12 septiembre 2007

Buscadores y Datos Personales

A raíz de esta noticia, he recordado que tenía la intención de publicar una duda acerca del archiconocido caso de los buscadores y sus disputas con las agencias de protección de datos personales.

Supongamos que tengo un buscador. En concreto, un buscador "patrocinado con publicidad personalizada" (textualmente). Que mi página principal de acceso a ese servicio web muestra un texto que dice que, si uso el servicio, estoy declarando haber leído y aceptado las condiciones de uso del mismo. Que ese texto es un link a las condiciones de uso en las que afirmo, entre otras cosas, que voy a registrar toda la información de búsquedas asociadas a cada identificador de usuario con el fin de proporcionarle una publicidad personalizada de acuerdo al perfil que demuestren sus búsquedas. Que esa información la guardo cifrada en mis servidores por un periodo de un año desde el día de su recogida y procesamiento, y que el usuario puede dirigirse a una dirección de e-mail de contacto para ejecutar sus derechos de acceso, rectificación, oposición y cancelación.

Y la pregunta es: ¿Incumple este buscador la LOPD? Estoy informando de la recogida de datos personales, el usuario está aceptando dicha recogida, tiene capacidad para ejercer sus derechos en relación a los mismos, la finalidad de la recogida es acorde con el modo de financiación del servicio, y además estoy conservando la información cifrada por si el perfil del usuario puede ser entendido como datos especialmente protegidos (nivel alto). Supongamos que, por otra parte, cumplo con los requisitos del Reglamento para ficheros de nivel alto. Sería legal mi situación?

Yo no soy un experto en leyes, y no puedo responder con rotundidad a la pregunta. Pero a priori tiene pinta de que la respuesta es que sí. Entonces, cuál es la causa real de la polémica en torno a estos casos?

Creo que el problema es que la polémica, más allá de los términos legales, está mal enfocada. Muchos de los argumentos que se leen en relación a este caso hacen referencia al "abuso" de los buscadores, a que pueden llegar a actuar como un "gran hermano". Sin embargo, a la hora de atacar a los buscadores, se utiliza la "vía legal" como arma. Y el problema es que, desde mi punto de vista, creo que es posible seguir ejerciendo esa función de "gran hermano" dentro de la legalidad. Quizás el ejemplo que he presentado no sea completo, ni puede que el más apropiado, pero tengo la sensación de que empresas del tamaño de las que están sujetas a la citada polémica son capaces de encontrar vías para seguir actuando del modo en que lo hacen actualmente y que dicha actuación sea completamente legal en términos de protección de datos. Al fin y al cabo, es famoso el refrán de "hecha la ley, hecha la trampa". Entonces, cuál es la vía?

En caso de que se quiera conseguir que este tipo de empresas cambie su modo de actuación, creo que la única vía de "protesta" realmente consistente es la del uso de argumentos éticos. Es cierto que en la sociedad actual hay veces en las que este tipo de argumentos no tienen demasiado peso, pero también es cierto que muchas de estas empresas basan gran parte de su poder en la imagen de marca. Y si la ética de las empresas se ve públicamente cuestionada, la marca probablemente se vea afectada, y por tanto la compañía en conjunto. Al fin y al cabo, la progresión creciente de los esfuerzos de las empresas en desarrollar la Responsabilidad Social Corporativa (RSC) sólo se justifica porque este tipo de relaciones son más reales de lo que parece. Por tanto, creo que llegará el tiempo en el que la ética recupere parte del valor histórico que ha tenido, y no sólo como una moda, sino como un elemento diferencial de valor de una compañía. ¿Cuándo será éso? Probablemente deba pasar mucho tiempo antes de que lo veamos, pero por el bien de la sociedad, espero que sea antes de lo que parece...

4 comentarios:

narpo dijo...

Como dice el viejo adagio: "no robes, el gobierno odia la competencia". Esto viene a ser lo mismo y encima se ponen la medallita.

Álvaro Del Hoyo dijo...

Pues depende.

Podría valer para los datos de nivel básico y medio, pero no para los datos de nivel alto.

El tratamiento de los datos de nivel alto o también denominados especialmente protegidos (con la excepción de los datos relativos a infracciones administrativas y penales que son de nivel medio) precisa de consentimiento expreso o de consentimiento expreso y por escrito.

El problema es que los usuarios de los buscadores realizamos búsquedas por ejemplo relativas a una enfermedad que nos hayan diagnosticado recientemente.

El art. 7.3 LOPD, al igual que hace su homónimo de la Directiva de Privacidad, exige el consentimiento expreso para el tratamiento de los datos. Quizás por esta misma razón Google se ha dotado de un buscador específico de temas médicos (mira si quieres a este respecto lo que se entiende por inequívoco en el informe jurídico de la AGPD sobre los caracteres del consentimiento al tratamiento de datos personales)

En el caso de los datos que revelen la ideología, afiliación sindical, religión y creencias el art 7.3 LOPD y la Directiva de Privacidad exigen el consentimiento expreso y por escrito. Aparte de que el art. 7.1 LOPD ya dice que nadie está obligado a revelar este tipo de datos y que el responsable del tratamiento ha de advertir al interesado acerca de su derecho a no prestar el consentimiento para el tratamiento. Y esto me da que no lo cumplen actualmente los buscadores.

Es un tema apasionante éste de los buscadores que saltó a la luz por el cambio en la política de retención de logs de Google, pero que el Grupo del Art. 29 ya había tratado indirectamente en un par de documentos. Lo estudio desde hace tiempo la verdad.

Si te interesa este tema y otros sobre la definición de estándares internaciones de privacidad te recomiendo el blog de Peter Fleischer, responsable de privacidad de Google en Europa.

La verdad, Joseba me gustaría tomar contacto contigo. Lo mismo hasta vivimos cerca. Si quieres puedes escribirme a mi cuenta de Gmail alguna vez.

Gracias por el blog.

Un saludo

Joseba Enjuto dijo...

Gracias por tus aportaciones, la verdad es que suelen ser muy instructivas.

Al hilo de mi ejemplo... valdría con un pop-up pre-buscador, que "obligue" al consentimiento explícito antes de introducir los términos a buscar?

En cuanto a la posibilidad de ponernos en contacto, hoy mismo he habilitado una dirección a tal efecto, así que por mi parte, sin problemas. Prometo responder (aunque sin plazos).

Saludos

Joseba

Anónimo dijo...

Joseba,

Gracias, pero lo mismo puedo decir de tus posts. Y en cantidad de información me ganas por muchísimo ;-)

Para tu ejemplo. Sería válido siempre y cuando te garantizases contar con los registros tanto de la cláusula como del click en el acepto. Pero el problema sería el siguiente. Un mismo usuario del buscador tendrá tantos perfiles diferentes como identificadores de usuario se le asignen cada vez que se conecte por primera vez desde un equipo o desde un perfil distinto desde un mismo equipo o cada vez que se conecte tras haber borrado las cookies del navegador. Piensa por ejemplo en Joseba desde casa, Joseba desde casa de sus padres, Joseba desde el curro,...

Esto te obliga a lanzar el pop-up y registrar las aceptaciones cada vez que a alguien le sea asignado un identificador de usuario con independencia que acabes teniendo n perfiles para una misma persona.

Otra opción sería recurrir al registro previo al acceso a la herramienta de búsquedas, pero esto lo veo más complejo desde el punto de vista comercial.

Usaré el contacto en cuanto pueda.

Un saludo