El Grupo de Trabajo del Artículo 29 (GT29) aprobó el viernes día 4 una Opinión sobre cuestiones de protección de datos en relación con los motores de búsqueda.
Dada la extensión de la Opinión me limitaré a enumerar sus conclusiones e invito a su lectura.
APLICABILIDAD DE LAS DIRECTIVAS EUROPEAS
1. La Directiva 95/46/CE se aplica a los tratamientos de datos realizados por los motores de búsqueda, incluso cuando sus sedes estén fuera del Espacio Económico Europeo.
2. Las empresas situadas fuera de la UE deben informar a sus usuarios sobre las condiciones en las que cumplen con la Directiva 95/46/CE, sea por su situación o por el uso de equipos situados en la UE.
3. La Directiva 2006/24/CE de retención de datos no les es aplicable.
OBLIGACIONES DE LOS PROVEEDORES DE SERVICIOS DE BÚSQUEDA
1. Pueden tratar datos sólo para propósitos legítimos y la cantidad de éstos tiene que ser adecuada y no excesiva conforme a las finalidades para las que se recojan.
2. Deben borrar o hacer anónimos (de modo irreversible y eficiente) los datos de carácter personal una vez que ya no son necesarios para la finalidad para la que se recogieron.
3. Los períodos de retención de los datos tienen que ser reducidos al mínimo y ser proporcionales a las finalidades que se persigan. De las explicaciones dadas por los diversos motores de búsqueda consultados, el GT29 no deduce que sea necesario un período más allá de 6 meses. Sin embargo, las legislaciones nacionales pueden requerir su borrado en períodos más cortos. Si estas empresas desean retenerlos más tiempo, deben demostrar que es estrictamente necesario para el servicio. En cualquier caso, la información sobre el período de retención ha de ser fácilmente accesible en la página de inicio.
4. Ya que recogen algunos datos de modo inevitable sobre sus usuarios, como la dirección IP, que viene implícita en el tráfico http, no resulta necesario recoger datos adicionales para prestar el servicio de búsqueda y colocar publicidad.
5. Si utilizan cookies, su período de vida no ha de ir más allá de lo demostrablemente necesario. Las “flash” cookies sólo deben instalarse si se da información clara sobre el propósito con el que se instalan, y cómo acceder a ellas, editar y borrar la información que contengan.
6. Han de suministrar información inteligible sobre su identidad y localización, y sobre los datos que pretenden recoger, almacenar o transmitir, así como el propósito con el que se recogen.
7. El enriquecimiento de los perfiles de los usuarios con datos no facilitados por éstos tiene que basarse en el consentimiento de estos mismos usuarios.
8. Si almacenan los historiales individuales de búsqueda, deberían asegurarse de que tienen el consentimiento del usuario.
9. Deberían respetar la voluntad de los editores de páginas web cuando indican que no desean ser indexados o incluidos en los motores de búsqueda.
10. Cuando den servicios de caché en los que se hagan accesibles datos de carácter personal durante más tiempo que en la web original, tienen que respetar los derechos de los titulares a retirar los que sean excesivos e inexactos.
11. Los motores que se especialicen en operaciones de valor añadido, tales como perfiles personales (conocidos como “people search engines”) y software de reconocimiento facial sobre imágenes, han de respetar también los requerimientos de la Directiva, tales como la obligación de garantizar la calidad de los datos.
DERECHOS DE LOS USUARIOS
1. Los usuarios tienen derecho a acceder, inspeccionar y corregir si es necesario, de acuerdo con el artículo 12 de la Directiva, todos sus datos personales, incluyendo sus perfiles e historial de búsqueda.
2. El cruce de datos con origen en diferentes servicios pertenecientes al proveedor de servicios de búsqueda sólo puede realizarse si se tiene el consentimiento del usuario para ello.
Es impresionante la utopía en la que viven en Europa los organismos reguladores de la privacidad. ¿De verdad piensa el GT29 que los buscadores se van a plegar a esto tan fácilmente?
El nombrecito del documento viene que ni pintado: OPINIÓN. Se va a quedar en eso, en una opinión, porque estas empresas van a pasar olímpicamente de cumplir con lo que aquí se establece. Primero, que los países implementen legislación interna para aplicarla; y luego, a ver quién es el valiente que se atreve a sancionar al que incumpla. No lo veremos, no.
Los prestadores de servicios de búsqueda tales como Google y Yahoo no van a cambiar su modelo de negocio por estos requerimientos. Incluso si quisieran hacerlo, el puzzle a resolver es demasiado complejo: ¿a cuántas legislaciones diferentes estarían sujetos?
Hola:
Comparto tus conclusiones, pero sigo sin entender la razón por la que dicen que es aplicable a, por ejemplo, Google.
Dice el artículo 4 de la Directiva 95/46/CE (y en la misma línea todas las leyes de protección de datos europeas):
1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;
b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;
c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.
Yo no veo por ninguna parte que a las empresas que realicen en Estados Unidos el tratamiento de los datos y tengan allí su sede les sea aplicable esta norma.
Me parece que como legislaron al revés, en lugar de poner como ámbito de aplicación la nacionalidad de los titulares de los datos (lo que importa) pusieron el domicilio de la empresa, pues ahora con internet vienen estos problemas de imposible solución.
Un saludo.
David,
En primer lugar, Google tiene data centers a lo largo y ancho del mundo aunque desconozco si tienen alguno en nuestro país o en algún otro Estado Miembro.
En cualquier caso quizás aquí tengas la respuesta a tus preguntas (aplicación a Estados no UE):
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2002/wp56_es.pdf
Félix,
Me temo que algunos buscadores como Google se toman en serio lo de la protección de datos, primero porque les interesa tratar nuestros datos, segundo porque son muy conscientes de la importancia que para su negocio tiene la confianza de sus usuarios. Aunque mejorable aún su política de privacidad, creo que es de largo el buscador que está siendo más transparente en cuanto a este tema.
Ya veremos qué pasa.
Ayer precisamente visité la web del Grupo del Art. 29 en busca de este documento porque ví una noticia sobre que los buscadores sólo podrán conservar nuestros datos por período de 6 meses. No había nada, y sigue sin haber nada hoy, algún día nos contarás tu fuente? ;-p
Un saludo
David,
Otra muestra de la aplicabilidad de toda legislación sobre privacidad a los buscadores:
http://ec.europa.eu/justice_home/fsj/privacy/news/docs/pr_google_annex_16_05_07_en.pdf
Que no digo yo que esté de acuerdo ni me imagino cómo poder dar cumplimiento a todas ellas, claro.
Hola:
Gracias por las aportaciones. Conocía el contenido de ambos documentos.
Del primero destaco este párrafa:
“la Directiva no es aplicable en estos países [países fuera de la UE] y la protección de las
personas en cuanto al tratamiento de sus datos personales puede ser limitada o
inexistente. El principio del país de origen, vinculado al establecimiento del responsable
del tratamiento, ya no es válido para determinar la legislación aplicable. Es necesario
cambiar el factor de relación. El Parlamento Europeo y el Consejo decidieron volver a
utilizar uno de los factores clásicos del Derecho internacional, a saber: el vínculo físico
entre la acción y un sistema jurídico. El legislador europeo eligió el país en el cual se
sitúa el equipo utilizado19. La Directiva se aplica por tanto cuando el responsable del
tratamiento no está establecido en el territorio de la Unión, pero decide tratar los datos
con fines específicos y utiliza medios, automatizados o no, situados en el territorio de un Estado miembro.”
Mi crítica se centra en que el criterio que se sigue obliga a buscar interpretaciones para solucionar un problema, en lugar de abordarlo directamente y exigir que para el tratamiento de datos de ciudadanos europeos las empresas, estén donde estén, se sometan a determinadas reglas, bajo pena de cortar el acceso al mercado europeo.
Google es sólo un ejemplo, puede que tenga un establecimiento permanente en Europa y los datos sean tratados en ellos para finalidades distintas de las de tránsito, en ese caso si sería aplicable, pero hay otras muchas empresas en las que eso es dudoso.
Un saludo.
David,
Totalmente de acuerdo.
Precisamente de ello se ha que quejado Peter Fleischer de Google, pues si aplicamos ese criterio entonces deben ser conformes a las legislaciones de prácticamente todos los Estados del mundo. De ahí su campaña por la creación de un estándar internacional en legislación de protección de datos, tomando como ejemplo la propiedad intelectual ;-P. Toman como referencia aceptable para constitur el germen de este estándar el APEC Framework, y me temo que de alguna manera y aunque no lo hayan dicho, la Oinión habiita lo que pretenden con ello, que no es otra que “putting users in charge of their privacy”. Vamos que cada uno se apañe su privacidad a través del Google Web History, aunque me temo que quizás para que ello fuera aceptable la configuración de esta herramienta permitiera configurarse uno mismo la parte que de su perfil se desea poner en manos del buscador y la parte que no.
Aparte de que en el seno del Grupo del Art. 29 también se está discutiendo una revisión de la normativa sobre protección de datos europea. Veremos en cuánto calan los buscadores y otras multinacionales en esta revisión.
Va a estar interesante el mundo de la protección de datos en los próximos años, si es que alguna vez ha dejado de estarlo.
Salu2
Buenas tardes,
Creo que aplicar el criterio territorial teniendo en cuenta que los buscadores utilizan equipos situados en la UE es la mejor solución. Porque es la más fácil de aplicar y controlar, al menos en teoría.
IANA coordina a nivel global el asunto de las direcciones IP. Y a los usuarios les asignan las IPs los ISPs que las reciben de IANA, por lo que sabemos DÓNDE está localizada cada IP, en qué país.
Cualquier navegador, al solicitar información a un servidor para mostrar la correspondiente página web en el PC del usuario, está dando su dirección IP. “Ergo” el prestador de servicios sabe DÓNDE está el usuario final, por lo que PODRÍA aplicar la legislación que correspondiera sin dificultad: avisos y condiciones legales para acceder al servicio, y tratamiento posterior de los datos (encaminamiento, almacenamiento…).
Aunque pudiera realizarse esto, implica tal giro y adaptación de todos los sistemas de trabajo, y en el modelo de negocio que, aun pudiendo, no lo harán… ¡Y sería mejor para ellos, mayor segmentación de usuarios!
Podría desarrollarse una completa teoría alrededor de esto, con la ayuda de los informáticos, claro está.
Un saludo,
Sin embargo, yo no he podido localizarte Felix.
Me encanta la normativa, es como un enorme puzzle, pero la normativa, llega siempre cuando los avances se extienden, nunca en su inicio y por eso decimos que hecha la ley hecha la trampa.
En cualquier caso, los estado no llegan y si llegan, lo hacen tarde y a gusto del grande, como el caso de la propiedad intelectual y las dicográficas anglosajonas.
¡Saludos!
[...] de protección de datos relacionadas con los motores de búsqueda, donde entre otras cosas declaraba la aplicabilidad de la Directiva 95/46/CE a éstos, a pesar de que se sus sedes puedan encontrarse [...]