La virtud de no dar: la respuesta de Google

PobreY Google respondió el 10 de junio, sin decir nada concluyente, excepto que retendría los datos de los logs sólo 18 meses, y que intentaría encontrar una solución para rebajar el tiempo de vida de sus cookies. He traducido la carta para quien le interese, porque por mucho que he buscado no he sido capaz de encontrarla en español. Esperaba que en estos cuatro días hubiera más información en Internet sobre el asunto, e incluso alguna crítica, pero nada de nada. Lo mismo nos da Juana que su hermana.

En la carta hay cosas muy interesantes:

Google da un nivel de protección de privacidad a sus usuarios en todo el mundo, sin tener en cuenta el país donde residen (aunque por supuesto cumplimos con la ley aplicable). Es más, es extraordinariamente difícil operar un servicio global en Internet de acuerdo con diferentes estándares de privacidad en diferentes países

¿Así que te fastidia que la legislación varíe de un país a otro? ¡Bienvenido al mundo! A mi también me fastidia que varíen los estándares de privacidad de cuando viajo a Francia a cuando viajo a tu país, y me quieran tomar hasta la huella dactilar para entrar, y tenga que marcar una casilla declarando que no tengo intenciones de cometer un atentado.

Veamos otra cuestión:

Estamos por lo tanto comprometidos con los principios de protección de datos que cumplen las expectativas de nuestros usuarios en Europa y en el resto del mundo. Este compromiso incluye políticas de privacidad claras y absoluta transparencia sobre nuestras prácticas de retención de datos para que los usuarios estén bien informados sobre los datos que recogemos cuando usan nuestros servicios. Damos información a nuestros usuarios sobre los datos almacenados en nuestros logs de servidores en nuestras FAQ de privacidad.

De entrada, para llegar a la información previa que han de darle a un usuario, hay que navegar, es necesario pasearse por la paginita del susodicho. Un usuario puede realizar una búsqueda sin haberse ni tan siquiera percatado de la famosa “política de privacidad”: hay que pasar primero al enlace Todo acerca de Google, y ahí bajar hasta el pie de página para poder encontrar la Política de privacidad. Y por cierto, un premio a quien me diga dónde viene ahí el tiempo que van a almacenar esos logs, que por otra parte, contienen un dato personal mío como es la IP (o al menos eso dice la AEPD en este Informe) aunque no me registre nominalmente en ninguno de sus servicios, sino como mero buscador de información…

Recomiendo leer la carta para ver cómo Mr. Fleischer pasa de manejar el concepto general de dato de carácter personal, hasta llegar a mezclarlo con el específico de dato de tráfico, porque… ¿no son los logs una mezcla de datos de tráfico con otros datos de carácter personal?

Después de haber hecho un refrito donde se ve que tiene pocas ganas de aplicar protección de datos a la europea, en vez de contestar a lo que le pregunta la UE, se dedica a criticar el marco general sobre retención de datos de tráfico… ¡y hace él las preguntas a la UE!:

Recibiríamos con agrado un debate definitivo en Europa para contestar algunas cuestiones básicas como:

1) ¿Qué es un “proveedor de servicios de comunicación electrónica” sujeto a obligaciones de retención de datos, y si incluiría los servicios de Google, tales como Gmail, Google Talk, o Google Search, a la luz de las diferentes definiciones de cada Estado Miembro?

2) ¿Cuál es el período obligatorio de conservación para una empresa global de Internet que tiene negocios en cada Estado Miembro, cuando los períodos de conservación oscilan de 6 a 24 meses?

3) ¿Se aplican los requisitos de conservación de datos al almacenamiento de datos personales fuera de la UE por proveedores de servicio establecidos en la UE?

4) ¿Irán los Estados Miembros más allá de la Directiva e implementarán requerimientos más rigurosos?

Cuestión básica, amigo Fleischer, es que en cada país tendrás que respetar la legislación de protección de datos que toque. Y la correspondiente de retención de datos de tráfico (si es que estás sujeto a ella, aclárate), que en España está de momento en tramitación, y el período de conservación que tanto mencionas en tu carta es de 12 meses… ¿los servicios de Google serán peores en España por eso? ¡Anda ya! Repito, ¿es que esos logs de servidor son datos de tráfico que estés obligado a retener y conservar, o es que los conservas porque son esenciales para analizar perfiles y que la publicidad que vendéis tenga la eficacia que tiene?

Si la UE se coordinara de verdad, y los directores/presidentes de los organismos de protección de datos de los diferentes países volvieran de sus reuniones del Grupo de Trabajo del Artículo 29 con las cosas claras, no sólo os investigaría Noruega, y veríais cómo os metían en cinta, igual que hacen con las pequeñas SL’s a las que van multando sin compasión. Al menos Google tiene dólares para pagar sanciones.

Lo peor de todo es que la UE en sí misma no tiene capacidad operativa en el asunto y no puede pasar de recomendaciones y declaraciones tipo “es un buen paso”. En eso nos queda mucho por aprender de Estados Unidos, que tiene las cosas muy claritas. Mira como la UE se bajó los pantalones al final y ha tragado con el largo listado de datos que tenemos que dar cualquier europeo para viajar allí.

Para finalizar, te voy a refrescar lo que tú mismo apuntas en tu blog:

Finally, privacy is about more than legal compliance, it’s fundamentally about user trust. Be transparent with your users about your privacy practices. If your users don’t trust you, you’re out of business.

Ahora quedamos a la espera. ¿Dirá algo más la UE, o se callará la boquita ante el ya gigante Google?

El vicio de pedir: carta del Grupo de Trabajo del Artículo 29 a Google

PobreLlevaba un tiempo queriendo leer la carta que envió el 16 de mayo el Grupo de Trabajo del artículo 29 de la Unión Europea a Google. Es muy interesante, porque deja claro que Google cumple muy poco o nada del marco legislativo europeo sobre protección de datos. Y como consecuencia, de la LOPD ni hablemos, aunque eso sería ver el servicio que presta a través del prisma de nuestra dichosa Ley, y llevaría bastante tiempo analizarlo.

Se rogó que se diera una respuesta a primeros de junio para poder tomarla en consideración en la próxima reunión del citado Grupo de Trabajo. Y la ha habido, vaya si la ha habido. Yo me preguntaba cómo podría Google responder a estas cuestiones, cuando está su “política de privacidad” colgada en todas sus webs nacionales (Francia, España, Italia…). La UE lo ha tenido fácil. Es como escribir una carta a un asesino del que tienes las huellas y fotografía cometiendo el delito para que te cuente si ha sido él o no. Pero me sigo preguntado por qué actuó así la UE.

Pongo a continuación la traducción al español de la carta dirigida a D. Peter Fleischer:

Apreciado Sr. Fleischer:

Como Presidente del Grupo de Trabajo del Artículo 29 me gustaría darle las gracias por informarnos sobre las nuevas prácticas de Google relativas a anonimizar los logs que tienen más de 18-24 meses. Es un paso importante y ampliamente bienvenido.

El Grupo de Trabajo del Artículo 29 aprecia el compromiso actual de Google con la comunidad de protección de datos en una gama de asuntos y en particular su buena disposición para consultar con ella, en contraste con una relativa carencia de compromiso de otras empresas punteras en la comunidad de motores de búsqueda.

Aunque la sede de Google se encuentra en Estados Unidos, Google está bajo la obligación legal de cumplir con las leyes europeas, en particular con las de protección de la privacidad, ya que los servicios de Google se prestan a ciudadanos europeos y mantiene actividades de proceso de datos en Europa, en especial el tratamiento de datos que tiene lugar en su centro europeo.

Como Vd. sabe, los logs son información que puede ser relacionada con una persona física identificada o identificable y pueden considerarse datos personales conforme al significado de la Directiva de Protección de Datos 95/46/CE. Por esa razón su recogida y conservación debe respetar las leyes de protección de datos.

El Grupo de Trabajo del Artículo 29 considera que la adopción de un período reducido de conservación de los logs generados por los usuarios de los servicios de Google sería un paso valioso para mejorar las políticas de privacidad de Google. Sin embargo, es de la opinión de que el nuevo período de conservación de 18 a 24 meses anunciado por Google no parece cumplir los requisitos del marco legal europeo de protección de datos.

El Grupo de Trabajo del Artículo 29 está preocupado porque Google no ha especificado suficientemente los propósitos para los que necesita conservar los logs, tal y como requiere el artículo 6.1.e de la Directiva de Protección de Datos 95/46/CE. Teniendo en cuenta la posición en el mercado de Google y su creciente importancia, el Grupo de Trabajo del Artículo 29 desearía una clarificación adicional de por qué se ha escogido este largo período de tiempo de conservación. El Grupo de Trabajo también está interesado en recibir la justificación legal de Google sobre el almacenamiento de los logs en general.

Además, el Grupo de Trabajo del Artículo 29 querría que se prestara atención al artículo 5.3 de la Directiva de Privacidad en las Comunicaciones Electrónicas 2002/58/EC, que regula el uso de “cookies” y requiere, entre otros, que se de información clara y comprensible sobre su uso y finalidad a los usuarios finales. En cuanto a la “google-cookie”, el tiempo de vida de esta “cookie”, que tiene una validez de aproximadamente 30 años, es desproporcionado respecto del propósito de procesar datos para el que se utiliza y va más allá de lo que parece ser estrictamente necesario para proveer el servicio, en el significado del artículo 5.3 de la Directiva de ePrivacidad 2002/58/CE.

El Grupo de Trabajo del Artículo 29 opina que la recientemente anunciada política de Google que apunta a un anonimato mayor debería y tendría que ser mejorada para garantizar un alto nivel de protección de datos cumplimendo con el marco legal europeo de protección de datos.

En este contexto, el Grupo de Trabajo del Artículo 29 agradecería una aclaración sobre lo que comprende (i) la información disociada que todavía contiene información significante sobre el usuario, como por ejemplo el prefijo de red, que es completamente identificable en la mayoría de los casos; y (ii) si es reversible (por ejemplo, si Google tiene medios de invertir la disociación).

En particular, el Grupo de Trabajo del Artículo 29 querría recordar la Resolución sobre Protección de la Privacidad y los Motores de Búsqueda adoptada en Londres los días 2 y 3 de noviembre de 2006, durante la 28ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad que se adjunta. Google debería respetar los siguiente principios de modo particular:

Los proveedores de motores de búsqueda deberían ofrecer sus servicios de una forma respetuosa con la privacidad. Más específicamente, no deberán guardar ninguna información sobre la búsqueda que pueda ser asociada a usuarios o sobre los usuarios mismos de los motores de búsqueda. Después del fin de una búsqueda, no se debería almacenar ninguna información que pueda ser asociada a un usuario individual a no ser que el usuario haya dado su consentimiento explícito e informado de que esos datos son necesarios para almacenar una búsqueda (por ejemplo, para utilizarlos en futuras búsquedas).

En cualquier caso, la clave es la minimización de datos. Tal práctica sería beneficiosa para los proveedores de motores de búsqueda simplificando los compromisos para responder a peticiones de información específica de terceras partes.

La Resolución mencionada señala bastantes asuntos relativos a logs, peticiones de búsqueda combinadas y su almacenamiento, y perfilado detallado de usuarios. La Resolución ruega a los proveedores de motores de búsqueda que respeten las reglas de privacidad y que cambien sus prácticas de acuerdo a ella.

El Grupo de Trabajo del Artículo 29 se apoya esta Resolución y desearía información detallada de Google sobre los pasos que ha tomado para implementar sus recomendaciones.

Finalmente quiero informarle de que al Grupo de Trabajo del Artículo 29 le gustaría contar con las respuestas a esta carta en su próxima sesión en junio de 2007. Por esta razón me gustaría recibir su respuesta a estas cuestiones, si es posible, al principio de junio de 2007.

Peter Schaar
Presidente