros germanos nos enseñan qué tenemos que hacer para hacer respetar las 27 legislaciones. Si tan claro está que Google incumple con las Directivas, también incumple con las legislaciones nacionales. Así que hala, que las 27 autoridades de control abran inspecciones a Google para estas nuevas políticas de privacidad y para cada uno de sus servicios, y sancionen si corresponde. El resultado puede ser muy interesante… O también de circo.

Argumento para competir

No digo nada nuevo cuando afirmo que para muchas empresas, tener que cumplir con las normas de protección de datos no pasa de ser nada más que de ser una pesada obligación. Esto resulta normal en nuestra economía, donde todavía no hay apenas negocios cuya principal materia prima sean los datos de las personas. Conforme vayamos avanzando, esta percepción cambiará. Primero, hacia una concepción de la protección de datos como algo que es beneficioso para la continuidad del negocio, situación en la que ya se encuentran las grandes empresas, y posteriormente, hacia una concepción donde hasta se convierta el cumplimiento en ventaja competitiva. Sobre todo cuando la competencia no cumple.

En los servicios en la nube, mercado que la consultora Gartner valora para el año 2014 en más de 100.000 millones de dólares, es donde mejor podemos comprobar cómo se está empezando a utilizar la legislación para intentar excluir a la competencia. Ya sabemos que la falta de confianza en la seguridad adoptada en este tipo de servicios es uno de los factores que hacen reticentes a las empresas a adoptar soluciones “cloud”. Las diferencias entre las legislaciones de Estados Unidos y las de Europa también se han empezado a esgrimir como argumento. Veamos algunos ejemplos:

  • OVH (Francia) comparó su servicio de almacenamiento en línea Hubiccon Google Drive, alegando un una mayor confidencialidad de la información almacenada, además de unas mejores y más comprensibles condiciones de uso.
  • Deutsche Telekomm (Alemania) intentó que la administración alemana introdujera un certificado para las empresas alemanas y europeas que garanticen que el gobierno de los EE.UU. no accede a la información. Esto proporcionaría una ventaja competitiva a las empresas europeas frente a la competencia norteamericana.
  • el Gobierno de Holanda ha excluido a proveedores”cloud” de EE.UU. de sus concursos públicos para acceder a contratos con la administración para prestar servicios en los que sea necesario alojar datos del Gobierno o de ciudadanos, aduciendo el acceso que confiere al gobierno norteamericano a esa información la Patriot Act.

Sin embargo, la más interesante batalla es la que mantienen Google y Microsoft. Desde el lanzamiento de Office 365, en junio del año pasado, llevan varias escaramuzas que nos enseñan bastante de cómo pueden utilizarse la seguridad y la privacidad como argumentos.

El primer disparo lo hace Microsoft con el siguiente vídeo, subido a Youtube el 31 de enero de 2012. Es una magnífica sátira donde un cartero llamado “GMail Man” va abriendo correos electrónicos dejando atónitos a los diversos usuarios que se encuentra. Merece comentario la afirmación con la que termina el vídeo: “Tu correo electrónico es tu negocio. Gmail lo hace el suyo”:

El 15 de mayo afirma que su paquete Office 365 cumple con la legislación europea sobre privacidad. El día 28 del mismo mes, Google nos cuenta en su blog de empresa que Google Apps se ha certificado con la ISO 27001. Una verdadera carrera por demostrar qué servicios son los mejores.

Microsoft ha continuado atizándole a Google este mes de septiembre. Recordemos que Google llegó a un acuerdo con la FTC para pagar 22,5 millones de dólares por haber engañado a los usuarios del navegador Safari de Apple. Mientras que el navegador estaba configurado por defecto para no permitir el seguimiento de usuarios con la colocación de “cookies”, Google lo puenteó tecnológicamente sin dar información alguna. Usando esta nueva infracción, Microsoft ha estado colocando el siguiente anuncio dirigido a usuarios del navegador Safari para que utilizasen Bing:

BingvsGoogle

Es una exposición de hechos donde deja patente la deslealtad de Google, ofreciendo enlaces a un artículos de prensa sobre los hechos y el millonario acuerdo. Aunque se desconocen los resultados de la campaña, es más que directa, y ataca a Google poniendo de manifiesto que no cuida la privacidad de sus usuarios incumplimendo sus promesas.

Los ejemplos dejan claro de que seguridad y protección de datos se convierten en magníficas armas para atacar al contrario tanto en caso de flagrante incumplimiento, como para intentar destacar sobre el otro mediante la adopción de medidas que permitan cumplir con diversas legislaciones. Cuando los productos y servicios de las empresas son tan similares, hay que buscar la diferenciación en otros elementos, y ya no hablamos de precio. A día de hoy, tenemos la privacidad.

¿Cuánto tiempo nos queda para ver cómo dos empresas españolas compiten en este campo?