In God Google we trust

[Hemos decidido, para incrementar la participación en el blog, abrir de manera indefinida los comentarios, de modo que ya no es necesario estar registrado para realizar un comentario sobre una entrada. Por supuesto, aquellos usuarios registrados pueden seguir comentando como usuarios registrados. Esperamos que esto les motive a dejarnos sus opiniones.]

Ayer por la mañana amanecí con la noticia de FACUA de que «Protección de Datos confirma que la lectura de los correos de los usuarios para mostrarles publicidad personalizada vulnera la legislación española y comunitaria«, en patente referencia a Gmail. Esta misma noticia también ha aparecido en ALT1040, EuropaSur, y seguramente a estas alturas habrá aparecido ya en muchos otros sitios. He demorado este comentario por tres razones: la primera, por falta de tiempo; la segunda, porque Fernando se me adelanto con la entrada a propósito del escándalo de Société Générale (entrada que quizá no he dejado reposar demasiado); y la tercera, para poder encontrar argumentaciones convincentes, aunque a muchos no se lo parecerá.

Y es por esta tercera razón por donde voy a empezar, porque está claro que GMail es actualmente y con toda probabilidad el mejor sistema de correo electrónico gratuito que existe. Es eficiente, es rápido, está bien pensado y tiene una capacidad con la que, como bien publicitan, probablemente no te haga falta borrar un correo nunca más. Por ello, no es extraño que cualquier comentario en contra de GMail suela despertar un aluvión de críticas; es en mi opinión algo razonable; y es que como ya hecho en anteriores ocasiones, insisto que a título personal, soy un usuario de Google y GMail.

Lo que voy a hacer a lo largo de esta entrada es destacar algunos puntos que me parecen de interés en relación con GMail (aunque asumo que puedo estar equivocado en más de uno), y que intentan mostrar que no porque un servicio sea bueno y gratuito hemos por ello de venderle nuestra alma; Google no es al fin y al cabo una ONG ni una «Fundación por un correo electrónico mejor», sino una empresa que presta un servicio con el cual hace negocio, y eso al menos debería mantener alerta nuestro espíritu crítico; piensen qué pasaría si Telefónica adoptase algunas de las políticas de Google en cuestión de privacidad (y no, el nivel de satisfacción del usuario no es un factor a considerar en la gestión de los datos de carácter personal, o DCP en adelante). Antes de empezar, advierto que quizá esta entrada sea algo larga, pero creo (es más una esperanza que un creencia) que no se les hará pesada:

* * *

Uno. La política de privacidad de Google y GMail (asumiré a lo largo de la entrada, por facilitar las cosas, la versión traducida que el mismo Google proporciona) es larga y confusa (sin entrar a valorar las políticas de otros servicios de esta compañía), y esto va más allá de la mera subjetividad. Deja abiertas multitud de posibilidades y propósitos adicionales para la gestión de los DCP. Menciona el tratamiento de terceros no identificados, y no se adhiere en ningún momento más que a «las leyes y regulaciones vigentes», sin entrar en detalles. Deja en el aire la posibilidad el uso de los datos para futuros servicios que Google Inc. pueda prestar, y me llama la atención poderosamente el frecuente uso de la expresión «puede ser» a lo largo de toda la política. Tampoco he encontrado periodos de retención de datos, aunque no lo niego, es posible que estén ahí, «en algún lugar».

* * *

Dos. El hecho de que una empresa o persona decida realizar algo y el usuario lo consienta mediante un contrato, no lo hace legal, por mucho que haya gente que argumente a favor de ello. Y esto aplica tanto al esclavismo como a los datos personales propios; es decir, aunque usted y yo acordásemos que puedo utilizar, procesar y almacenar sus DCP de la forma que me venga en gana, eso no lo hace legal. Ahora, lean lo siguiente [enlace]:

Cuando usted se registra en una Cuenta de Google u otro servicio o promoción de Google que requiera registrarse, le solicitamos información personal […]. Puede ser que combinemos la información que nos indica en su cuenta con la información de otros servicios Google o de terceros […]. Para algunos servicios, puede que le demos la oportunidad de optar por que no se combinen dichas informaciones.

Combinar la información que Google/GMail posee con terceros se llama cesión, y sin un consentimiento explícito previo es ilegal, sea cual sea el propósito de ello. Y podemos seguir hablando de ambigüedad y cesiones de datos [enlace]:

En algunos casos, podemos procesar información personal en nombre y por cuenta de y según las instrucciones de terceros, como nuestros “advertising partners».

A pesar de esto, hay gente que argumenta que puesto que ellos consienten que GMail/Google utilice sus DCP, no hay razón para que FACUA, la AEPD o cualquier otra entidad gubernamental o privada se inmiscuya en ello. Aún cuando eso fuese posible y coherente (si no se regulasen legalmente las relaciones entre las empresas y los individuos, no estoy seguro de en qué mundo viviríamos pero desde luego, no sería el mejor de los posibles), no hay que dejar de lado que el correo que se procesa es el correo entrante, no el saliente. Y como tal, el emisor de dicho correo recibido no ha dado su consentimiento para el procesamiento de la información que contiene, ni se puede hacer tal cosa de manera implícita.

* * *

Tres. Retomando la cuestión de la ambigüedad, frases como la siguiente no ayudan, desde luego [enlace]:

Realizamos esfuerzos de buena fe para facilitarle acceso a su información personal cuando se solicite y para dejarle corregir dicha información si ésta fuera incorrecta y para borrarla, cuando sea razonablemente posible.

Me temo que la buena fe (siempre muy presente para Google) y la, por decirlo así, razonabilidad de acceso a los datos, no es un concepto que esté muy bien definido legalmente. Más bien al contrario, la AEPD establece plazos bastante claros (y estrictos) para el ejercicio de los derechos ARCO, cuestión que no he encontrado en ningún punto de la la información proporcionada por Google.

Incluso podemos ir si quieren un poco más lejos [enlace]:

Cuando utiliza los servicios de Google, realizamos esfuerzos de buena fe para facilitarle acceso a la información personal y para corregir la información si ésta fuera incorrecta o para borrar dicha información según usted lo solicite si de otro modo no se requiere su retención por ley o por propósitos de negocio legítimos.

Presten atención a esa última razón, y decidan si les parece razonable.

* * *

Cuatro. No hay que dejar de lado el hecho de que Google es una compañía estadounidense. Esto significa, básicamente, que en el siguiente párrafo [enlace]:

Google sólo comparte información personal con otras compañías o individuos externos a Google […] cuando creemos de buena fe que el acceso, uso, conservación o revelación de dicha información es razonablemente necesario para (a) cumplir con las leyes, regulaciones, procesos legales o peticiones gubernamentales aplicables […]

la referencia a «leyes, regulaciones, procesos legales o peticiones gubernamentales», hace referencia principalmente al gobierno estadounidense, no al español, italiano, francés o alemán. Intentaré no entrar en modo paranoico, pero si a esto le añadimos (a) que la protección de los DCP al otro lado del Atlántico es una cuestión pendiente (y cada vez más dudosa), y (b) que no hay en ese país una legislación sobre datos personales similar a las legislaciones europeas, eso deja los datos de los usuarios europeos de Google a merced de las peticiones gubernamentales americanas. Quizá eso les importe más bien poco, pero es posible que si la semana que vienen viajan a Nueva York, tengan al menos cierto interés en saber qué se va a hacer con toda la información personal que van a proporcionarle al gobierno estadounidense, cómo se va a gestionar, quién y durante cuánto tiempo. Bien, pues esto es algo similar, si se da el caso.

* * *

Cinco. Siguiendo con los aspectos nacionales, si Google desea prestar sus servicios a diversas empresas extranjeras, en este caso España, es necesario y sobre todo exigible que se adapte a las leyes establecidas, por muy gratuito que sea el servicio que presta. Alguien podría añadir que si Google no almacena y/o procesa datos en Europa, la legislación europea en materia de protección de datos no aplica (y por tanto, gran parte de lo dicho hasta ahora, aunque una cosa es lo que Google diga y otra cosa lo que nosotros tengamos derecho a exigirle según nuestra legislación), y de hecho, si tenemos en cuenta el ámbito de aplicación de la LOPD, a falta de un mayor análisis, podría decirse a bote pronto que eso es verdad; y eso es un fallo o defecto de la LOPD en los tiempos en los que nos movemos. Ahora bien, lo cierto es que no sabemos dónde almacena y procesa Google los datos de información personal [enlace]:

Google procesa información personal en nuestros servidores en Estados Unidos de América y en otros países.

No obstante, si nos atenemos a la traducción y el texto disponible en la web, que al parecer ha sido generalizado para cualquier país, nos aprovechamos de la ambigüedad del texto, y aplicamos un poco de lógica inversa al siguiente fragmento, podemos asumir de algún modo que una parte de los datos se procesa efectivamente en territorio español [enlace]:

En algunos casos, procesamos información personal en un servidor de fuera de su propio país.

Admito no obstante que eso sea quizá hilar muy fino.

* * *

Seis. Se está estableciendo, a decir por los foros y blogs, una comparación entre sistemas anti-virus y anti-spam y el servicio de publicidad contextual de Google. Una forma rápida de acabar esta discusión, que parece haberse cebado con FACUA, podría ser citar la parte aplicable de la última declaración de la AEPD sobre los buscadores en Internet (pdf):

El Grupo de Trabajo del Artículo 29 (GT 29), del que forma parte la AEPD se ha pronunciado sobre este asunto en el Dictamen 2/2006 (WP 118) analizando los supuestos en los que los buscadores pueden escanear el contenido de los emails y estableciendo que únicamente se podrán filtrar las comunicaciones para prevención de virus y de spam, con el fin de adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad de sus servicios, según se establece en el artículo 4 de la Directiva 2002/58/CE de privacidad en las telecomunicaciones, que se transpone en el artículo 34 de la Ley 32/2003 General de Telecomunicaciones.

Aparte de eso, la cuestión, para mí de una claridad meridiana, es que un sistema de análisis de anti-spam o anti-virus tiene un propósito muy concreto, y no permite obtener ningún tipo de información del receptor o emisor, aparte de si el correo contiene o no spam. Sin embargo, un sistema de publicidad contextual puede, además de ofrecer publicidad, crear un perfil psicológico del usuario en función del correo recibido y enviado (éste último se incluiría en el sistema si a su vez, es enviado a otra cuenta de Google); alguien puede argumentar que Google no guarda esa información; personalmente lo dudo mucho, por lo que en mi opinión, entre el software anti-spam/anti-virus y el software de generación de publicidad contextual hay una diferencia más que abismal.

* * *

Siete. Por último, hay gente que aduce un desconocimiento por parte de la AEPD en referencia a cuestiones tecnológicas, cuando entran a debatir este tipo de aspectos. Esto me parece absurdo; una cosa es que haya aspectos burocráticos a los que ceñirse por ser un órgano gubernamental, pero la AEPD, su director y el correspondiente cuerpo de inspectores están tan preparados (o más) como cualquier técnico que se precie para analizar y debatir este tipo de cuestiones. Asimismo, otros comentarios acerca del uso de medios automatizados carecen de sentido; para algunas personas, parece que únicamente cuando entra en el proceso la intervención humana cabe la posibilidad de una violación de privacidad; estas personas deberían plantearse con qué se almacenan y procesan en la actualidad el 95% de los DCP que gestionan las empresas.

* * *

Ya he dicho que Google/GMail es un servicio de correo fabuloso, y lo repito. Pero parece que mucha gente está dispuesta a ceder su privacidad a una empresa a cambio de funcionalidad, sólo porque el servicio es gratuito (no olviden nunca que aunque para ustedes lo sea, para Google es una nada despreciable fuente de ingresos). Google ha encontrado la valiosa manera de introducir publicidad contextual en su servicio de correo, y eso es de agradecer, pero lo cierto es que no deja de ser una manipulación de los DCP de los usuarios para ofrecer publicidad; que Google/GMail ponga los datos de los usuarios a disposición indirecta de terceros (los anunciantes) sin ofrecer las debidas garantías es, cuanto menos, sospechoso.

Como colofón, sólo añadir que esa perla de sabiduría popular que reza «A caballo regalado, no le mires el diente», no siempre aplica. Ya saben como acabaron en Troya.

Comments

  1. «Cuando utiliza los servicios de Google, realizamos esfuerzos de buena fe para facilitarle acceso a la información personal y para corregir la información si ésta fuera incorrecta o para borrar dicha información según usted lo solicite si de otro modo no se requiere su retención por ley o por propósitos de negocio legítimos.»

    ¿Qué circunstancias podrían obligar a Google, por ley, a conservar tus DCP contra tu voluntad?

  2. Manuel Benet says

    Retención de datos por cuestiones fiscales, procesos legales abiertos, o inspecciones de trabajo, por ejemplo; eso es así en prácticamente todas las empresas. Otras, como las empresas de salud, tienen además otras retenciones de datos obligatorias en referencia a tu historial médico.

  3. Buen post.

    Has hecho lo que el 99% de los usuarios de Gmail no hacemos: hurgar en las políticas de privacidad del servicio y cuestionarte lo que dicen…

    Saludos,

  4. Muy buena entrada. Estoy escribiendo sobre aspectos legales de este problema. La cuestión es si la tecnología de exploración automática utilizada por Google constituye, de acuerdo con nuestra normativa una interceptación (en palabras utilizadas por la AEPD en la declaración)

    Me pongo con la jurisprundencia en el tema. Ahí está el caso. ¿Qué es interceptación? ¿Qué sucede cuando eliminamos el elemento humano? Quiero decir…¿es interceptación de contenidos el scaneo de una máquina que selecciona palabras y de acuerdo con esa selección agrega vínculos a los correos?

    Un saludo y nos vemos por aquí

  5. Rafael Alfaro says

    Buenas,
    Buen post. Muy resumido. Esto se agradece mucho.

    ¿Qué otros servicios de correo proporcionan una cobertura de la privacidad, más acorde a la legislación española?
    Es que esas ambigüedades lucen muy poco, tratándose de un texto legal.

    Un saludo.

  6. Rafael,

    La verdad es que no he tenido tiempo de ponerme con otros servicios, pero me aventuraría a decir que ninguno de los «grandes» cumple con la legislación española en materia de DCP, más que nada por el amparo que supone no tener los servidores en territorio español.

    De todas formas, me apunto la pregunta y prometo hacer una entrada a corto/medio plazo sobre este punto.