El 26 de mayo el llamado “Grupo sobre protección de datos del artículo 29” (órgano consultivo creado en virtud del artículo 29 Directiva 95/46/CE e integrado básicamente por representantes de la Comisión y de las agencias nacionales de protección de datos de los Estados de la UE) hizo público un comunicado de prensa bajo el título “… Google, Microsoft y Yahoo! no cumplen con las normas sobre protección de datos”. El comunicado va unido a las cartas “enviadas” en esa misma fecha a los responsables de esos buscadores, así como a la Comisión y a la Federal Trade Commission de EEUU en relación con este asunto. En estos textos, el Grupo, tras reconocer que los buscadores han hecho ciertos esfuerzos en la dirección correcta, pone de relieve que tales esfuerzos no son suficientes para satisfacer las exigencias que de la legislación de la UE (básicamente la Directiva 95/46/CE sobre protección de datos) derivan para los buscadores de Internet, remitiéndose en particular a su interesante Dictamen 1/2008 sobre cuestiones de protección de datos relacionadas con motores de búsqueda, emitido el 4 de abril de 2008. En realidad, el fondo del asunto reviste una indudable complejidad técnica y jurídica y tiene gran trascendencia en el desarrollo y funcionamiento de Internet, lo que tal vez condicione las formas empleadas, que parecen basarse en una “aplicación blanda” (o “no aplicación temporal”) de la ley por parte de las autoridades (nacionales) de protección de datos de la UE (o al menos de la gran mayoría de ellas).
Punto de partida obligado es el mencionado Dictamen 1/2008, que pese a su indudable valor –algo común a los diversos dictámenes y documentos de trabajo elaborados por el Grupo del artículo 29- quizás adoleciera de una excesiva falta de concreción en algunos puntos con respecto a las obligaciones que pretendía detallar, lo que no obstante puede explicarse por el carácter consultivo de este órgano y la naturaleza y objeto del documento. El Dictamen parte de la distinción clave entre la posición de los buscadores como proveedores de contenidos y como responsables del tratamiento de los datos de sus usuarios. Las cartas de 26 de mayo de 2010 se centran en este segundo grupo de cuestiones. En todo caso, la posición de los buscadores como intermediarios y eventualmente como proveedores de contenidos reviste también gran trascendencia –como refleja la práctica de la AEPD-, en la medida en que los buscadores de Internet son en la actualidad la principal vía de acceso a información (también sobre personas). En este contexto, el que los buscadores puedan facilitar en la práctica el acceso a información que ya no está disponible en Internet constituye un riesgo para el que tal vez no proporciona una respuesta suficiente la conclusión número 13 del Dictamen 1/2008, según la cual “Cuando los proveedores de motores de búsqueda cuentan con una memoria oculta en la que los datos personales están disponibles durante mucho más tiempo que en la publicación original, deben respetar el derecho de los interesados a que se retiren los datos excesivos o incorrectos de su memoria oculta”.
Como decía, las cartas de 26 de mayo de 2010 van referidas a la posición de los motores de búsqueda como responsables del tratamiento de los datos de sus usuarios, es decir, típicamente de quienes acceden al buscador e introducen términos de búsqueda en el mismo, incluso cuando no se trata de usuarios que previamente se hayan registrado en el sitio correspondiente como ocurre ahora con gran frecuencia entre quienes únicamente utilizan los servicios de búsqueda que ofrecen esos prestadores de servicios. En concreto, como detalla el Anexo I del mencionado Dictamen 1/2008 los datos que tratan los buscadores y a los que se hace referencia son informaciones como la IP del usuario, la consulta introducida, su fecha y hora, información sobre las cookies –o chivatos- introducidas por el buscador en su ordenador, la URL desde la que se introduce la búsqueda, el navegador y su configuración –por ejemplo, de idioma- del usuario o el sistema operativo que utiliza en su ordenador. No cabe duda de que la información a la que se hace referencia puede permitir conocer las preferencias, intereses, actividades…. de los usuarios de los buscadores.
Las principales carencias de las prácticas de estos buscadores en las que insiste el Grupo del artículo 29, pese a detectar tímidos avances, son, por una parte, que los periodos de conservación de los datos por parte de los buscadores continúan resultando excesivos, pues superan normalmente los seis meses, plazo más allá del cual el Grupo consideró en su Dictamen 1/2008 que no existe en general razón para la conservación tras valorar las finalidades y razones para el tratamiento invocadas por los buscadores, a quienes precisamente no les resultan aplicables los deberes de conservación de datos establecidos en la Directiva 2006/24. Por otra parte, se destaca el riesgo de incumplimiento de las exigencias legales derivado de que las técnicas utilizadas para suprimir o hacer anónimos los datos por parte de los buscadores suscitan dudas, en la medida en que no parecen asegurar siempre que la supresión o la conversión en anónimos tengan carácter irreversible; por ello, reclama un mayor control y transparencia de las técnicas para hacer anónimos los datos y recomienda la implantación de sistemas externos e independientes de auditoría que permitan verificar la eficacia de las técnicas empleadas.
Teniendo en cuenta el riesgo para la intimidad de los usuarios, la creciente preocupación social por este tema e incluso el coste asociado al tratamiento de los datos (al menos según se desprende de las quejas de los operadores obligados por la Directiva 2006/24), llama la atención en la práctica negocial la ausencia del recurso a la adopción de prácticas de protección de datos especialmente respetuosas con los intereses de los usuarios como factor de competencia en el mercado. Puede que tenga que ver con que, como pone de relieve el Grupo del artículo 29, uno sólo de los buscadores controla en algún Estado miembro más del 95 por ciento de cuota de mercado, con que no es posible ofrecer servicios de la misma calidad sin llevar a cabo ese tipo de tratamiento (algo que el Dictamen 1/2008 parece excluir), con que los usuarios no son conscientes de los riesgos para su intimidad o con que no los perciben o consideran como graves.
Como decía, las cartas de 26 de mayo de 2010 van referidas a la posición de los motores de búsqueda como responsables del tratamiento de los datos de sus usuarios, es decir, típicamente de quienes acceden al buscador e introducen términos de búsqueda en el mismo, incluso cuando no se trata de usuarios que previamente se hayan registrado en el sitio correspondiente como ocurre ahora con gran frecuencia entre quienes únicamente utilizan los servicios de búsqueda que ofrecen esos prestadores de servicios. En concreto, como detalla el Anexo I del mencionado Dictamen 1/2008 los datos que tratan los buscadores y a los que se hace referencia son informaciones como la IP del usuario, la consulta introducida, su fecha y hora, información sobre las cookies –o chivatos- introducidas por el buscador en su ordenador, la URL desde la que se introduce la búsqueda, el navegador y su configuración –por ejemplo, de idioma- del usuario o el sistema operativo que utiliza en su ordenador. No cabe duda de que la información a la que se hace referencia puede permitir conocer las preferencias, intereses, actividades…. de los usuarios de los buscadores.
Las principales carencias de las prácticas de estos buscadores en las que insiste el Grupo del artículo 29, pese a detectar tímidos avances, son, por una parte, que los periodos de conservación de los datos por parte de los buscadores continúan resultando excesivos, pues superan normalmente los seis meses, plazo más allá del cual el Grupo consideró en su Dictamen 1/2008 que no existe en general razón para la conservación tras valorar las finalidades y razones para el tratamiento invocadas por los buscadores, a quienes precisamente no les resultan aplicables los deberes de conservación de datos establecidos en la Directiva 2006/24. Por otra parte, se destaca el riesgo de incumplimiento de las exigencias legales derivado de que las técnicas utilizadas para suprimir o hacer anónimos los datos por parte de los buscadores suscitan dudas, en la medida en que no parecen asegurar siempre que la supresión o la conversión en anónimos tengan carácter irreversible; por ello, reclama un mayor control y transparencia de las técnicas para hacer anónimos los datos y recomienda la implantación de sistemas externos e independientes de auditoría que permitan verificar la eficacia de las técnicas empleadas.
Teniendo en cuenta el riesgo para la intimidad de los usuarios, la creciente preocupación social por este tema e incluso el coste asociado al tratamiento de los datos (al menos según se desprende de las quejas de los operadores obligados por la Directiva 2006/24), llama la atención en la práctica negocial la ausencia del recurso a la adopción de prácticas de protección de datos especialmente respetuosas con los intereses de los usuarios como factor de competencia en el mercado. Puede que tenga que ver con que, como pone de relieve el Grupo del artículo 29, uno sólo de los buscadores controla en algún Estado miembro más del 95 por ciento de cuota de mercado, con que no es posible ofrecer servicios de la misma calidad sin llevar a cabo ese tipo de tratamiento (algo que el Dictamen 1/2008 parece excluir), con que los usuarios no son conscientes de los riesgos para su intimidad o con que no los perciben o consideran como graves.
Por último, aunque con respecto a los tres buscadores objeto de las cartas parece no resultar controvertido que por su nivel de actividad en la UE les es exigible (al menos en relación con parte de sus actividades) el cumplimiento de la legislación europea sobre protección de datos, es éste un aspecto de indudable trascendencia y complejidad. Así se refleja en la propia actitud del Grupo, que en las cartas pone de relieve las implicaciones internacionales del asunto y hace partícipe de su opinión a la Federal Trade Comisión. Como los estándares de protección de datos a los que responde la normativa de la UE son en general más elevados que los existentes en otros países, precisar su ámbito de aplicación con respecto a los operadores establecidos fuera de la UE resulta de gran importancia. En la aplicación del artículo 4 Directiva 95/46/CE (art. 1 LOPD) se ha impuesto un criterio que conduce a dotar de un ámbito de aplicación espacial imperativa muy amplio a estas normas, que, por ejemplo, se extiende al tratamiento de datos llevado a cabo por cualquier prestador de servicios, con independencia del lugar del mundo en el que se encuentra establecido, a partir de la utilización de cookies en el ordenador de un usuario situado en la UE. En todo caso, incluso con esa interpretación amplia, hay motivos para sostener que, en particular cuando el prestador no hace uso de dispositivos de ese tipo, sino que se limita, por ejemplo, a tratar los datos que obtiene mediante la utilización normal de sus servicios por parte del internauta quien accede al sitio web en el que se presta el servicio el criterio de que el servicio vaya dirigido (entre otros países) al territorio de la UE debería ser un factor a considerar (como ya comenté en una entrada anterior).
