Google no ha demostrado que «se adhiera a principios clave de la protección de datos»
Cuanto más sabe Google de uno, más fácil nos hace la vida. Pero nada es gratis. La mayoría de los usuarios desconocerá el dashboard o panel de control de Google. Pero si se tiene una cuenta en alguno de sus más de 60 servicios, basta ojearlo para ver pasar casi toda nuestra vida online. En marzo pasado, la empresa del buscador unificó las políticas de privacidad de casi todos esos productos en una sola, donde explica qué datos recoge y para qué y cómo los usa. Ahora, las autoridades de protección de datos de 27 países europeos consideran que aquella unificación puede afectar al derecho a la privacidad de los ciudadanos europeos.
En una acción sin precedentes, las distintas agencias europeas de protección de datos, agrupadas en lo que se conoce como Grupo de Trabajo del Artículo 29 (GT29), se coordinaron para investigar las consecuencias que la nueva política de privacidad de Google podía tener sobre sus usuarios europeos. La encargada de llevar a cabo la investigación ha sido la francesa Comisión Nacional de Informática y Libertades (CNIL). El martes hicieron públicos los resultados de estos meses de pesquisas, análisis e intercambio de cartas con la empresa estadounidense. ¿Su principal conclusión? Que Google da información incompleta a sus usuarios y que practica una descontrolada combinación de datos entre los distintos servicios.
La legislación europea, y en esto la española es un calco de aquella, considera la privacidad como un derecho fundamental. Para su ejercicio, se exige a las empresas u organismos que quieran usar datos personales de sus usuarios el deber de informarles y la obtención de su consentimiento expreso para usarlos, entre otros. La nueva política de Google no cumple adecuadamente con ninguno de los dos.
"La Política de privacidad de Google no respeta la obligación de información que se establece en la sección IV de la Directiva sobre protección de datos", dice el informe en una de sus conclusiones. El GT29 reconoce que Google hizo un gran esfuerzo con una campaña sostenida de información sobre sus novedades. Además, como explicaron entonces los responsables de Google, la unificación de 60 políticas de privacidad en una y expresada en un "lenguaje sencillo", parece una cosa buena para los usuarios. El problema, según las autoridades europeas de protección de datos, es que tanta sencillez deja al usuario sin saber realmente "qué categorías de datos se tratan en el servicio que utiliza ni con qué fin se tratan dichos datos".
Esa misma sencillez da mucho margen de maniobra a Google. La gran novedad de los cambios de marzo es que, como recuerda el informe de la CNIL, permiten al buscador combinar "prácticamente cualquier dato de cualquier servicio para cualquier fin". Por ejemplo, los usuarios que tengan una cuenta en alguno de los servicios, como Gmail, YouTube o usen un móvil Android, verán como los datos de un servicio son usados en otro. Aunque puede ser muy cómodo sincronizar los contactos del teléfono con el correo, Google no cuenta con el consentimiento expreso del usuario para combinar esa información en todos los casos y para todos los fines.
En concreto, el informe considera que "no existe un fundamento jurídico para la combinación de datos entre servicios" en varios de los fines que les da Google. Este es el caso de la provisión de servicios en la que la combinación de datos se aplica sin el conocimiento directo del usuario, para realizar innovaciones de marketing y desarrollo de productos, los fines analíticos y muy especialmente los publicitarios.
En la carta enviada el martes al director ejecutivo de Google, Larry Page, el GT29 también lamenta que las respuestas de la empresa a sus requerimientos no hayan demostrado que "se adhiera a principios clave de la protección de datos como el de limitación de la finalidad, calidad de los datos, minimización de los datos, proporcionalidad y derecho de oposición".
Sin embargo, el consejero global de privacidad de Google, Peter Fleischer, respondió asegurando: "Nuestra nueva política de privacidad demuestra nuestro continuo compromiso para proteger la información de nuestros usuarios y la creación de grandes productos. Estamos seguros de que nuestros avisos de privacidad respetan las leyes europeas".
En todo caso, tras las conclusiones, el informe hace una serie de recomendaciones a Google. Con respecto a la información, debería revelar y detallar la manera en la que realiza el tratamiento de los datos personales en cada servicio y diferenciar los fines para cada uno y cada categoría de datos. En cuanto a la práctica de combinar los datos, la empresa estadounidense tendría que aclarar los fines de ese cruce de datos y dar a los usuarios un mayor control sobre sus datos personales.
La carta, firmada por los responsables de las 27 autoridades europeas de protección de datos, pero apoyada también por las de otros países como Canadá o Australia, se despide de Page agradeciéndole que responda a la CNIL "indicando cómo y en qué plazos Google actualizará su política de privacidad y sus prácticas para aplicar nuestras recomendaciones". Así dicho parece algo más que unas recomendaciones.
Aunque en los documentos no se dan plazos ni se dice que pasará si Google se niega, la presidenta de la CNIL, Isabelle Falque-Pierrotin, estimó razonable un plazo de tres o cuatro meses. Según recoge Le Monde, añadió que "si no se toma ninguna medida, entonces entraremos en una fase contenciosa".
Habrá que esperar a comienzos de 2013 pero este es un problema estructural. No es el primer encontronazo que Google tiene con las autoridades de protección de datos. Aunque se habla mucho del principio de la privacidad desde el diseño, teniéndola en cuenta cada vez que una empresa lanza un nuevo servicio, la conflictiva relación entre Google (pero también Facebook, Microsoft y todas las compañías que ofrecen servicios en internet a cambio de saberlo todo del usuario) y la privacidad recuerda mucho a la fábula del escorpión y la tortuga. Está en su naturaleza.
