Y Google respondió el 10 de junio, sin decir nada concluyente, excepto que retendría los datos de los logs sólo 18 meses, y que intentaría encontrar una solución para rebajar el tiempo de vida de sus cookies. He traducido la carta para quien le interese, porque por mucho que he buscado no he sido capaz de encontrarla en español. Esperaba que en estos cuatro días hubiera más información en Internet sobre el asunto, e incluso alguna crítica, pero nada de nada. Lo mismo nos da Juana que su hermana.
En la carta hay cosas muy interesantes:
Google da un nivel de protección de privacidad a sus usuarios en todo el mundo, sin tener en cuenta el país donde residen (aunque por supuesto cumplimos con la ley aplicable). Es más, es extraordinariamente difícil operar un servicio global en Internet de acuerdo con diferentes estándares de privacidad en diferentes países
¿Así que te fastidia que la legislación varíe de un país a otro? ¡Bienvenido al mundo! A mi también me fastidia que varíen los estándares de privacidad de cuando viajo a Francia a cuando viajo a tu país, y me quieran tomar hasta la huella dactilar para entrar, y tenga que marcar una casilla declarando que no tengo intenciones de cometer un atentado.
Veamos otra cuestión:
Estamos por lo tanto comprometidos con los principios de protección de datos que cumplen las expectativas de nuestros usuarios en Europa y en el resto del mundo. Este compromiso incluye políticas de privacidad claras y absoluta transparencia sobre nuestras prácticas de retención de datos para que los usuarios estén bien informados sobre los datos que recogemos cuando usan nuestros servicios. Damos información a nuestros usuarios sobre los datos almacenados en nuestros logs de servidores en nuestras FAQ de privacidad.
De entrada, para llegar a la información previa que han de darle a un usuario, hay que navegar, es necesario pasearse por la paginita del susodicho. Un usuario puede realizar una búsqueda sin haberse ni tan siquiera percatado de la famosa “política de privacidad”: hay que pasar primero al enlace Todo acerca de Google, y ahí bajar hasta el pie de página para poder encontrar la Política de privacidad. Y por cierto, un premio a quien me diga dónde viene ahí el tiempo que van a almacenar esos logs, que por otra parte, contienen un dato personal mío como es la IP (o al menos eso dice la AEPD en este Informe) aunque no me registre nominalmente en ninguno de sus servicios, sino como mero buscador de información…
Recomiendo leer la carta para ver cómo Mr. Fleischer pasa de manejar el concepto general de dato de carácter personal, hasta llegar a mezclarlo con el específico de dato de tráfico, porque… ¿no son los logs una mezcla de datos de tráfico con otros datos de carácter personal?
Después de haber hecho un refrito donde se ve que tiene pocas ganas de aplicar protección de datos a la europea, en vez de contestar a lo que le pregunta la UE, se dedica a criticar el marco general sobre retención de datos de tráfico… ¡y hace él las preguntas a la UE!:
Recibiríamos con agrado un debate definitivo en Europa para contestar algunas cuestiones básicas como:
1) ¿Qué es un “proveedor de servicios de comunicación electrónica” sujeto a obligaciones de retención de datos, y si incluiría los servicios de Google, tales como Gmail, Google Talk, o Google Search, a la luz de las diferentes definiciones de cada Estado Miembro?
2) ¿Cuál es el período obligatorio de conservación para una empresa global de Internet que tiene negocios en cada Estado Miembro, cuando los períodos de conservación oscilan de 6 a 24 meses?
3) ¿Se aplican los requisitos de conservación de datos al almacenamiento de datos personales fuera de la UE por proveedores de servicio establecidos en la UE?
4) ¿Irán los Estados Miembros más allá de la Directiva e implementarán requerimientos más rigurosos?
Cuestión básica, amigo Fleischer, es que en cada país tendrás que respetar la legislación de protección de datos que toque. Y la correspondiente de retención de datos de tráfico (si es que estás sujeto a ella, aclárate), que en España está de momento en tramitación, y el período de conservación que tanto mencionas en tu carta es de 12 meses… ¿los servicios de Google serán peores en España por eso? ¡Anda ya! Repito, ¿es que esos logs de servidor son datos de tráfico que estés obligado a retener y conservar, o es que los conservas porque son esenciales para analizar perfiles y que la publicidad que vendéis tenga la eficacia que tiene?
Si la UE se coordinara de verdad, y los directores/presidentes de los organismos de protección de datos de los diferentes países volvieran de sus reuniones del Grupo de Trabajo del Artículo 29 con las cosas claras, no sólo os investigaría Noruega, y veríais cómo os metían en cinta, igual que hacen con las pequeñas SL’s a las que van multando sin compasión. Al menos Google tiene dólares para pagar sanciones.
Lo peor de todo es que la UE en sí misma no tiene capacidad operativa en el asunto y no puede pasar de recomendaciones y declaraciones tipo “es un buen paso”. En eso nos queda mucho por aprender de Estados Unidos, que tiene las cosas muy claritas. Mira como la UE se bajó los pantalones al final y ha tragado con el largo listado de datos que tenemos que dar cualquier europeo para viajar allí.
Para finalizar, te voy a refrescar lo que tú mismo apuntas en tu blog:
Finally, privacy is about more than legal compliance, it’s fundamentally about user trust. Be transparent with your users about your privacy practices. If your users don’t trust you, you’re out of business.
Ahora quedamos a la espera. ¿Dirá algo más la UE, o se callará la boquita ante el ya gigante Google?