Contacto

Para consultas jurídicas "david @ 451.legal"

domingo, 6 de junio de 2010

A propósito del despropósito de Google Street View, la hora de las Agencias de Protección de Datos.

El asunto de los coches de Street View y la captación de más datos de los necesarios, para en principio, cartografiar en 3 dimensiones nuestras ciudades va camino de, y debería, convertirse en un auténtico problema para los responsables de Google.
A mi la iniciativa inicial de Street View siempre me ha parecido perfecta, contamos con una herramienta para visitar una ciudad de una manera diferente y lo cierto es que Google lo ha montado muy bien.
Sin embargo las útimas noticias acerca de los datos capturados deberían tener especial relevancia desde un punto de vista jurídico.

Las autoridades de protección de datos de la Unión Europea han comenzado a requerir al buscador para que aclare que ha pasado con los datos.

Según lo publicado en un primer momento se estarían recopilando las direcciones MAC de los router wifi, es decir, el número que identifica a ese equipo entre el resto de routers.

A medida que se ha ido investigando se está descubriendo que también se han recopilado comunicaciones electrónicas a medida que el vehículo avanzaba.


Siempre he defendido públicamente que la legislación sobre protección de datos, empezando por la Directiva Europea 95/46/CE que es la base, está mal hecha en tanto en cuanto no se pone el acento en la protección de los datos de los ciudadanos sino en el lugar donde las están las empresas y donde realizan el tratamiento de los mismos, lo que provoca en la era de Internet que exista un marco privilegiado para las empresas que no están sometidas a este régimen tan estricto.

Ello provoca dos resultados perversos:

Por un lado, las empresas no compiten en igualdad de condiciones ya que unas no están sometidas a la normativa y por lo tanto no sólo no tienen que cumplir con las medidas de seguridad y sus costes, sino que además puede incluso comerciar de otra manera con los datos que obtienen de los usuarios. El ejemplo perfecto es tuenti y facebook.

Y por otro lado, los derechos de los ciudadanos, cual es su intimidad y su privacidad se ve condicionada por normativas que no tiene ni porqué entender ni compartir, ni tan siquiera elegir por medio de sus votos.

Es cierto que se ha tratado de, en la era en la que una empresa de China puede prestarme servicios a través de Internet, buscar una forma de vincular a esas empresas no sometidas al ámbito de aplicación de la norma mediante interpretaciones que personalmente no me terminan de convencer, como aquella que considera que una cookie es un dispositivo y que como se instala en el ordenador del usuario de esa forma la empresa ya trata los datos personales en el ámbito de aplicación de la norma.

Es evidente que una Directiva del año 1995 no podía prever lo que ha sucedido con Internet posteriormente y es necesaria una revisión, en particular del apartado dedicado al ámbito de aplicación. Y lo mismo debe predicarse de la Ley Orgánica 15/1999 de Protección de Datos, que debería impedir que empresas que no respetan la intimidad de los ciudadanos españoles puedan prestar servicios en España.
Pero por el momento, la situación es la que es.

Ahora bien, si durante todos estos años empresas como Google han estado prestando servicios a ciudadanos en España, y en la UE, y podría dudarse si los servicios entrarían o no en el ámbito de aplicación descrito, lo que sin duda ha evitado que prosperen más sanciones de la Agencia de Protección de Datos española contra la empresa.

Ahora bien, dado que han utilizado vehículos que han recorrido las calles de nuestras ciudades para capturar los datos si que no hay excusa o exoneración por el ámbito de aplicación de la norma, artículo 2.1  LOPD:

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
  1. Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
  2. Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
  3. Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
Es evidente que Google debería cumplir con la LOPD, al menos para el tratamiento de los datos recabados para el servicio Street View.

De hecho, en la búsqueda de ficheros inscritos en la Agencia Española de Protección de Datos sólo aparecen inscritos 13 ficheros y en ninguno de ellos se hace referencia, o al menos yo no soy capaz de encajar, el tratamiento efectuado en el caso Street View, por lo que de entrada se incumple la primera de las obligaciones de la LOPD, cual es la declaración del fichero.

Ya sólo con esto la AGPD, que tiene competencias para actuar de oficio vía artículo 28 Real Decreto 428/1993, debería iniciar un procedimiento sancionador contra la empresa, amén de muchas otras conductas que deben ser objeto de sanción puesto que si se han recopilado direcciones de email, etc., etc., las sanciones, que si se denunciasen individualmente podrían ser varios cientos y alcanzar algunos millones de euros, deben ser ejemplares.

Lo que me parece absurdo es que la empresa pueda alegar que se trata de un error o que se recogieron esos datos sin querer, que se programó mal. Es decir, ello significaría que es el propio programa informático el que ha hecho lo que le ha dado la gana, que ellos no lo programaron así. Esto que sería un gran avance en inteligencia artificial, a día de hoy, no es creíble.

Pero si realmente ha habido una captación de comunicaciones personales de usuarios, en mi opinión la fiscalía debería intervenir y analizar si de alguna manera, nuestro mal diseñado para los delitos en internet Código Penal (como brillantemente expuso recientemente en Logroño el Fiscal especialista de Guipuzcoa) permite encajar esa conducta dentro de los delitos del Capítulo 1 del Título X.

Realmente es complicado a primera vista, ya que los requisitos de punibilidad son complicados de demostrar en este supuesto, en particular el daño a tercero (197.2 y 197.1) y la voluntad de Google de conocer los secretos (197.1), que pueda prosperar una acción penal hasta el punto de llegar a una condena, pero ciertamente creo que hay hechos suficientemente graves como para iniciar una investigación en profundidad.

"1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses."

"2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero."

Supongo que el ofrecimiento realizado por la empresa de entregar los datos capturados a las autoridades va en la línea de que se pueda comprobar en qué consisten las captaciones y se puedan depurar las responsabilidades y que no se trate de un intento de compra de la voluntad de investigar estos hechos.

Es decir, que con ese ofrecimiento Google no le esté diciendo al estado de lo que es capaz y de como este puede servirse de los servicios de aquel para fines contrarios a nuestro ordenamiento jurídico, ya que si los funcionarios públicos no pueden interceptar comunicaciones bajo pena de cometer un delito, que esto se encargue "indirectamente" a empresas me parece aun más preocupante.

En mi opinión, en esta ocasión Google ha cometido un grave error y puede pagar unas muy caras consecuencias.

Esperemos que la actitud vacilante que las autoridades siempre han tenido frente al buscador no se repita y se haga cumplir la ley en todos sus extremos.

3 comentarios:

  1. Leyendo esto me surge una duda. ¿Es lo mismo "interceptar" la navegación que "interceptar" una llamada telefónica? ¿La navegación se considera comunicaciones?

    ResponderEliminar
  2. ¿Y qué no te dice que antes de su puesta en funcionamiento no se haya acordado previamente al reconocimiento de la legalidad por parte de algún magistrado?

    ResponderEliminar
  3. Que descaro, definitivamente las excusas limitan al hombre a ser un buen hombre.

    ResponderEliminar