jueves, 11 de agosto de 2011

Google y la entrega de datos a las agencias de seguridad americanas


Aunque parece que todos tenemos claro que la Directiva de Protección de Datos, y nuestra Ley Orgánica de Protección de Datos que la desarrolla no permiten, como regla general, la cesión de datos sin el consentimiento del interesado, lo cierto es que seguimos padeciendo una mala decisión en el momento de la elaboración de la Directiva en relación con el ámbito de aplicación de la misma.

Hay que tener en cuenta que la Directiva es del año 1995 y a pesar de que internet era algo más que una realidad en aquella époco dificilmente podría adivinarse en lo que se ha convertido; pero en ese momento se estableció un criterio de aplicación territorial de la Directiva, que se ha mantenido, y que está propiciando este tipo de noticias, así como todos los problemas con los que se enfrentan las diferentes agencias de protección de datos para hacer cumplir la normativa interna de cada país cuando de internet se trata.

Así la Directiva en su artículo 4 establece que:
Derecho nacional aplicable
1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;
b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;
c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.
2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

Poca diferencia hay, como no podría ser de otra forma, en el caso de nuestra LOPD:
Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Como se ve, los supuestos de sujección a la normativa europea, y a las nacionales que la desarrollan, están definidos. El problema está en determinar cuando los datos son tratados con una mera finalidad de tránsito o no, en el caso, por ejemplo, de Google Inc y si para ese tratamiento se usan medios situados en territorio de aplicación de la norma.

Para poder aplicar la Directiva y las correspondientes leyes nacionales a las empresas de internet, en particular redes sociales y buscadores, los responsables de la materia en la UE han dictaminado que por ejemplo, las cookies son dispositivos de las empresas para el tratamiento de los datos, y dado que se instalan en los ordenadores de los usuarios, están en territorio de la Unión, siendoles de aplicación la normativa nacional de cada estado.

Así se expresó el Grupo de Trabajo del artículo 29 en su Documento de trabajo 5035/01  (pdf) "relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la UE"
Tal como se ha explicado anteriormente, el PC del usuario puede considerarse un «medio» con arreglo a la letra c) del apartado 1 del artículo 4 de la Directiva 95/46/CE.
Está ubicado en el territorio de un Estado miembro. El responsable decidió utilizarlo para el tratamiento de datos personales y, tal como se explica en los apartados anteriores, tienen lugar varias operaciones técnicas sin un control por parte del interesado. El responsable del tratamiento emplea los medios del usuario y no lo hace solamente con fines de tránsito en el territorio de la Comunidad.
El Grupo de Trabajo opina por lo tanto que las condiciones en que pueden recogerse datos personales del usuario mediante la colocación de cookies en su disco duro son reguladas por el Derecho nacional del Estado miembro donde se sitúa este ordenador personal.

Personalmente esta consideración me parece exagerada, no comparto que una cookie sea eso, aunque entiendo que el Grupo de Trabajo del artículo 29 tiene que buscar una solución al tratamiento de datos que hacen empresas establecidas fuera de la UE y que hacen un uso de la información de los usuarios sin respetar unos mínimos que en Europa consideramos imprescindibles.

El problema es que no deberíamos conformanos con esta situación y buscar parches, si la protección de nuestros datos, de nuestra intimidad, de nuestro honor, son derechos que como ciudadanos debemos ver protegidos y respetados, el ámbito de aplicación de la norma debe cambiar.

Esto es, si una empresa americana, o china, o indonesia, quiere prestar servicios o que estos sean accesibles desde la Unión Europea, o cualquiera de los países que la forman, deberá cumplir con la normativa de protección de datos, siendo la Directiva una buena referencia.

Los datos personales deben tratarse de acuerdo a la nacionalidad o residencia de la persona o al lugar al que se destinan y no a la ubicación de los medios de tratamiento de la empresa. Ese es el error y eso es lo que, a mi juicio, se debe cambiar.

Los responsables políticos europeos deben cambiar la Directiva, mientras tanto, Google deberá seguir cumpliendo las leyes nacionales de donde se encuentra su sede, y si eso incluye entregar información de usuarios extranjeros lo seguirá haciendo.

3 comentarios:

  1. Yo creo que el tema es bastante complejo y sencillo a la vez. Por un lado Google debe someterse a la normativa americana. Por otro, como bien dices, es lógico que tenga que respetar la europea o la nacional del destinatario de los servicios.
    Google ya advierte en su política de privacidad que si la ley se lo exige, como no puede ser de otra forma, comunicará los datos que sean necesarios ("Si consideramos de buena fe que el uso, la conservación o la divulgación de esta información o el acceso a la misma es razonablemente necesario para (a) cumplir las leyes, las regulaciones, los procesos legales o las exigencias gubernamentales vigentes").
    Creo que la solución sería tan sencilla como que esa información que da Google fuera más concreta, para que el consentimiento, a efectos de la normativa europea, fuera completamente válido.
    Muy interesante el post. Un saludo.

    ResponderEliminar
  2. No hay que olvidar la inseguridad y riesgos potenciales que para una empresa supone someterse a la legislación propia de la residencia habitual o nacionalidad de sus usuarios. No estoy seguro de que todas aceptaran estas condiciones, en materia de privacidad, para prestar sus servicios.

    Tampoco me parece que la política de privacidad, en este caso, de Google, sea tan alejada de los estándares de calidad europeos y las exigencias de sus ciudadanos:

    http://www.google.com/intl/es/privacy/privacy-policy.html

    En cuanto a las cookies entendidas como medios situados en un Estado Miembro, me gustaría preguntar al G29 si eso implica que cualquier servicio que trate datos y use cookies en la UE está íntegramente sujeto a la Directiva y a todas las obligaciones previstas en las normas de transposición de cada Estado. Es mera curiosidad.

    Un saludo.

    ResponderEliminar
  3. La verdad es que la aplicación de la LOPD en el medio digital cada vez es más complicada y genera más dudas, dado que la realidad viaja mucho más rápido que el legislador.

    ResponderEliminar