bookmark_borderAhora le toca a Gmail

logogmailEn octubre del año pasado y de modo casi casual me fijé en los anuncios que te colocan cuando utilizas el servicio de correo electrónico de Gmail. Todo por la declaración de Steve Ballmer de que Google lee el correo electrónico de los usuarios.

FACUA ha colgado hoy mismo en su sitio web la siguiente noticia:Gmail, el “correo espía” de Google, ilegal en Europa

Ahí es nada. Ni más ni menos afirman que están pendientes de recibir la respuesta oficial de la Agencia Española de Protección de Datos, que “ha declarado ilegal el modelo de negocio” en el que está basado el negocio de correo electrónico Gmail. La noticia está redactada en un tono bastante sensacionalista: “FACUA ha ganado al gigante estadounidense Google la primera batalla contra la intromisión en la privacidad del correo electrónico”, “Google debe reorientar el negocio”, “la empresa no tiene otra salida en la UE que reconducir el negocio”…

FACUA menciona el Dictamen 2/2006 del GT29 sobre el respeto a la privacidad en relación con la prestación de servicios de cribado de correo electrónico, de 21 de febrero de 2.006, y la “Declaración sobre buscadores de Internet”, aunque la AEPD ya se pronunció sobre el asunto en octubre del año pasado con su Informe Jurídico 391/2007, sobre cribado de correo electrónico.

Estos de FACUA no saben con quién están jugando la partida. Por mucho que diga la AEPD, poco hará Google, que ya ha pasado olímpicamente de las peticiones de la Unión Europea sobre conservación de logs y cookies, riéndose de cualquier institución a la que se le ocurra aconsejarle algo. Y también de la misma AEPD: ¿creen que van a hacer caso de la “Declaración sobre buscadores”?

Permítanme que me desternille: el negocio es el negocio, y cuando es tan rentable como el de Google… ni AEPD, ni UE, ni nada.

A veces las consideraciones que hacemos los que nos dedicamos a esto de la protección de datos, o asociaciones como FACUA, están en el plano de la teoría, del “deber ser”. El “ser” a menudo es muy diferente, más de lo que nosotros creemos. Los usuarios quieren servicios que funcionen y están dispuestos (o anestesiados) a ni pensar en lo que FACUA llama “derechos ciudadanos”. También piensan que su privacidad es suya y solo suya, y que con pueden disponer de ella como quieran. Eligen el servicio Gmail o cualquier otro porque les sirve, y les importa tres pimientos que les coloquen anuncios al lado de los mensajes aunque estén relacionados con el contenido del mensaje. Esta es la realidad.

¿Cuántos usuarios de Gmail van a dejar de utilizarlo por esto?

bookmark_borderJornada sobre el desarrollo reglamentario de la LOPD

clausulasEl miércoles 6 de junio asistí en Barcelona a la Jornada sobre el desarrollo reglamentario de la LOPD que organizó la UOC en Barcelona. El plantel de ponentes, de lujo: el Secretario de Estado de Justicia, el Director de la AEPD, y parte del equipo jurídico que asesora al Ministerio en el desarrollo del nuevo reglamento. El salón de actos del Centro de Estudios Jurídicos y Formación Especializada del Departamento de Justicia de la Generalitat estaba lleno a rebosar, con más de doscientos asistentes.

De las intervenciones iniciales destaco la de D. Llorenç Valverde, que se autodefinió como “tecnólogo”, y mencionando a Lessig (“el código es la ley”) remarcó la importancia que tiene el software en el tratamiento de datos, dejando caer la idea de que con una programación adecuada se podrían resolver problemas que atormentan a los responsables, como la cancelación de los datos.

  1. Julio Pérez, Secretario de Estado de Justicia, detalló el recorrido del borrador de reglamento y mencionó las principales preocupaciones del Ministerio: el tratamiento de los datos de menores de edad, los ficheros de solvencia patrimonial y crédito, y los tratamientos no automatizados de datos. Al auditorio nos quedó claro que el borrador ha de pasar todavía el dictamen del Consejo de Estado, y quizá para el otoño esté aprobado.
  2. Santiago Cavanillas Múgica, Catedrático de Derecho Civil de laUIB, y director del Centro de Estudios de Derecho e Informática de Baleares, intervino magistralmente comentando el artículo 11 del borrador, relativo a la forma de recabar el consentimiento. Haciendo una interpretación práctica redujo a cenizas la regulación del consentimiento que pretende imponer el reglamento nuevo a partir de argumentos prácticos y entendibles. Claramente habló de excesos reglamentarios que infringían el principio de legalidad:

– se hace valer el silencio del interesado como positivo, llevando a un sistema parecido al francés: el responsable podrá dirigirse al interesado concediéndole un plazo de 30 días. Si éste no manifiesta su negativa se entenderá que consiente el tratamiento de sus datos de carácter personal. Esto abre muchas cuestiones: ¿qué medios son válidos para efectuar esta notificación?, ¿desde qué momento hay que contar el plazo?, ¿es legítimo que el reglamento imponga una carga de este tipo al interesado?…

– el artículo en cuestión permite tratar cualquier tipo de datos, incluidos los especialmente protegidos;

– lamentó la poca valentía del legislador en no prohibir las llamadas telefónicas con fines de márketing directo;

Lo que más me choca es que si el artículo 11 se entiende referido a la recogida de datos inicial, el reglamento está legitimando un tratamiento previo. Y me explico: ¿cómo me voy a dirigir a un interesado para recabar el consentimiento sin hacer un tratamiento? Es de locos. Si me dirijo a él, ya le tengo inserto en un fichero, y ya he tratado los datos… para enviarle esta comunicación. O se entiende que esa forma de recabar el consentimiento sólo va referida a interesados cuyos datos ya trata legítimamente el responsable de un fichero, o hay que cambiarle el nombre al título. El Reglamento no puede legitimar un tratamiento que es ilegítimo conforme a la LOPD.

La intervención de D. Lorenzo Prats fue demasiado técnica. Se le debió olvidar que no tenía delante un auditorio de estudiantes o profesionales de derecho exclusivamente y lanzó un largo discurso que se centró en justificar que el reglamento regulaba las relaciones entre los particulares y responsables de los ficheros, catalogando éstas como una relación especial.

Eché de menos que se tratar la novedosa referencia al software de la Disposición Adicional Única. Uno de los ponentes, D. Ricard Martínez, me comentó la razón de su existencia: las reclamaciones de los responsables de ficheros por haber realizado tratamientos con software que no permitía aplicar las medidas de seguridad pertinentes. Y que no tenía nada que ver la aparición de esa Disposición con la Comunicación de la Comisión al Parlamento de la UE que ya comenté. Una demostración más de que el Reglamento se excede: ¿por qué mencionar al software, y no a otros sectores? Sobra la mención, la LOPD no prevée en ninguna parte que haya de establecerse nada al respecto, y son los fabricantes los que debieran preocuparse de producir software que permita cumplir la LOPD, y los responsables escoger el adecuado.

Una buena Jornada que sirvió para apuntar unas cuantas ideas interesantes para aplicar.