Categoría: EE.UU.

bookmark_borderTirón de orejas a Google Buzz, pero no por privacidad

Posted on by Félix J. Haro

GoogleBuzzHace poco más de un año dediqué un post a describir la metedura de pata de Google en el lanzamiento de su servicio Google Buzz. Resumiendo, lo pusieron en funcionamiento de un modo temerario, sin pedir permiso a los usuarios de Gmail para compartir información de su lista de contactos.

Pues bien, ayer Google anunció en su blog que había llegado a un acuerdo con la Federal Trade Commission. La primera parte del comunicado es una exposición de sus buenas actuaciones, contando las maravillas de los diferentes instrumentos con los que ha puesto la privacidad bajo control de los usuarios, poniendo ejemplos como el Panel de Control, el Administrador de Preferencias de Anuncios y el Data Liberation Front. Justifica que «la confianza del usuario le importa a Google», pero no entra en la materia…

¿En qué consiste el acuerdo? Tenemos que acudir a la página web de la FTCpara saber lo que se le impone. Lo más destacable para mí no es que se le ponga prácticamente bajo vigilancia y auditorías durante 20 años; es que se le dice a Google cómo tiene que informar a sus usuarios en el caso de que decida compartir datos de los usuarios con terceros. Si lo analizamos, es muy similar a cómo hay que informar aquí conforme a nuestra normativa:

De modo previo a cualquier nueva o adicional cesión de información del usuario de Google a terceros que suponga 1) un cambio en las prácticas en efecto al tiempo de haber recogido su información, o 2) resulte de cualquier cambio, adición o mejora a un servicio, deberá

A. informar, separado y aparte de cualquier licencia de usuario final, política de privacidad, términos de uso o documentos similares, de manera clara y prominente, de:
a) que la información del usuario de Google se revelará a una o más terceras partes
b) de la identidad o categorías específicas de esos terceros, y
c) los propósitos de esa cesión

B. Obtener consentimiento expreso del usuario de Google para esa cesión 

Habrá que estar atentos al próximo lanzamiento de servicio que hagan, para ver cómo instrumentan esto del consentimiento expreso a varios millones de usuarios a la vez, aunque ya firmaba yo poder hacerlo todo mediante un «clic», como pueden ellos…

Destaco que si Google no hubiera establecido condiciones algunas de privacidad en el servicio Buzz, la FTC no hubiera podido intervenir. Ha actuado bajo denuncia de unos usuarios: Google prometió unas condiciones relativas a la gestión de la información de los usuarios del servicio, y luego actuó incumpliéndolas. En otras palabras, el caso no trata sobre privacidad, sino sobre la comisión de prácticas engañosas. Cosa diferente es que la práctica engañosa lo haya sido con las condiciones de privacidad. No es que quiera quitarle sensacionalismo al caso, pero así es.

bookmark_border¿De carácter no personal?

Posted on by Félix J. Haro

Apple utilizará la geolocalización de los usuarios de sus sistemas.

Hace un tiempo comenté que Apple había aprovechado el lanzamiento del iphone 4 para cambiar su política de privacidad para poder recoger y ceder a terceros datos de diversa índole que la empresa consideraba como «de carácter no personal». El párrafo con la modificación es el siguiente:

Apple también lleva a cabo la recogida de datos de carácter no personal -datos en un formato que impide que sean asociados directamente con una persona determinada. Podremos recoger, tratar, transferir y divulgar datos de carácter no personal para cualquier fin. Estos son algunos ejemplos de las categorías de datos de carácter no personal que podrá recoger Apple y los fines para los que podremos llevar a cabo el tratamiento de los mismos:

– podremos recoger datos tales como profesión, idioma, código postal, código de área, Identificador Único de Dispositivo (Unique Device Identifier – UDID), ubicación y zona horaria en la que se utiliza un producto de Apple, para conocer mejor la conducta de nuestros clientes y mejorar nuestros productos, servicios y anuncios publicitarios

Toda esa información asociada a un identificador único, aquí, en España, debiera ser sin ninguna duda tratada como si fuera un conjunto de datos de carácter personal, ya que son fácilmente asociables a una persona física identificada o identificable. Sin profundizar mucho, todos los usuarios de un iphone han que pasar por el trámite de registro, por lo que la afirmación que Apple de que se trata de datos que tienen carácter «no personal», no es en absoluto cierta, ya que el dichoso UDID se transmite a Apple, y por ende, todos esos datos que «no son personales» pueden asociarse fácilmente a un usuario.

Como también puede transmitir esos datos a terceras partes (la política de privacidad habla de «transferencia»), ¿hasta dónde pueden esas terceras partes identificar al usuario? Existe a priori una duda más que razonable. Y así es: para quienes quieran profundizar, en este enlace pueden encontrar un documento elaborado por la Universidad de Bucknell donde se explican los riegos asociados con ese UDID, y donde se demuestra que la mayoría de las aplicaciones del iphone transmiten información a los servidores de sus desarrolladores (…¿alguien podría dudarlo?…).

Por eso le han colocado a Apple y a diversas empresas desarrolladoras de aplicaciones (Pandora, The Weather Channel, dictionary.com y Backflip) una «class action» en California. No es noticia, ni mucho menos, pero sí que me resulta novedoso el argumento principal que se ha utilizado: que todos esos datos «no personales» pueden llevar a la identificación de la persona física usuaria del aparatito… El razonamiento parece calcado de la definición de dato de carácter personal de nuestra Ley Orgánica de Protección de Datos. Estaremos atentos a ver en qué concluye el asunto.