Google: Nuestro Gran Hermano

GOOGLE: Nuestro Gran Hermano

La AEPD sancionó recientemente a Google,  su resolución pone de manifiesto detalles relevantes sobre la forma en que Google  obtiene y almacena  la información de los usuarios. Desde Openley  te revelamos información de Google que probablemente desconocías y que te puede  desconcertar.

La Agencia Española de Protección de Datos (AEPD) inició expediente sancionador contra Google INC. domiciliada en California y su filial en España Google Spain SL. Finalmente dictó resolución en fecha 18 de diciembre de 2013 sancionando a Google con multas de 300.000 euros por cada infracción que se le imputó cometida en materia de protección de datos.

Dicha resolución se fundamenta en investigaciones realizadas por la AEPD sobre los datos que recaba Google, quien obtiene información que la mayoría de los usuarios desconoce. Si bien Google realizó alegaciones desmintiendo lo que se le imputaba, llama mucho la atención que no  solicitara la práctica de prueba alguna dirigida a desvirtuar lo alegado por la AEPD.

Las cuestiones más relevantes que pone de manifiesto la AEPD en su resolución  son las que a continuación se señalan.

Negativa de Google a reconocer la aplicación de la normativa española

Google siempre ha negado que esté sujeto a los requisitos de protección de datos de la legislación española y ha manifestado que como empresa estadounidense, utiliza medios para el tratamiento de datos que no están localizados dentro de la jurisdicción española y, por tanto, no entra dentro de los criterios de aplicación territorial que establece la LOPD.  Afirma que, aunque utilice algunos centros de datos en el Espacio Económico Europeo, no hace uso de medios para el tratamiento de datos que están situados en España, y rechaza que puedan considerarse como tales los equipos pertenecientes a usuarios.

Según la AEPD resulta de aplicación la  normativa española  debido a que existe un establecimiento (Google Spain SL) implicado en actividades que entrañan el tratamiento de datos personales relativos a personas identificadas o identificables, que se recaban y se tratan en territorio español.  Incluso en los supuestos en los que el servicio no se financia con la publicidad, la entidad Google Inc. recurre a medios situados en el territorio español con el fin de captar información en nuestro territorio, utilizando los equipos de los usuarios residentes en España para almacenar información de forma local a través de cookies y otros medios, es decir que en todo caso le resulta aplicable la normativa española porque obtiene información de dispositivos (ordenadores, portátiles, móviles, etc) de usuarios españoles.

Inexistencia de un servicio único de Google

Google señala la existencia de un servicio único con diferentes funcionalidades, quiere presentarlo como una experiencia unificada, pero realmente no se trata de un servicio que pueda iniciarse en un solo acto y que permita el acceso a las funcionalidades a las que se refiere Google, sino de varios  productos o servicios disponibles, incluso, en distintos dominios.

Esta falta de unificación se manifiesta en la dispersión de medios establecidos  por Google para que el usuario ejercite sus derechos y demuestra que los productos y servicios son distintos. Cada servicio tiene un modo de ejercer tales derechos, en particular los servicios de publicidad, Youtube, Buscador, etc.

La información que ofrece Google se encuentra dispersa en multitud de medios o documentos. La política de privacidad, sus matizaciones, excepciones, y la información para ejercer los derechos en materia de protección de datos personales se extiende sobre decenas/cientos de páginas web. Llama la atención que parte de la información relativa a la privacidad no se encuentra disponible en idioma español, sino en inglés.

La AEPD resalta la  dificultad para poder ejercer los  derechos ARCO (acceso, rectificación, cancelación y oposición) ante Google.  Utilizando alguno de los cauces establecidos el usuario no puede acceder a todos sus datos, ni fijar todas las opciones para compartir información, debido a que no hay un único punto dónde ejercer los derechos. El usuario tiene que acceder a todos ellos, y conocerlos, para hacer efectivos sus derechos, porque cada uno le permite ejecutar una opción parcial.

La información que otorga Google  es una  información confusa, difícil de acceder, no habilitada para todos los usuarios y opaca.

Para la AEPD Google en ningún caso informa de manera clara y sistemática el tratamiento de datos de carácter personal, sus finalidades, no delimita la naturaleza de la información sometida a tratamiento y su posterior utilización. Cuando hace referencia a estas cuestiones emplea una terminología imprecisa que impide a los afectados conocer el sentido y significado real de sus indicaciones.

Respecto a la redacción de su Política de Privacidad cabe destacar la utilización de expresiones genéricas y poco claras, además incluye multitud de enlaces que han de manejarse para conocer toda la política en su totalidad. Hace referencia a una serie de finalidades imprecisas  y no especifica  los servicios y datos personales que se asocian a dichas finalidades. Tampoco se detalla cómo se identifica, recogen o almacenan datos especialmente protegidos, ni la forma en que se recabará el consentimiento para compartir este tipo de datos.

 Además, se reserva el derecho a no atender las solicitudes que supongan un esfuerzo técnico desproporcionado. Resulta reprochable que una entidad como Google que tiene medios técnicos y económicos  no atienda  a la petición de un usuario, por el mero hecho de considerar que a la empresa le va a suponer un esfuerzo técnico.

Otra cuestión que también llama la atención es el propósito de utilizar la información para su actividad futura, para la mejora de servicios actuales o el desarrollo de nuevos servicios cuyas características y alcance se desconocen. Esto resulta cuestionable debido a que si el servicio no está todavía previsto, el usuario no puede otorgar un consentimiento válido porque desconoce exactamente para qué finalidades se van a utilizar sus datos.

La AEPD concluye que la política de privacidad es inaccesible para cualquier usuario, con independencia de su cualificación y  que Google recoge datos personales de forma indiscriminada, incluso para posibles finalidades que aun no ha previsto, y ello supone entender vulnerado el derecho a la protección de datos de carácter personal.

Usuarios autenticados, no autenticados y pasivos

Según la AEPD existen tres tipos de usuarios de Google: Autenticados, no autenticados y pasivos. Google únicamente reconoce la existencia de los autenticados y no autenticados y alega que únicamente resulta aplicable la LOPD a los primeros.

El usuario autenticado: Es el  que utiliza los productos de Google iniciando previamente una sesión en una sus cuentas Google en las que se ha registrado.

El usuario no autenticado: Utiliza los productos o servicios de Google sin iniciar una sesión como usuario registrado, cuando esto no es necesario según la configuración del producto o servicio,  por ejemplo el Buscador Google.

El usuario pasivo: Según la AEPD  es aquel usuario que no es consciente de que está utilizando un producto ni servicio de Google, pero igualmente se recaban datos personales relativos al mismo. Por ejemplo el botón +1, Google Analytics, AddWords, DoubleClick, el mapa incluido en una página web de terceros, traductor de sitios web o de un calendario en una misma página. En estos casos, el usuario accede a los servicios de Google cuando son utilizados por la página web de un tercero.

Llama la atención el caso de los usuarios pasivos,  en los que Google obtiene información de los usuarios que visitan una página web (que no es de Google) sin que el propio titular de la página que decidió, por ejemplo,  incluir el mapa de Google, sea consciente de ello, y sin que el usuario que visita la página sea informado ni otorgue su consentimiento. Por lo tanto,  Google obtiene información de los usuarios aunque eviten utilizar sus productos, ya que la gran mayoría de páginas web suelen utilizar el mapa, el traductor o botón +1, por ello no resulta descabellado decir que Google se encuentra en casi todos los lugares que visitamos en Internet.

Identificación del usuario y cookies

Google utiliza la combinación de datos para identificar a un usuario, de esta forma si un usuario ha iniciado una sesión en cualquier producto de Google y accede seguidamente a otro producto, se remite la información del usuario a este nuevo producto, iniciando la sesión automáticamente y sin pedir confirmación al usuario.

La combinación de datos se lleva a cabo independientemente de si actúa como autenticado, no autenticado o pasivo, debido a que Google dispone de varios parámetros que pueden identificar al usuario, como son: la cuenta del usuario, identificadores unívocos de cookies, direcciones IP, identificadores de dispositivo, perfiles de actividad en la web e incluso información geográfica, que permiten identificar a un mismo usuario entre diferentes roles. Resulta indignante que  si  decidimos navegar como no autenticados para no ser identificados, Google igualmente logre identificarnos.

Google comparte entre sus distintos productos las mismas  cookies, por ejemplo alguna de las cookies específicas  asociadas a Youtube es compartida con otros productos, como puede ser Gmail.

Resulta imposible librarse de la cookies de Google, aunque el usuario configure su navegador para impedir la instalación de cookies igualmente se almacenan de forma temporal en el propio navegador y se retransmiten en las peticiones a los nuevos productos, enlazando la actividad del usuario a través de los productos de Google.

Según la AEPD las cookies utilizan un identificador unívoco y permiten a Google identificar al usuario durante su interacción con sus productos, por ello si diferentes personas emplean el mismo dispositivo con distinto usuario, las cookies les asignarán distinto identificador y permitirán distinguir su actividad dentro del mismo dispositivo. Es más, a través de la información específica del dispositivo (IP, huella digital, localización geográfica) se podría realizar una asociación entre ambos usuarios.

Google no proporciona herramientas o posibilidad al usuario para eliminar la información personal asociada a la cookie que almacena en los servidores de la compañía.  Además, la empresa establece una fecha de caducidad de los datos de los usuarios que no implica que  se bloqueen o cancelen, debido a que la caducidad se actualiza mientras se utilicen productos de Google, aunque el usuario no utilice el producto al que se asoció la información.

Identificación de móviles

Los dispositivos móviles tampoco se salvan de la intromisión, ya que Google incluye identificadores anónimos en los móviles, cuyo funcionamiento es similar a las cookies, que permiten generar una identificación unívoca de dicho móvil.

Google recoge información relativa, al menos, de la marca, tipo, compañía contratada, IMEI, fecha de última actividad del teléfono (no de los servicios de Google) y cuándo fue iniciado el dispositivo por primera vez. También puede deducir los intereses de los usuarios y datos demográficos a partir de los anuncios en los que hace clic y las aplicaciones que tiene en su dispositivo y, en algún caso, la edad y el sexo.

Inexistencia de consentimiento informado

La razón fundamental por la que Google vulnera la normativa de protección de datos  es  la deficiencia en la información facilitada  al usuario, lo que impide que pueda considerarse el consentimiento específico e informado, y por lo tanto, válido.

Conclusiones

Resulta llamativa y desconcertante la forma en que Google almacena información e identifica a los usuarios, si bien la empresa negó los hechos que  se le imputaron, no presentó pruebas que demuestren lo contrario, a diferencia de la AEPD que realizó investigaciones previas obteniendo pruebas que le permitieron fundamentar su decisión. 

Esperemos que después de la sanción impuesta Google modifique y establezca  una política de mayor transparencia, encaminada a informar de forma clara cuál es su política de privacidad, qué datos que recoge y con qué finalidad, debido a que esa falta de transparencia resulta contraria a la normativa legal de muchos Estados.

Google con sus  productos busca satisfacer muchas necesidades de sus usuarios, pero se olvida de satisfacer otros aspectos también importantes para elloscomo la transparencia en materia de protección de datos.  Su actual política lo único que  está generando en los usuarios es la sensación  de  que se menosprecia  su privacidad,  cada vez más usuarios empiezan  a manifestar su enfado a la política actual de Google.  Consideramos que una política de mayor transparencia, con respeto a la normativa de protección de datos en vez de perjudicar a la empresa le beneficiaria, ya que sus usuarios percibirían que la entidad respeta su privacidad y realiza un uso adecuado de sus datos, por lo que estarían más cómodos al utilizar sus productos.

Google  está  obteniendo ingesta cantidad de información personal sin respetar la normativa en materia de protección de datos, por ello si  Google sigue en esa dirección se convertirá en un Gran Hermano,  probablemente  no al nivel descrito por George Owell en su obra, pero quizá en una especie de vigilante omnipresente. En todo caso, siempre dependerá de nosotros como ciudadanos exigir que se respeten nuestros derechos.

A continuación te señalamos información que te podría interesar de los principales productos de Google:

Google Chrome:

En el caso de utilizar el navegador Google Chrome o Firefox, y el usuario quiere compartir su  ubicación geográfica con una página web, incluso que no sea de las anteriores empresas, se transmitirá a Google información de puntos WIFI, estaciones de telefonía móvil, dirección IP, que quedará ligada a la información sobre el usuario que se haya obtenido a través de las cookies.

Gmail

En el caso de Gmail  se almacenan direcciones IP completas de los usuarios autenticados, también se recoge  información sobre la localización geográfica (país), la hora a la que se accedió al servicio por parte del usuario e información técnica sobre que herramientas se utilizaron para acceder al mismo.

Google también lleva a cabo un filtrado del contenido del correo, así como de los ficheros anexos, que se utiliza para insertar publicidad.  Resalta la AEPD que durante la creación de una cuenta de Gmail no se solicita el consentimiento para incluir anuncios personalizados basados en el contenido, ni se informa explícitamente sobre ello, y tampoco hay una opción de configuración en la cuenta para que no se incluyan anuncios personalizados basados en el contenido, siendo necesario acudir a la herramienta Configuración de Anuncios en la que no existe una referencia explícita a configurar el filtrado del contenido de los mensajes para personalizar anuncios.

Botón +1

Para usuarios que no se han registrado como autenticados, estos botones permiten a Google recabar la dirección IP y sitio web visitado.

Según la AEPD la inclusión del botón +1 en una página web que no es de Google ocasiona que se descarguen cookies de Google en el dispositivo de aquellos usuarios de la página de un tercero, que consultan dicha página web, y que se convierten en usuarios pasivos de Google.

Traductor de Sitios Web

Cuando un usuario accede a un sitio web de tercero que utiliza el  Traductor de Sitios Web, Google inserta en el dispositivo del usuario las cookies que se instalan en el dominio google.com, no en el dominio del sitio web que utiliza el traductor, y los datos recabados son administrados, accedidos o gestionados por Google.

Google Analytics

Las cookies de Analytics se instalan en el dispositivo como pertenecientes al titular de la página web, pero la información de dichas cookies es procesado directamente por Google.

 Si se incluye el botón +1  las cookies de Analytics  se instalan directamente en el dominio de Google, siendo procesada  la  información recabada exclusivamente por Google para sus propios servicios. Además las cookies de Google Analytics  transmiten a Google información adicional sobre el navegador, sistema operativo, idioma seleccionado, fecha y hora, aparte de la dirección IP implícita en la propia llamada.

Información  biométrica

En  la Política de Privacidad de Google en el apartado “Cómo utilizamos los datos recogidos” se señala lo siguiente: “Si otros usuarios ya tienen tu dirección de correo electrónico o los datos que sirvan para identificarte, podremos mostrarles los datos de tu perfil público de Google, como, por ejemplo, tu nombre y fotografía”.

Google  emplea tecnología de reconocimiento facial en el servicio Google+ Reconóceme (Find my Face) previo consentimiento del usuario. Si existe dicho consentimiento, la foto se sugerirá a los usuarios que “conocen” al que ha subido la foto, que lo podrán etiquetar en otras fotos”.

Comentar este artículo