La finalidad de estos ficheros, previstos normativamente en la Ley Orgánica de Protección de Datos (LOPD), es contribuir a mejorar la solvencia del sistema financiero y facilitar el tráfico mercantil, de ahí que sólo puedan cederse por el acreedor y por tanto registrase en esos ficheros datos que sean determinantes para enjuiciar la solvencia económica de los afectados.

En todo caso, el hecho de constar como moroso en un registro de impagados repercute negativamente en la contratación con otras empresas privadas que consultan esos ficheros antes de prestar sus servicios para conocer así si la persona interesada en contratar tiene alguna factura pendiente de pago con otra entidad.

El supuesto más común es el de la inclusión de nuestros datos en esos ficheros por parte de empresas de telecomunicaciones, principalmente de telefonía móvil por alguna factura pendiente de pago y que suele dificultar la contratación de servicios idénticos o similares con otras empresas del mismo sector; no obstante también es habitual esa comunicación por las entidades financieras impidiendo la concesión de un crédito con otra entidad bien de ese mismo grupo bancario u de otro distinto.

Los ficheros más usados para el registro de impagados son los siguientes, intentando responder así a cuestiones que nos han sido planteadas como qué es asnef, qué es badexcug o qué es RAI:

ASNEF. La empresa que se encarga del tratamiento de ese fichero de la Asociación Nacional de Establecimientos Financieros de Crédito es Equifax Ibérica. La información recogida en ese fichero (datos relativos al cumplimiento e incumplimiento por parte de personas físicas o jurídicas de sus obligaciones financieras y crediticias) es comunicada a aquellas empresas crediticias que se asocien para apoyar su toma de decisiones en las relaciones de ámbito financiero y crediticio.  Por ejemplo, son objeto de tratamiento los datos relativos a una deuda impagada por una persona física o jurídica debida por facturas por servicios de telefonía o televisión de pago, créditos, hipotecas, tarjetas de crédito, etc.

DE INCIDENCIAS JUDICIALES Y RECLAMACIONES DE ORGANISMOS PUBLICOS. Se recogen las incidencias por falta de pago tanto de personas físicas como jurídicas con organismos públicos. Por ejemplo, aquellas entidades que dejan de pagar las cuotas de Seguridad Social de sus empleados. Existen dos ficheros conocidos con esta finalidad, uno es gestionado por Equifax y otro por Experian Bureau de Crédito.

BADEXCUG. Su gestión  corresponde a Experian Bureau de Crédito. Recoge también información sobre las operaciones impagadas tanto por parte de personas físicas o jurídicas con aquellas otras adheridas al Bureau de Crédito. La mayoría de las incidencias son de entidades bancarias, empresas de telecomunicaciones y del sector seguros.

El RAI (Registro de Aceptaciones Impagadas), lista RAI o lista del RAI. A partir del año 2005 sólo son objeto de tratamiento en ese fichero los datos relativos a deudas impagadas por personas jurídicas. Empresas que han dejado de pagar a sus proveedores. Por lo que respecta a la consulta RAI, es un fichero sólo de consulta, no permitiéndose realizar aportaciones.

CIRBE (Central de Información de Riesgos del Banco de España). Es una base de datos que gestiona el Banco de España y recoge información tanto de titulares de préstamos como de sus avalistas facilitada por entidades financieras, o lo que es lo mismo, recoge datos sobre préstamos, avales, créditos, etc  y que tenga una persona siempre que se considere un riesgo directo en el mes, que dependerá de que el saldo exceda de unos mínimos establecidos y que varían periódicamente.

En la segunda parte de este artículo, comentaré cuáles son los requisitos para su inclusión, para que los tengamos claros.

Las organizaciones de derechos civiles norteamericanas se encuentran lidiando contra el nuevo proyecto de ley aprobado por la Cámara de Representantes, su principal pretensión es conseguir que el Presidente Obama vete esta nueva normativa de ciberseguridad aprobada por la institución hace apenas escasos días.

Al parecer, esta reciente normativa supondría un fuerte quebranto a la protección de la privacidad de los ciudadanos pues permitiría a las empresas norteamericanas compartir información con el Gobierno en cuanto a las amenazas a sus sistemas informáticos, en aras de incrementar la seguridad ante posibles ciberataques.

Esta nueva normativa conocida como Ley de Protección y Comunicación de la Ciberinteligencia (CISPA) habilita además al Gobierno a compartir información secreta con el sector privado con la finalidad de incrementar la seguridad de sus redes sin tener que responder legalmente por violaciones de la privacidad.

En sentido contrario, las grandes compañías a pesar de la falta de garantías sobre la protección de la privacidad, defienden la implantación de esta nueva regulación que combatiría los delitos cometidos a través de la red.

Algunas asociaciones de los Estados Unidos han hecho especial hincapié en que se ponga remedio a la carente obligación por parte de las empresas en el compromiso de advertir sobre la posibilidad de que los datos del consumidor sean compartidos con el Gobierno. De hecho,  son ya varios los Senadores que han manifestado la intención de iniciar actuaciones para la elaboración de una reforma a esta concreta ley, que se espera ampare por igual tanto a la privacidad del ciudadano como a la seguridad del Estado.

El inicio de actuaciones inspectoras sobre este servicio de Google comienzan tanto de oficio por la propia Agencia como por denuncia de esta firma ePrivacidad.

Me gustaría indicar que el comentario que voy a realizar de la Resolución de Archivo de actuaciones parte del más absoluto respeto hacia una institución como es la Agencia Española de Protección de Datos, pues soy consciente tanto del limitado número de recursos humanos que tienen en relación a la cantidad de trabajo así como la complejidad de varios asuntos que se les plantean y que no son fáciles de resolver a pesar de lo preparados que están los inspectores en esta Agencia, hecho este último que me consta sin duda.

Volviendo al asunto, ePrivacidad decide denunciar a Google frente a la Agencia Española de Protección de Datos porque desde este despacho confiamos que aún está vigente ese principio del Derecho de que “todos somos iguales antes la Ley” y debe ser aplicada bajo los mismos principios ya sea a una pequeña empresa local o a un gigante tecnológico como Google. Desde ePrivacidad consideramos en su momento que la nota de prensa publicada por esta Agencia en el mes de abril de 2012 suponía un trato de distinción hacia Google; en concreto, en esta nota de prensa puede leerse “Asimismo, la AEPD ha requerido a Google la inscripción en el Registro General de Protección de Datos de los ficheros de las imágenes y datos personales captados por Google para este servicio“.

Esta frase, cuyo significado analizaré a continuación, nos motivó a cuestionar ante la Agencia Española de Protección de Datos la legalidad del servicio Street View de Google a la luz de nuestra legislación sobre protección de datos así como a la luz del criterio de esa misma Agencia en asuntos similares, donde pequeñas empresas o particulares fueron sancionados.

Así pues, la denuncia que presentamos contenía 3 supuestas infracciones en las que podría estar incurriendo Google en su servicio Street View:

1º: La no inscripción del correspondiente fichero en el Registro General de la Agencia Española de Protección de Datos.

2º: La captación de datos personales en la vía pública de miles de ciudadanos sin su consentimiento y sin que sean informados de dicha captación y su posterior tratamiento.

3º: La vulneración del deber de secreto de los datos personales pues es posible encontrar imágenes en Street View donde el difuminado automático ha fallado y se estarían revelando datos personales en Internet sin consentimiento de los interesados.

Veamos el primer punto.

En el escrito de denuncia simplemente se reflejó un hecho que ya conocía la Agencia Española de Protección de Datos: que Google venía utilizando medios situados en territorio español para captar datos personales para su servicio Street View al menos desde al año 2008 y que, por tanto, en cumplimiento de lo establecido en el artículo 26.1 de la Ley Orgánica de Protección de Datos (LOPD) debía proceder a inscribir el correspondiente fichero. No obstante, en el momento de presentar la denuncia (10 de mayo de 2012), esta entidad no había inscrito fichero alguno. Y de hecho esta Agencia lo sabía, pues como he mencionado anteriormente, en la propia nota de prensa de la Agencia de abril de 2012 ya se decía que se había requerido a Google para inscribir el fichero, pero veamos qué dice la Ley Orgánica de Protección de Datos sobre la inscripción de los ficheros:

El artículo 26.1 de la LOPD indica: “Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos”.

Por su parte, el artículo 55 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal indica:

“Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación“.

La clave está en que, tal y como dice la Ley, el fichero debe ser inscrito PREVIAMENTE a su creación, de ahí que vulneras el precepto si una vez creado el fichero, lo utilizas y lo inscribes posteriormente (como veremos en casos similares). La infracción es de carácter continuada, esto es, eres infractor hasta que inscribes el fichero.

La Resolución de Archivo de actuaciones frente a Google manifiesta precisamente esta infracción por parte de Google, y que era lo que nosotros denunciábamos, ya que afirma, por un lado, que Google Inc. informó a la Agencia que tenía intención de iniciar una nueva campaña de recogida de imágenes para su servicio Street View “con el propósito de cubrir las zonas no cubiertas en las anteriores campañas realizadas entre los años 2008 y 2011”. No es ningún misterio que Google lleva ofreciendo su servicio Street View en España desde el año 2008, que fue cuando empezó a captar los datos personales correspondientes.

Y por otro lado, esta misma Agencia declara en el fundamento de derecho IV de la Resolución, que “con fecha 11 de mayo de 2012, Google Inc. solicitó la inscripción de un fichero denominado “Google Street View” en el Registro General de Protección de Datos, que finalmente fue inscrito el 15 de mayo”.

Nótese el detalle de que nuestra denuncia es presentada el día 10 de mayo de 2012 y Google inscribe ese fichero el día 11 de mayo.

Como se ha indicado, Google creó el fichero en algún momento de 2008 (cuando inició la primera captura de datos) y es entonces cuando debió inscribir el fichero, y no 4 años después. Pero la pregunta es ¿te pueden sancionar si inscribes el fichero una vez lo has creado? Pues sí, naturalmente, que se lo digan por ejemplo a Hoteleria i Restauració Schwaven S.L. (es un ejemplo como otro cualquiera, hay muchos),

Esta empresa fue denunciada por no tener los ficheros inscritos; los ficheros los inscribió 2 meses antes de que se iniciara procedimiento sancionador alguno (mucho después de la denuncia), pero la inspección pudo constatar, lógicamente, que los ficheros habían sido creados realmente mucho antes de su inscripción y es por ello que se consuma la infracción y procede la sanción, de 3000 euros. La Agencia lo argumentó así:

“En las presentes actuaciones, ha quedado acreditado con relación a la falta de inscripción de fichero por parte de la denunciada, que, en la fecha en que se denunciaron los hechos, no figuraba inscrito fichero alguno por parte de su responsable“.

También podemos ver un caso más reciente, donde se sancionó a la empresa La Vimetera S.L. con 1100 euros por lo mismo: inscribir los ficheros después de su creación; dice así el Procedimiento Sancionador 00528-2012:

“Por tanto, en este supuesto existe constancia de que las imágenes captadas por las cámaras se graban y dan lugar a la creación de un fichero de datos personales de videovigilancia, cuya inscripción en el Registro General de Protección de Datos no se ha producido, según se ha podido constatar en la tramitación del procedimiento sancionador, hasta 22 de noviembre de 2012.

Es decir, aunque la entidad imputada ha subsanado la falta de inscripción del mencionado fichero de videovigilancia, sin embargo ha quedado acreditado que dicha regularización se llevó a cabo con posterioridad a la notificación del acuerdo de inicio del presente procedimiento sancionador (28 de septiembre de 2012), motivo por el cual nos encontramos frente a la comisión de una infracción consumada como mínimo hasta la fecha en que se llevó a cabo la inscripción en el mencionado Registro (22 de noviembre de 2012).”

De estos ejemplos hay decenas; es por esto que desde ePrivacidad consideramos que la Agencia debía sancionar la falta de inscripción por parte de Google de dicho fichero, pues debió ser inscrito en 2008. No procedía informarles que lo hicieran (no conozco ningún caso en la Agencia en el que hayan tenido ese “detalle” con el infractor), sino sancionarles por no haberlo hecho.

Pero no, la Agencia refleja la situación registral irregular de Google pero dicha situación no tiene la consecuencia jurídica esperada, al contrario, parece deducirse que esta Agencia entiende que al haberse inscrito el fichero aun de forma extemporánea es válido y no sancionable. Sin embargo, como digo, “debe deducirse”, pues lo cierto es que la Resolución no contempla ninguna fundamentación jurídica que excepcione la aplicación del artículo 26.1 de la LOPD en lo que al adjetivo “previo” se refiere y tampoco justifica la no imposición de una sanción por su incumplimiento; se aprecia una total incoherencia entre los hechos probados (la no inscripción del fichero correspondiente) y el resuelvo que determina la no imposición de una sanción.

Vayamos a por el segundo punto.

La Agencia Española de Protección de Datos, efectivamente, constata que Google capta datos personales de los transeúntes, en concreto rostros matrículas de los vehículos. No se cuestiona la aplicación de la Ley española en este caso pues es obvio que así es. La Agencia afirma que procede por tanto aplicar los principios del consentimiento según nuestra normativa de protección de datos;  el principio general es que es necesario recabar el consentimiento de las personas antes de tratar sus datos personales, y por tanto, en teoría, Google debería pedir el consentimiento de todas las personas a las que fotografía.

No obstante aplica el artículo 7.f de la Directiva 95/46/CE para concluir que en este caso existe un interés legítimo por parte de Google en tratar esos datos personales y que por tanto no se requiere el consentimiento de los afectados.

Efectivamente, este artículo 7.f de la Directiva mencionada, de aplicación directa según Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011, prevé una excepción al consentimiento de los afectados, afirmando que no será necesario el consentimiento:

“para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.”

Para no extenderme mucho sobre este asunto, en esencia viene a decir que si un responsable del tratamiento tiene interés legítimo en tratar unos datos personales, no será necesario que pida el consentimiento de las personas afectadas, siempre y cuando no prevalezca el interés o los derechos y libertades fundamentales de esos afectados.

La pregunta es ¿qué es interés legítimo? pues concepto difuso donde los haya, y que deberá ser interpretado y analizado caso por caso.

En este caso concreto se trataba de determinar si Google tenía un interés legítimo en tratar los datos personales de estas personas; la Agencia inicialmente afirma que la normativa citada:

 ”no contiene ninguna previsión que directamente legitime el tratamiento de datos llevado a cabo por las entidades GOOGLE SPAIN y GOOGLE Inc. para la prestación del servicio “Google Street View”. Tampoco el interés comercial vinculado al desarrollo de la actividad por sí mismo puede considerarse como un interés prevalente en el sentido exigido en el artículo 7.f) de la Directiva 95/46/CE“

Pero luego añade que hay que valorar “otros elementos que deben ser tomados en consideración al ponderar el interés legítimo y los derechos e intereses de los afectados“.

Así, afirma la Agencia que la finalidad última de Google con su servicio Street View no es la de captar los datos personales de la gente sino realizar un servicio de cartografía, y posteriormente expone 4 motivos más:

• En primer lugar, los programas diseñados para la recogida y proceso de los datos no disponen de instrumentos de reconocimiento facial ni permiten la búsqueda por personas.
• En segundo lugar, las imágenes que se ofrecen son estáticas y no identifican la fecha concreta de su captación.
• En tercer lugar, las imágenes de personas y vehículos se someten a un proceso de anonimización, previo a su publicación, consistente en difuminar los rostros y matrículas para evitar que puedan ser reconocidos.
• En cuarto lugar, únicamente se contempla la conservación o retención de los originales de las fotografías tomadas, en los que constan los datos personales, por el período necesario para la mejora del servicio o cumplimiento de los fines para los que fueron recabados, y previo a la destrucción de la información personal registrada, momento a partir del cual únicamente se conservan las imágenes anonimizadas.

Y es por todo lo anterior por lo que determina que Google sí tiene ese interés legítimo en tratar los datos personales y por tanto puede hacerlo sin necesidad de recabar el consentimiento de los afectados. 

Pero ¿y el principio de información? Está bien que el artículo 7.f de la Directiva excepcione el consentimiento, pero ¿y el artículo 5.1 de la LOPD? este artículo no se excepciona y exige informar a los interesados de los que se recaben sus datos de una serie de cuestiones.

Para casos como este en los que no es posible informar directamente, se prevé una excepción: iniciar un procedimiento de solicitud de exención de deber de información al interesado sobre el tratamiento de sus datos de carácter personal según lo dispuesto en el 5.5 de la LOPD.

Esto es, para cuando no puedes informar porque te es imposible, puedes pedirle a la Agencia que te excepcione de hacerlo, mediante una solicitud formal que termina en una Resolución de solicitud de exención de deber de información al interesado sobre el tratamiento de sus datos de carácter personal, donde la Agencia resuelve si te otorga este privilegio o no.

Son muy poco frecuentes estas Resoluciones, pero aquí están, publicadas todas ellas.

De esta forma tenemos que Google no informa en la recogida de los datos personales a los afectados, y si entendemos que concurren las circunstancias que enumera el artículo 5.5 para aplicar esta excepción al deber de información, debería existir la correspondiente Resolución motivándolo. En este caso, ni Google solicitó dicho pronunciamiento ni tampoco esta Agencia ha dicho nada al respecto, lo cual debe llevar irremediablemente a entender que Google viene infringiendo el artículo 5.1 de la LOPD desde el año 2008.

Pero sobre esto tampoco ha dicho nada la Agencia…

Por otro lado resulta curioso que Google sí tenga interés legítimo en realizar hasta 60 conjuntos de imágenes por segundo mientras sus vehículos circulan por nuestras calles para realizar un mapa cartográfico, pero no existe un interés legítimo en grabar nuestra plaza de garaje si está en un garaje de la comunidad o en la calle, o no existe un interés legítimo en instalar una cámara dentro de nuestra vivienda que grabe nuestra puerta para ver quién es el vándalo que la destroza.

Y queda el tercer punto.

En la denuncia que presentamos, así como luego pudo comprobar la propia Agencia, el mecanismo que utiliza Google a la hora de publicar los datos de carácter personal en su servicio Street View adolece de múltiples fallos respecto a la anonimización de los mismos. En otras palabras, las matrículas y rostros que Google recaba y que son posteriormente publicados no siempre se difuminan adecuadamente para evitar su identificación, de forma que, tal y como pudo comprobar la Agencia y así se refleja en la Resolución, es muy sencillo encontrar errores en el difuminado que permitirían reconocer las matrículas y rostros.

Esta conducta es precisamente la que prohíbe el artículo 10 de la LOPD al afirmar que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

Aun entendiendo que Google puede recabar los datos personales de los ciudadanos españoles para su servicio Street View sin nuestro consentimiento, ello no lo habilita para que los publique en Internet de cualquier forma, de ahí que precisamente Google aplique unos mecanismos destinados a anonimizar esa información publicada en Internet. El problema viene cuando dichos mecanismos no funcionan adecuadamente, y se revelan datos personales en Internet, como las matrículas y los rostros de muchas personas.

Como bien indica la Agencia en sus resoluciones, el deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así, el Tribunal Superior de Justicia de Madrid declaró en su sentencia de 19 de julio de 2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.

En este sentido, la Audiencia Nacional también ha señalado, entre otras, en sentencias de fechas 14 de septiembre de 2001 y 29 de septiembre de 2004 lo siguiente: “Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE.”

La Agencia expone en su Resolución que es posible encontrar rostros y matrículas sin difuminar; no obstante parece justificar esta manifiesta infracción del artículo 10 en el hecho de que Google dispone de un sistema automático para reportar estos errores y que funciona en 24 horas (ojo que para reportar el fallo deberás facilitar datos personales sin que exista la cláusula del artículo 5.1 de la LOPD en dicho formulario).

De nuevo debemos hacer una interpretación de que la Agencia entiende que no se produce tal infracción del artículo 10 por la existencia de ese mecanismo, pues a pesar de que reconoce la existencia de estos errores, no fundamenta jurídicamente el por qué no procede la sanción.

La infracción se consuma en el momento en el que Google publica información de carácter personal en Internet sin consentimiento, y resulta irrelevante si dispone de un mecanismo para que los usuarios puedan reportar el fallo o no.

Por todo lo anterior, la Agencia termina archivando la denuncia y determinando que el servicio de Google Street View es acorde a la normativa española de protección de datos.

Os recomiendo que le echéis un vistazo a la Resolución ya que contiene detalles muy interesantes.

Tras recibir la denuncia, la Agencia Española de Protección de Datos (AEPD) inició una investigación sobre el asunto, examinando en primer lugar la política de privacidad de Twitter, en concreto el apartado “información adicional”, donde ya se contemplaba que opcionalmente se podía aportar a Twitter determinada información.

No obstante, el Director de la AEPD solicitó a Twitter inc. determinada información en relación a este asunto, así, respecto del procedimiento por el que en los últimos años Twitter Inc. ha venido recabando el consentimiento de los usuarios de la red social Twitter para tratar los datos de carácter personal contenidos en las agendas de contactos de sus respectivos terminales móviles, la red social manifestó que los usuarios siempre han tenido que aceptar expresamente el uso de su agenda para comunicarse con sus amigos y que en ningún caso es obligatorio, sino opcional por parte del usuario.

Además, Twitter añadió que dada su política de privacidad, la única información de la agenda de contactos que Twitter utiliza o conserva para “encontrar amigos” es la dirección de correo electrónico y el número de teléfono. Esto porque ambas son las maneras por las cuales los usuarios de Twitter pueden elegir ser encontrados por otros. Como resultado, Twitter no utiliza ni mantiene ninguna otra información de la agenda de contactos, tal como el nombre real, la dirección física u otra información que pueda estar contenida en una agenda de contactos. Además, las direcciones de correo electrónico no son asociadas con los números de teléfono para el mismo contacto. Cada uno es guardado en un registro separado.

A pesar de ello y gracias a las acciones de la AEPD, Twitter modificó en agosto de 2012 el apartado de “información adicional” de su política de privacidad aclarando este punto e indicando con más precisión cómo utiliza esta información.

A la luz de todo lo anterior, la AEPD termina archivando la denuncia por determinar que el mecanismo utilizado por Twitter respeta lo establecido en el artículo 5.1 de la Ley Orgánica de Protección de Datos.

Enlace a la Resolución de la AEPD.

Desde hace varias semanas, desde Microsoft y Bing se ha estado lanzando una campaña de publicidad atacando varios productos de Google, en concreto aludiendo a la privacidad de Gmail y al “pay-for-play” en Google Shopping, todo ello desde la web creada por Microsoft “Scroogled“.

Esta campaña publicitaria de Bing pretendía hacer ver a los usuarios que varios productos de Microsoft, como su buscador Bing o el gestor de correo Outlook, son más seguros y ofrecen una mayor privacidad para sus usuarios, hasta el punto de considerar que Bing realiza búsquedas “honestas” en contraposición a lo que supuestamente haría Google.

Durante estas semanas Google no se ha pronunciado sobre esa campaña “Scroogled”, pero en el marco de las conferencias SXSW, un asistente virtual preguntó por Twitter a Amit Singhal, jefe de búsqueda de Google, que qué opinaba Google sobre esta campaña de Bing, a lo que respondió que Google se centra en sus usuarios y que “otros deberían centrarse en hacer mejores productos“.

Esta sería una respuesta elegante por parte de Google a los ataques de Microsoft en formato publicidad agresiva.

Puedes leer más sobre estas conferencias SXSW aquí.

Así, en un comunicado, la Comisión Nacional de Informática y Libertades (CNIL)  de nuestra vecina Francia exponía “Las autoridades europeas han decidido proseguir sus investigaciones en estrecha colaboración y tomar todas las medidas necesarias conforme a los poderes de los que disponen”.

El problema se remonta a octubre del mes pasado, fecha en la que el Grupo de Trabajo del 29, formado por representantes de cada autoridad nacional de control, alertaba de los problemas de privacidad existentes en la nueva política de confidencialidad de Google a quien habían enviado sus recomendaciones para  una solución tales como que facilitase mayor información y menos confusa a sus usuarios sobre los datos que les recaban, para qué y el tiempo máximo de su  conversación.

En efecto, Google había simplificado su política de confidencialidad, fusionando hasta  60 reglas de uso e información sobre sus distintos servicios.

No obstante y a la fecha, Google no ha dado respuesta escrita ni menos práctica a esas peticiones, de ahí que se haya creado un grupo exclusivamente para coordinar esas medidas de represión a adoptar frente al gigante y que se esperan para antes del próximo verano.

El TJUE debía examinar los interrogantes que la Audiencia Nacional le había traslado hacía un año a propósito de un recurso interpuesto por Google contra una resolución de la Agencia Española de Protección de Datos que le obligaba a retirar una determinada información de sus resultados de búsqueda al contener los datos personales de una persona.  Así, la Audiencia Nacional solicitaba al TJUE que se pronunciara sobre qué alcance debían tener los derechos de cancelación y oposición; pues cuando un ciudadano solicitaba al buscador que dejara de mostrar información sobre su persona publicada en terceras páginas en base a lo establecido en la normativa  de protección de datos, Google se limitaba a responder que dado que su sede se encuentra en California, la única legislación que le es aplicable es la estadounidense.

Así, lo realmente importante de este caso es que aclarará como se ha de aplicar la normativa española y europea en materia de protección de datos a las grandes empresas  que como Google tienen su sede en países extracomunitarios, y que por lo general, suelen evitar someterse a la legislación europea.

Sin embargo, para conocer la decisión del TJUE en este asunto todavía habrá que esperar entre seis y nueve meses. No obstante, se prevé que para mediados de junio de este año el abogado general del TJUE publique sus conclusiones que, aunque no son vinculantes, suelen ser tenidas en consideración.

Parece ser que durante esta semana un hacker accedió a su sistema y tuvo acceso a la información de soporte que almacenan tres de sus clientes. Según indican es posible que el intruso descargara direcciones de correo electrónico de los usuarios que contactaron con algunos que de estos tres servicios de atención al cliente, pero aseguran que ya han tomado medidas para mejorar su sistema de seguridad, pidiendo disculpas a sus clientes.

Twitter, por su parte, está notificando a todos sus usuarios este fallo de seguridad por si pudieran estar afectados. Entre los datos sustraídos por el hacker figuran los correos electrónicos de aquellas personas que contactaron con el soporte al usuario, número de teléfono o nombre de usuario; a su vez, informan que las contraseñas están a salvo y que por el momento no hará falta que se tomen medidas en este sentido.

Fuente del aviso.

Por su parte, BT ha remitido un documento a Bruselas señalando los numerosos problemas que traerán para las empresas del sector las restricciones en la materia. En especial, resaltan que conceptos como el “Privacy by Design”, tener presente la privacidad en el diseño de las aplicaciones y dispositivos tecnológicos, restringe y entorpece la libertad para utilizar los datos de los clientes bajo la premisa de “pedir permiso primero”. Por ello BT propone que la finalidad en el tratamiento de datos no sea tan detallada, pues con un concepto más amplio se “permitirían diseños innovadores, que se adaptaran a la tecnología y a la variedad de circunstancias”. Además, creen que derechos como el de acceso a la información “no son razonablemente prácticos”.

Por su parte, la Comisión ha manifestado en boca de diversos funcionarios y eurodiputados su preocupación ante lo que ven como un intento de los Estados Unidos de América de modificar las leyes europeas.

Ante esta situación, las autoridades europeas han propuesto la creación de un grupo de trabajo, dirigido por la CNiL, para coordinar un plan de acción que obligue a la empresa de Mountain View al cumplimiento de las normativas europeas de protección de datos, que ya fue presentado a finales del mes pasado, será ratificado a finales de febrero y que pretenden dé sus frutos para antes del verano.

Recordemos que el informe de la CNiL del pasado 16 de octubre de 2012 concluye que la información facilitada por Google no es suficiente para asegurar que respeta los principios de la Directiva de Protección de Datos Personales, principalmente en lo relativo a los principios de la calidad de los datos y al derecho de Acceso. En particular, las críticas venían referidas a que Google:

1. No proporciona información suficiente a sus usuarios acerca del tratamiento de sus datos: actualmente un usuario de un concreto servicio de Google no puede determinar los datos personales que son utilizados para ese servicio, y la finalidad para la que dichos datos son procesados.
2. No permite a los usuarios controlar la combinación de datos que realiza Google entre sus muchos servicios, que abarcan facetas tan diferentes como las aplicaciones de telefonía móvil en Android, las búsquedas en Google, el calendario en Calendar o las interacciones en Google+.
3. No especifica los períodos de retención de los datos de carácter personal que procesa.