Categoría: Protección de datos

bookmark_border¿De carácter no personal?

Posted on by Félix J. Haro

Apple utilizará la geolocalización de los usuarios de sus sistemas.

Hace un tiempo comenté que Apple había aprovechado el lanzamiento del iphone 4 para cambiar su política de privacidad para poder recoger y ceder a terceros datos de diversa índole que la empresa consideraba como «de carácter no personal». El párrafo con la modificación es el siguiente:

Apple también lleva a cabo la recogida de datos de carácter no personal -datos en un formato que impide que sean asociados directamente con una persona determinada. Podremos recoger, tratar, transferir y divulgar datos de carácter no personal para cualquier fin. Estos son algunos ejemplos de las categorías de datos de carácter no personal que podrá recoger Apple y los fines para los que podremos llevar a cabo el tratamiento de los mismos:

– podremos recoger datos tales como profesión, idioma, código postal, código de área, Identificador Único de Dispositivo (Unique Device Identifier – UDID), ubicación y zona horaria en la que se utiliza un producto de Apple, para conocer mejor la conducta de nuestros clientes y mejorar nuestros productos, servicios y anuncios publicitarios

Toda esa información asociada a un identificador único, aquí, en España, debiera ser sin ninguna duda tratada como si fuera un conjunto de datos de carácter personal, ya que son fácilmente asociables a una persona física identificada o identificable. Sin profundizar mucho, todos los usuarios de un iphone han que pasar por el trámite de registro, por lo que la afirmación que Apple de que se trata de datos que tienen carácter «no personal», no es en absoluto cierta, ya que el dichoso UDID se transmite a Apple, y por ende, todos esos datos que «no son personales» pueden asociarse fácilmente a un usuario.

Como también puede transmitir esos datos a terceras partes (la política de privacidad habla de «transferencia»), ¿hasta dónde pueden esas terceras partes identificar al usuario? Existe a priori una duda más que razonable. Y así es: para quienes quieran profundizar, en este enlace pueden encontrar un documento elaborado por la Universidad de Bucknell donde se explican los riegos asociados con ese UDID, y donde se demuestra que la mayoría de las aplicaciones del iphone transmiten información a los servidores de sus desarrolladores (…¿alguien podría dudarlo?…).

Por eso le han colocado a Apple y a diversas empresas desarrolladoras de aplicaciones (Pandora, The Weather Channel, dictionary.com y Backflip) una «class action» en California. No es noticia, ni mucho menos, pero sí que me resulta novedoso el argumento principal que se ha utilizado: que todos esos datos «no personales» pueden llevar a la identificación de la persona física usuaria del aparatito… El razonamiento parece calcado de la definición de dato de carácter personal de nuestra Ley Orgánica de Protección de Datos. Estaremos atentos a ver en qué concluye el asunto.

bookmark_borderDiferencias entre normativas

Posted on by Félix J. Haro

xy-comHace unos días leí un curioso caso ocurrido en EE.UU. que veo interesante comentar porque es un buen ejemplo de lo dispares que son las normativas de privacidad o protección de datos españolas de las norteamericanas. El editor de una revista dirigida a público gay de Nueva Jersey llamada XY, presentó concurso de acreedores. Esta revista tenía un sitio web con más de un millón de usuarios que habían dado información personal, incluyendo  obviamente sus preferencias sexuales. Los acreedores solicitaron medidas encaminadas a adquirir la titularidad de la base de datos que contenía información acerca de sus abonados.

Está claro que lo único que podría quedar de valor de aquel negocio era el fichero de clientes. La controversia llegó a la FTC, que envió a los acreedores de la editorial una carta advirtiendo de que cualquier venta, transferencia o de la divulgación de la información podría ser ilegal porque iba en contra de la política de privacidad establecida en su momento por el propio magazine XY, donde se declaraba que «la información no se daría o vendería a nadie». Con cualquier acto de transmisión de la bases de datos podría violarse entonces la Ley de la FTC y cometer prácticas comerciales engañosas o desleales.

Tras la advertencia, las partes llegaron a este acuerdo: el editor tendría que destruir toda la información, y conservar sólo los datos personales necesarios para servir algunos números atrasados a clientes que ya los habían pedido. Vamos, que como consecuencia práctica esa «política de privacidad», nos encontramos con que la base instalada de usuarios no valía ni un dólar…

La Electronic Frontier Foundation, asociación que hizo un seguimiento exhaustivo del asunto, describe así el problema que plantea el caso:

…el Código de Bancarrota en sí mismo no maneja esta situación muy bien. Las empresas que poseen información personal de sus clientes es probable que, a través de sus propias políticas de privacidad, se permitan vender esa información si van a la quiebra o sufren un cambio en la titularidad. Serán raros casos en que una empresa prometa a sus clientes que su información personal nunca será compartida con nadie, y así un juzgado que gestione la bancarrota podrá pemritir que los datos se alquilen o vendan, ya que no violan la ley.

 

Me impresiona que incluso en caso de concurso de acreedores haya prevalecido hasta la última consecuencia la promesa inicial de la empresa de que los datos no se cederán a ningún tercero. Para comprobar si algunas empresas actúan así, he cogido la última política de privacidad que recordaba haber visto, y efectivamente, esta hipotética situación la evitan los más listos de la clase. Este es el párrafo donde Twitter nos lo cuenta, en el apartado«Intercambio y difusión de información» de su política de privacidad:

Transferencias de empresas: En el caso de que Twitter esté involucrada en una bancarrota, fusión, adquisición, reestructuración o venta de activos, puede vender o transferir la información del usuario como parte de la transacción. Los compromisos establecidos en esta política de privacidad serán aplicados tal y como están a la información del usuario por la nueva entidad.

¿Cómo tenemos esto en nuestra legislación? La legislación española es permisiva, y como se indica en el artículo 19 del Real Decreto de desarrollo de nuestra Ley Orgánica de Protección de Datos, las empresas no tienen que prever este evento:

En los supuestos en los que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos , aportación o transmisión de negocio, o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.

 

Así de fácil. En nuestro ordenamiento no hubiera habido, a mi juicio, problema alguno… ¿qué valor vinculante tendría que en una de estas eternas «políticas de privacidad» americanizadas que nos ha dado por copiar redactar, una empresa incluyera esa misma aseveración? En el reparto de bienes que entre acreedores que se hiciera en un hipotético caso parecido al de la revista XY, el fichero pasaría a tener otro titular, y sería legítimo tratar esos datos conforme a las finalidades a las que se estaban dedicando antes. El nuevo titular resultante sólo tendrá que informar a los clientes sobre la nueva situación, y si quisiera realizar nuevos tratamientos con esos datos, nos bastaría con solicitar el consentimiento de los titulares para hacerlos.

Visto lo visto, ¿quién «protege» más los datos en estos casos?… ¿la normativa norteamericana, o la española?… hay ocasiones en las que el asunto se presta a duda razonable.