Categoría: Internet

bookmark_borderOpinión del GT29 sobre motores de búsqueda y protección de datos

Posted on by Félix J. Haro

UEEl Grupo de Trabajo del Artículo 29 (GT29) aprobó el viernes día 4 una Opinión sobre cuestiones de protección de datos en relación con los motores de búsqueda.

Dada la extensión de la Opinión me limitaré a enumerar sus conclusiones e invito a su lectura.

APLICABILIDAD DE LAS DIRECTIVAS EUROPEAS

  1. La Directiva 95/46/CE se aplica a los tratamientos de datos realizados por los motores de búsqueda, incluso cuando sus sedes estén fuera del Espacio Económico Europeo.
  2. Las empresas situadas fuera de la UE deben informar a sus usuarios sobre las condiciones en las que cumplen con la Directiva 95/46/CE, sea por su situación o por el uso de equipos situados en la UE.
  3. La Directiva 2006/24/CE de retención de datos no les es aplicable.

OBLIGACIONES DE LOS PROVEEDORES DE SERVICIOS DE BÚSQUEDA

  1. Pueden tratar datos sólo para propósitos legítimos y la cantidad de éstos tiene que ser adecuada y no excesiva conforme a las finalidades para las que se recojan.
  2. Deben borrar o hacer anónimos (de modo irreversible y eficiente) los datos de carácter personal una vez que ya no son necesarios para la finalidad para la que se recogieron.
  3. Los períodos de retención de los datos tienen que ser reducidos al mínimo y ser proporcionales a las finalidades que se persigan. De las explicaciones dadas por los diversos motores de búsqueda consultados, el GT29 no deduce que sea necesario un período más allá de 6 meses. Sin embargo, las legislaciones nacionales pueden requerir su borrado en períodos más cortos. Si estas empresas desean retenerlos más tiempo, deben demostrar que es estrictamente necesario para el servicio. En cualquier caso, la información sobre el período de retención ha de ser fácilmente accesible en la página de inicio.
  4. Ya que recogen algunos datos de modo inevitable sobre sus usuarios, como la dirección IP, que viene implícita en el tráfico http, no resulta necesario recoger datos adicionales para prestar el servicio de búsqueda y colocar publicidad.
  5. Si utilizan cookies, su período de vida no ha de ir más allá de lo demostrablemente necesario. Las “flash” cookies sólo deben instalarse si se da información clara sobre el propósito con el que se instalan, y cómo acceder a ellas, editar y borrar la información que contengan.
  6. Han de suministrar información inteligible sobre su identidad y localización, y sobre los datos que pretenden recoger, almacenar o transmitir, así como el propósito con el que se recogen.
  7. El enriquecimiento de los perfiles de los usuarios con datos no facilitados por éstos tiene que basarse en el consentimiento de estos mismos usuarios.
  8. Si almacenan los historiales individuales de búsqueda, deberían asegurarse de que tienen el consentimiento del usuario.
  9. Deberían respetar la voluntad de los editores de páginas web cuando indican que no desean ser indexados o incluidos en los motores de búsqueda.
  10. Cuando den servicios de caché en los que se hagan accesibles datos de carácter personal durante más tiempo que en la web original, tienen que respetar los derechos de los titulares a retirar los que sean excesivos e inexactos.
  11. Los motores que se especialicen en operaciones de valor añadido, tales como perfiles personales (conocidos como “people search engines”) y software de reconocimiento facial sobre imágenes, han de respetar también los requerimientos de la Directiva, tales como la obligación de garantizar la calidad de los datos.

DERECHOS DE LOS USUARIOS

  1. Los usuarios tienen derecho a acceder, inspeccionar y corregir si es necesario, de acuerdo con el artículo 12 de la Directiva, todos sus datos personales, incluyendo sus perfiles e historial de búsqueda.
  2. El cruce de datos con origen en diferentes servicios pertenecientes al proveedor de servicios de búsqueda sólo puede realizarse si se tiene el consentimiento del usuario para ello.

Es impresionante la utopía en la que viven en Europa los organismos reguladores de la privacidad. ¿De verdad piensa el GT29 que los buscadores se van a plegar a esto tan fácilmente?

El nombrecito del documento viene que ni pintado: OPINIÓN. Se va a quedar en eso, en una opinión, porque estas empresas van a pasar olímpicamente de cumplir con lo que aquí se establece. Primero, que los países implementen legislación interna para aplicarla; y luego, a ver quién es el valiente que se atreve a sancionar al que incumpla. No lo veremos, no.

Los prestadores de servicios de búsqueda tales como Google y Yahoo no van a cambiar su modelo de negocio por estos requerimientos. Incluso si quisieran hacerlo, el puzzle a resolver es demasiado complejo: ¿a cuántas legislaciones diferentes estarían sujetos?

bookmark_borderGoogle-Doubleclick: cuestiones sobre privacidad

Posted on by Félix J. Haro

google-doubleclickEl día 11 de marzo la Comisión Europea emitió una nota de prensa anunciando que sus autoridades antimonopolio daban el visto bueno a la adquisición de DoubleClick por Google. La investigación concluye en que esta eliminación de DoubleClick como competencia no tiene ninguna consecuencia negativa en el mercado de la intermediación en materia de servicios de publicidad on-line, y que tampoco tiene efectos dañosos para los consumidores.

La nota de prensa finaliza advirtiendo que la decisión se toma sin perjuicio de las obligaciones que ambas empresas tienen respecto de la regulación de la protección de datos en los diferentes países de la UE.

No voy a entrar en la primera cuestión, que es puro derecho de la competencia. La segunda sin embargo lleva suscitando recelos bastante tiempo, y a pesar de que varias asociaciones de defensa de la privacidad han intentado frenar en Estados Unidos esta adquisición, ha dado completamente lo mismo, tanto en aquella como en esta parte del Atlántico.

La Organización de Consumidores Europeos (BEUCha lamentado que la Comisión no haya tenido en cuenta el asunto de la privacidad, que es crucial para los usuarios de Internet. Pero es que tampoco podía hacer otra cosa: hablamos de un organismo que está regulando la competencia, no la privacidad.

No hay duda de que Google aprovechará la inmensa base de datos de DoubleClick, y que la añadirá a su ya amplio conocimiento del perfil de sus usuarios. Ese es el sentido de la compra, no otro, ya que Google tiene tanto la capacidad financiera como técnica de desarrollar el negocio que de DoubleClick. Eric Schmidt, CEO de Google, mencionó en su blog que las dos empresas se irán integrando. Y para regular estas situaciones la legislación no está preparada.

¿Qué ocurriría en España en una situación parecida? Acudimos al artículo 19 del Reglamento de Desarrollo de la LOPD:

En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.

Es lo único que tenemos para estos casos… ¿Resulta suficiente? ¿Retiene el control efectivo sobre sus datos la persona física, o esta potencial concentración de datos mediante compras de empresas lo falsean por completo? Muy interesante.