bookmark_borderCuestión de prueba

Las empresas desarrolladoras de software no incluyen las disposiciones LOPD.
Las empresas desarrolladoras de software no incluyen las disposiciones LOPD.

Nos hemos acostumbrado a recoger datos personales en páginas web. Con poner un formulario y un aviso legal parece que lo tenemos todo listo. Pero es más complejo de lo que a priori pudiera parecernos, puesto que como veremos a continuación, puede traer bastantes quebraderos de cabeza. No se soluciona solo con poner la cláusula informativa adecuada, sino que además estamos obligados a controlar una cuestión capital: la prueba. Y esto nos ocurre con cualquier tipo de contratación a distancia.

Uno de los ejemplos más conocidos es el “caso Antevenio”, donde la Agencia sancionó a esta empresa con un total de 210.000€. Antevenio disponía (y dispone) del “Servicio CorreoDirect”, que consiste, tal y como ellos lo definen, “en un Club formado por millones de personas interesadas en multitud de campos”, donde el usuario “les dice lo que le gusta” y Antevenio les envía ofertas y promociones de diversos sectores. Sus términos y condiciones de “privacidad” pueden consultarse aquí (al final volveremos sobre éstas…). Bankinter contrató a través de un intermediario el uso de parte de esa base de datos con ciertos parámetros para un envío de publicidad de la tarjeta “Visa Oro de Capital One” por correo ordinario. En concreto, solicitó “hombres mayores de 18 años – todos los registros masculinos”, tal y como dice la Resolución sancionadora. Pero he aquí que entre los registros facilitados se encontraban los datos de un menor de edad que para acceder a unos contenidos de la web (www.trucoteca.com) tenía que realizar el registro previo como usuario de “CorreoDirect”. En las condiciones legales del formulario de registro figuraba la advertencia de que el servicio no estaba permitido a menores. Aún así, el menor pudo finalizar el registro sin dificultad consignando su mayoría de edad.

La Sentencia de la Audiencia Nacional de 26 de Noviembre de 2009 confirmó la sanción a Antevenio, y se ha limitado a reafirmar en su Fundamento de Derecho 4º que

la concurrencia del consentimiento inequívoco del afectado que exige el artículo 6.1 de la LOPD para el tratamiento de datos de carácter personal, en el caso de que el afectado niegue haberlo otorgado, incumbe a quien realiza el tratamiento a través de los medios previstos legalmente a tal fin

Es feo el asunto. ¿Nos sirve algo más allá de una recogida de datos con la firma electrónica de la persona en el caso de los formularios en las páginas web? El usuario siempre podrá negar que nos ha proporcionado los datos, y tendremos la carga de la prueba. ¿Nos sirven de algo los “logs” que almacenan la IP del equipo desde el que se ha rellenado el formulario?… ¿cuántas personas pueden utilizar un ordenador?…

Y en el caso de los menores, ya ni hablemos. Recordemos que en cuestión de prueba sobre el consentimiento de menores, el artículo 13, en su punto 4, del R.D. 1720/2007, atribuye al responsable del fichero o tratamiento “articular losprocedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales“.

La última sanción de la que tengo constancia es ésta, en la que ocurre algo idéntico al Caso Antevenio. Eso sí, a pesar de que Boombang Games S.L.recogió los datos de un menor de 14 años, y no aporta prueba de haber recabado el consentimiento del padre, tutor o representante legal, la Agencia se descuelga con una sanción de 2.000€. ¿Me puede explicar alguien qué diferencia hay con Antevenio? Es de marco el párrafo de su “política de privacidad” donde se hace referencia al consentimiento del menor:

En el supuesto de que el titular de los datos fuera menor de 14 años en el momento de entrega de sus datos, con la aceptación de esta Política de Protección de Datos, manifiesta que ha entregado sus datos con el previo consentimiento de sus padres o representantes legales, y que, en cualquier caso, ha cumplimentado los formularios accesibles desde la Página Web, en su presencia y bajo su constante supervisión.

Hombre… ya que hacen que una criatura menor de 14 años afirme todo eso, pídanle el consentimiento al padre, que está delante del ordenador con el niño, ¿no?… pero claro, ¿cómo probamos que hemos recogido los datos del padre si este lo niega…?

Bromas aparte, todo lo dicho conduce a que si nos tomamos la Ley y el Reglamento a pies juntillas, en cualquier recogida de datos por Internet tendríamos que andar o solicitando que se aportase la firma electrónica, o comprobando la identidad de cualquiera a base de faxes, cartas y otros medios pre-Internet.

No solo Internet trae problemas. En la recogida de datos por teléfono también ha habido multitud de casos en los que se ha sancionado a empresas por no poder aportar prueba de haber recogido los datos. Un ejemplo es el de lasanción a Edugama Asociados S.L., empresa dedicada a la publicidad. Tras haber recibido (supuestamente) un encargo de un cliente para la publicación en una revista de un anuncio y pasar el recibo correspondiente para su cobro a la cuenta que el mismo cliente le había facilitado, el cliente niega haber contratado tal publicidad. Edugama alegó que había mantenido una conversación telefónica con el cliente de 6 minutos de duración en la que se le recogieron los datos, pero la Agencia concluye que no se ha probado que el cliente los haya facilitado… ¿dónde está la prueba? La resolución está recurrida, pero de momento, ahí están los 60.101€. En el caso de recogida de datos por teléfono, sólo nos queda la grabación de la conversación, donde quede registrada la recogida de datos previa la información del artículo 5.

Colocar un formulario y redactar la cláusula para obtener un consentimiento informado no es complejo. Pero cuidarse de comprobar que nos lo han dado, y poder probarlo, ya es otro cantar. Y con los menores,más complicaciones.

No puedo dejar de observar que, tanto unos como otros, a pesar de haber sido sancionados, no han movido un dedo para cambiar ni los clausulados. Qué cosas…

bookmark_borderGoogle Buzz: cómo hacerlo peor en menos tiempo

GoogleBuzzGoogle es la empresa que más servicios gratuitos nos proporciona en Internet, nadie se atrevería a cuestionarlo. Eso sí, también hay que conocer que el precio que pagamos por éstos es el tratamiento de nuestros datos personales para recibir publicidad, tal y como la Agencia Española de Protección de Datos ha afirmado en alguna ocasión. Para mí constituye el modelo de negocio más apasionante que existe hasta ahora, puesto que implica una explotación y gestión de datos desconocida hasta que ellos entraron en juego. Con cada nuevo servicio que ponen en funcionamiento, más puede aprenderse sobre para qué puede llegar a servir un perfil de usuario, y comprobamos los problemas que les van planteando en todo el mundo, porque claro, los conceptos y normativas sobre privacidad son de lo más variado. A pesar de tener un plantel de expertos en privacidad, Google no para de tener problemas: baste con citar el cuestionamiento de Street View en Alemania o en Suiza, o la condena en Italia a varios ejecutivos por haber permitido subir un vídeo a Youtube donde se difamaba a un disminuido. Y es que lanzar un servicio accesible desde todo el mundo ha de tener sus complicaciones.

En el último lanzamiento de la casa, Google Buzz, tampoco es que lo hayan hecho muy bien que digamos. En EE.UU. ha sido visto como una agresión a la privacidad, mientras que en España se ha pasado sobre el problema de puntillas.

El 9 de febrero a los 37 millones de usuarios de Gmail se les ofreció aceptar probar Buzz o ir directamente a su correo; sin embargo, eligieran lo que eligieran, el servicio se activaba, y Buzz incluía a  los contactos más frecuentes incluidos en Gmail como «seguidos» por el usuario. En España sigue ocurriendo lo mismo. Si abres una cuenta en Gmail, se te muestra  una pantalla con dos opciones. Si elegimos la opción «Prefiero ir a mi bandeja de entrada y probar Google Buzz más adelante» nos encontramos con que nos da prácticamente igual. No nos hace caso, y Buzz se activa, tal y como puede comprobarse en la siguiente imagen, donde en el menú de la izquierda ya está instalado, y se nos ofrece en la parte inferior la opción de «desactivar Buzz»:

BuzzActivado

Sin cambiar la falla anterior, el 11 de febrero Google hizo cambios en Buzz por las continuas protestas de los usuarios, pero sin la profundidad deseable. Una vez que lo tienes activado y quieres usarlo, cada vez que vayas a la ventana de escritura de Buzz, te aparecerá un pop-up como este:

PerfilActivado

 Se puede apreciar cómo por defecto se mostrará en nuestro perfil a «seguidores» y «seguidos», debiendo desmarcar la casilla si queremos que esto no ocurra. De lo contrario, todos nuestros contactos estarán accesibles públicamente. Google no notifica a los usuarios la creación de estas listas de «gente a la que sigues» o «gente que te sigue», creadas conforme a la frecuencia de conversaciones en el chat o correos electrónicos intercambiados. Así que sin quererlo ni apreciarlo podemos estar desvelando nuestra lista de contactos de Gmail a todo el mundo que busque nuestro perfil. Ahí es nada.

Se introdujo un último cambio el 13 de Febrero, derivando a un modelo donde ya se respetaba al usuario sin hacerle «seguidor» por defecto de sus contactos, sino pudiendo hacerlo por sí mismo, o eligiéndolos en una lista de sugerencias que le hace la aplicación. Eso sí, por defecto tus listas están tomadas de tus contactos de Gmail.

Este continuo despropósito le ha valido a Google la interposición de una quejapor EPIC ante la FTC, solicitando que fuerce a Google a hacer de Buzz un servicio completamente optativo, no con continuas trampas donde hay que ir atento a quitar «checks» premarcados. También solicita que no se utilicen las direcciones de contactos incluidos en Gmail, y que se de mayor control al usuario sobre su información.

Dos cambios en cuatro días, sin dejar satisfecho a nadie y ganándote una queja ante la FTC. Todd Jackson, el «product manager» de Buzz, y el plantel de expertos en privacidad de Google, pueden estar orgullosos. Sin tener en cuenta consideraciones sobre privacidad, abusar de la masa de usuarios para crear una red social sin informarles apropiadamente de las consecuencias del nuevo servicio, no es muy correcto que digamos. Ahora, ¿quién se resiste a crear una «red social» con todos los usuarios de otro servicio, a golpe de «clic»? Me parece que no es modo de competir con Facebook o Twitter, y mucho menos poniendo la intimidad de las personas en riesgo.