Protección de Datos vs Política de Google

El 2012  la Política de Privacidad y las Condiciones de Uso de Google fueron modificadas.  El nuevo acuerdo  autorizaba que la empresa combine los datos personales de manera transversal entre sus servicios, otorgando la posibilidad de generar perfiles identificables.

Esto alertó a los estados miembros de la Unión Europea, quienes enviaron una carta con una serie de recomendaciones que Google ignoró; fue entonces que el grupo acordó llevar a cabo acciones individuales para garantizar el respeto al derecho a la protección de datos.

Pero… ¿qué fue lo que los puso en alerta?

Política de Privacidad de Google

Partamos del hecho de que Google combina la información de cada usuario estableciendo relaciones entre todos los servicios que utiliza, y por tanto, creando perfiles que lo hacen identificable.

Google no indica qué datos se combinan entre qué servicios, pero se conoce que las herramientas que utiliza son:

– La cuenta de Google asociada a cada usuario autentificado.
– La cookie PREF asociada a cada interacción con un sitio web del dominio google.com
(incluidos los botones “+1” de los sitios web de terceros).
– La cookie de DoubleClick asociada a las interacciones en sitios web de terceros que
muestran anuncios publicitarios de DoubleClick.
– La cookie de Google Analytics que utilizan sitios web de terceros.
– Los identificadores móviles que se emplean para sustituir a las cookies en algunas
aplicaciones móviles.

La combinación de datos  incluye toda la actividad de los interesados en los sitios de Google y en los sitios web de terceros.

universo google
Universo Google

¿Cuál es la finalidad de este cruce de datos? A grandes rasgos, se deduce  que el tratamiento transversal de datos cumple las siguientes funciones:

  1. Proveer servicios en los que el usuario solicita expresamente la combinación de datos, ej: Contactos y Gmail.
  2. Proveer servicios solicitados por el usuario pero en los que la combinación de datos se aplica sin su conocimiento directo, ej: para la personalización de los resultados de búsqueda.
  3. Desarrollar productos e innovaciones de marketing.
  4. Fines de seguridad.
  5. Proveer información a la Cuenta de Google.
  6. Fines publicitarios.
  7. Fines analíticos.
  8. Fines de investigación académica.

Una defensa típica es el alegato de que: “si se firma el acuerdo hay que asumir las consecuencias”. Pues los casos 2, 3, 6 y 7 no están especificados en su Política de Privacidad. Es decir, incluso el usuario que llega a leer el documento completo no es informado sobre cómo se utilizan sus datos para marketing, desarrollo de productos, publicidad y analítica. Mucho menos,  el porqué.

En pocas palabras: no existe un fundamento jurídico fruto del consentimiento del usuario que autorice a Google a cruzar sus datos con esos fines. Es más, la empresa  se empeña en hacer creer que priman sus propios intereses corporativos sobre las derechos  fundamentales y libertades del usuario.

El problema no es sólo los fines

Google limita —en algunos casos impide— el ejercicio del derecho al acceso, rectificación, cancelación y oposición. El procedimiento requerido para gestionar los datos personales implica que el usuario deba saltar de página en página, con links confusos y denominaciones poco claras. Google mismo admite que los usuarios deben pasar por siete procesos diferentes.

Me permito ejemplificar con mi caso personal. En un intento de limitar al máximo los permisos de Google, pasé toda una mañana clicando de página en página en un proceso complejo, confuso y ambiguo. 

El pase de diapositivas requiere JavaScript.

Por otro lado, el tiempo que Google almancena la información recopilada es exagerado. Google guarda los ficheros del historial de exploración durante 18 meses y los datos recopilados por la cookie de los anuncios publicitarios durante 2 años. Estos periodos van en contra del mandato legal de cancelar los datos cuando dejan de ser necesarios para los fines que fueron requeridos.

También afecta a quienes no firman el consentimiento

Adicionalmente, Google también cruza datos de usuarios pasivos.

Se entiende por usuarios pasivos aquellos usuarios que no solicitan directamente un servicio de Google pero aun así sus datos son recogidos, generalmente a través de plataformas de publicidad de terceros, analíticas o los botones “+1” o DoubleClick.

A los usuarios pasivos no se les informa que Google realiza tratamientos de sus datos personales, como las direcciones IP y las cookies. La información que reciben depende de la política del sitio web en el que están navegando y esta a menudo no detalla los tratamientos que Google efectúa.

Recomendaciones de la Unión Europea

Para la legislación europea, todos tienen derecho a la protección de sus datos personales. Sus políticas de protección de datos son estrictas y por tanto las recomendaciones enviadas a Google fueron bastante puntuales.

Primeramente, Google debería ofrecer avisos de privacidad específicos para cada producto. En estos avisos se debe detallar el uso que se hace de los datos para cada servicio, su tratamiento, los fines del tratamiento, los receptores y la manera en la que los usuarios pueden acceder a ellos.

Además, Google debería desarrollar presentaciones interactivas que permitana los usuarios explorar el contenido de los avisos de privacidad sin necesidad de leer documentos largos y lineales.

Por otro lado, los fines generales como la investigación y la seguridad podrían presentarse por separado con garantías detalladas sobre dichos fines.

Las versiones anteriores de la Política de privacidad y de los avisos de privacidad específicos de cada producto deberían continuar estando a disposición de los usuarios.

Finalmente, Google debería proporcionar información adicional y precisa sobre puntos importantes que repercuten profundamente en la privacidad de los usuarios:
– La ubicación
– Los datos de las tarjetas de crédito
– Los identificadores de dispositivos únicos
– La telefonía
Los usuarios deben recibir explicaciones sencillas y claras sobre cuándo, por qué y cómo estos datos se recogen y cómo pueden oponerse a la recogida, el almacenamiento o la combinación de estos datos.

Con respecto a las cookies que se activan a través de DoubleClick, los botones “+1” o los servicios de Google Analytics en sitios web de terceros, la Unión Europea recomienda obtener un consentimiento informado antes de que estas cookies se utilicen.