Abanlex Abogados

Google Analytics es un servicio gratuito de Google, de uso muy extendido, que permite conocer cómo interactúa un usuario con una página web determinada a través de la localización y rastreo de la dirección IP del mismo. El motivo del registro de la dirección IP son fines estadísticos, obtención de informes de usuarios, análisis de navegación y seguimiento de datos de comercio electrónico en relación con la publicidad para analizar su rendimiento.

Las aguas ya estaban revueltas debido al conflicto del servicio Street View de Google con el ejecutivo alemán y parece que la tempestad no va a amainar. La Autoridad de Protección de Datos Alemana (APDA) ha estado manteniendo conversaciones con Google desde mediados de 2009 con el objeto de solventar las controversias suscitadas por este servicio respecto a la protección de datos, ya que el recabo de estas direcciones, bajo el criterio de APDA, supone una vulneración de la privacidad. El propósito de estas conversaciones era incluir una alternativa que ocultase parcialmente las direcciones IP o bloquear el funcionamiento del servicio desde el navegador, aunque existía el impedimento de que no todos los navegadores web lo permitían. Estas negociaciones no llegaron a buen puerto y en enero de 2011 se hizo pública la intención del ejecutivo alemán de multar a los administradores que hiciesen uso de Google Analytics en sus respectivas webs con cantidades que rondaban los 50.000 €.

La cuestión subyacente radica en que los administradores web de las páginas son los responsables del tratamiento de datos de los usuarios que acceden a su página web y Google Analytics cumple la función de encargado del tratamiento. La Autoridad de Protección de Datos de Hamburgo (APDH) ha creado una guía orientativa para facilitar a los administradores web sitos en Hamburgo el cumplimiento de estas obligaciones.

En concreto, el 15 de septiembre de 2011, APDH publicó una nota informativa explicando que Google había incrementado notablemente el cumplimiento de las obligaciones de protección de datos exigidas para los operadores de sitios web con sede en Hamburgo:

• Los usuarios de los principales navegadores web pueden oponerse a la recogida de sus datos utilizando el mecanismo “Google Analytics Opt-out Browser Add-on”, basado, según la definición oficial de Google, en un complemento que se comunica con el código JavaScript de Google Analytics para indicar que la información recopilada sobre la visita al sitio web no se envía a este programa.
• Los administradores de las páginas web podrán anonimizar las direcciones IP recogidas eliminando los últimos dígitos de la misma.
• Firma de un contrato de tratamiento de datos entre los administradores de las páginas web y la APDH, en cumplimiento con la normativa de protección de datos alemana. Este contrato podrá basarse en los modelos aprobados por la APDH y deberá incluir las obligaciones del responsable del tratamiento conforme a la normativa vigente. Asimismo, será necesario concretar la utilización de Google Analytics en la política de privacidad de la página web y ofrecer a los usuarios de la misma la posibilidad de oponerse utilizando el complemento “Google Analytics Opt-out Browser Add-on”, anteriormente citado.
• La eliminación permanente de toda la información almacenada durante el uso de la versión anterior de Google Analytics que no cumpla la normativa de protección de datos, el borrado de los perfiles antiguos y la creación de nuevos perfiles de Google Analytics.

Por último, la APDH menciona que en el futuro pueden surgir nuevas obligaciones respecto a esta materia, debido a la implementación del nuevo protocolo de internet IPv6 y las consecuencias de la normativa europea reguladora de las cookies.

Imagen: Darkside

Las soluciones cloud computing ofrecen seguridad y ahorro de costes

La implantación de soluciones cloud computing ofrece servicios de tecnologías de la información a un menor coste (alrededor de un 30% de ahorro estimado) y mayor seguridad, gracias a nuevos recursos tecnológicos como la virtualización de los CPDs y datacenters.

El pasado 5 de Mayo de 2011, abogados de Abanlex asistieron al evento One Cisco, One Cloud, organizado por Cisco Systems en Madrid. A lo largo de esta jornada, una de las más importantes de España en cuanto a cloud computing, se analizó el presente, pasado y futuro del servicio de computación en la nube o a través de Internet. El crecimiento de esta nueva tecnología es, sin duda, exponencial.

La concepción tradicional y más extendida del cloud es la de una estructura horizontal en la que se engloban todos los servicios. Sin embargo, una comprensión profunda la nube permite ver su verdadera estructura:  la nube está formada por un complejo entramado de “mini-clouds” que interactúan entre sí (ej. conjunto de sensores en los coches que se comunican y comparten información unos con otros), y gestionan sectores clasificados temáticamente. De esta manera, se genera una cloud más grande, con una estructura vertical, además de horizontal.

Existen varios tipos de nubes según el contenido que alberguen o su función. Durante los primeros años de implantación de soluciones cloud predominaron las “nubes privadas”, las cuales ofrecían una mayor precisión respecto al lugar donde se almacenaban los datos o se ejecutaban las aplicaciones. El siguiente paso de la evolución del sistema cloud, y en el que nos encontramos actualmente, es la implantación a gran escala de las “nubes híbridas” en las que se combinan características de la “nube pública” y la “nube privada”. Y sobre las perspectivas de futuro, estas parecen claras: la consolidación de las “nubes públicas”, donde el almacenamiento de datos en los servidores es totalmente compartido con otros usuarios.

Este proceso de transición de nube privada a pública encuentra su principal pilar en la búsqueda de una mayor seguridad. Pero no depende de si ésta es mayor o menor en la “nube”, sino del concepto que se tenga sobre aquella.

¿En qué sentido cambiará el concepto de seguridad? Según señalaron los ponentes propuestos por Cysco System, el actual “self-defending” pasará a ser una protección sin fronteras en la que se delegará la responsabilidad sobre la seguridad del contenido en la nube a las grandes corporaciones, con mayores recursos económicos y técnicos que el usuario.

Imagen cedidad por BasicGov (Flickr) bajo licencia Atribución-CompartirIgual 2.0 Genérica (CC BY-SA 2.0)

El próximo día 25 de mayo de 2011 finaliza el plazo para cumplir la obligación de cada país miembro de la UE de transponer a su normativa interna los preceptos de la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre, por la que se establecen a nivel europeo los usos permitidos de ‘cookies’, pequeños documentos de texto que, alojados en el dispositivo empleado por el usuario al entrar en un sitio web que las emplee, recogen información sobre su navegación. En particular, el artículo 2.5 modifica el 5.3 de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) de la siguiente forma:

“Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario”.

En España, la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico exige en su artículo 22.2 que “cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de datos mediante un procedimiento sencillo y gratuito”. Es decir, hasta este mes solo ha sido obligatorio informar al usuario o navegante sobre el alojamiento de cookies al entrar en nuestro sitio web, y sobre cómo pueden evitarse; sin embargo, desde que se transponga la Directiva 2009/136/CE a nuestro ordenamiento jurídico, deberá informarse y obtener el consentimiento previo del usuario para la activación de la cookie.

El considerando 66 de la Directiva explica el sentido de este nuevo precepto:

“puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrezca el derecho de negativa debe ser el más sencillo posible para el usuario. Las excepciones a la obligación de facilitar información y proponer el derecho de negativa deben limitarse a aquellas situaciones en las que el almacenamiento técnico o el acceso sean estrictamente necesarios con el fin legítimo de permitir el uso de un servicio específico solicitado específicamente por el abonado o usuario. Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación. La aplicación de estos requisitos debe ganar en eficacia gracias a las competencias reforzadas concedidas a las autoridades nacionales”.

María Teresa Nevado

Fotografía compartida por Zsuzsanna Kilian (Budapest, Hungary)

La aplicación de la normativa española vigente en materia de protección de datos de carácter personal es compleja. Esto se hace patente fundamentalmente en el caso de los portales de empleo o sitios web de búsqueda de trabajo, y en otros portales o sitios web en que se ponga en contacto a clientes o posibles clientes y a prestadores de servicios. En estos casos, la normativa sobre protección de datos se manifiesta en toda su extensión, más aún si en la relación se producen también transferencias internacionales de datos.

Tomando como ejemplo el de un portal de empleo, a cuyo titular llamaremos “la Empresa”, en dicho sitio web confluye la demanda de empleo de candidatos y la oferta de empleo de oferentes (personas físicas, empresas o administraciones). ¿De quién es la responsabilidad en materia de protección de datos?

1. La Empresa, titular del sitio web e intermediadora entre candidatos y oferentes de empleo, es responsable del fichero de usuarios de su sitio web, incluidos navegantes que no se llegan a registrar, y debe informar a todos ellos del tratamiento de sus datos personales (IP, correo electrónico para el envío de newsletter, datos de registro…) y recabar el consentimiento informado de estos previamente al tratamiento de sus datos personales.
2. La empresa oferente de empleo, registrada para ello en el sitio web, es responsable del fichero de candidatos cuyos datos sean cedidos por la Empresa titular del sitio, y de los datos que dichos candidatos hayan incluido en el registro en su oferta concreta.
3. Del tratamiento de estos últimos datos, introducidos por el candidato para una oferta de empleo concreta, es responsable la empresa oferente, y es encargado de tratamiento la Empresa titular del sitio web, por lo que en los términos dirigidos a la empresa oferente debe incluirse expresamente lo exigido por el artículo 12 LOPD en relación con el encargo de tratamiento: que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas; y las medidas de seguridad que el encargado del tratamiento estará obligado a implementar.

En una misma relación jurídica, y en relación con los mismos datos personales, existen por tanto dos responsables de fichero, una cesión de datos y un encargo de tratamiento. La Empresa titular del sitio web o portal es responsable de fichero, cedente y encargada de tratamiento de los datos personales de una misma persona física. La empresa oferente de empleo es responsable de fichero y cesionaria de dichos datos.

Al haber dos responsables de fichero, cada uno está obligado a notificar su fichero de tratamiento de los datos de los usuarios registrados, recogido en su Documento de Seguridad, y debe dar información a estos del tratamiento, finalidad del mismo, identidad del responsable, posibilidad de ejercicio de sus derechos ARCO (acceso, rectificación, cancelación y oposición al tratamiento) y medio de solicitar dicho ejercicio.

No deja de ser compleja, pero es una relación completa, nuestra normativa no deja nada al azar. La clave, como en todo lo relativo a protección de datos de carácter personal, es informar adecuadamente y recabar el consentimiento informado de la persona física al tratamiento y comunicación de sus datos personales, y reconocer quién es el responsable de tratamiento, que puede ser más de un agente en relación con los mismos datos, como en el extendido caso de los portales de empleo.

Imagen cedida por Simona Dumitru (Oxford, Oxfordshire, United Kingdom)

Invitados por Enrique O’Connor, abogado y CEO en rentages.es, participamos en el programa de radio Tus dudas legales de Onda Madrid para dar respuesta a todas las preguntas que los oyentes nos formulen sobre Protección de Datos.

A través del sitio web www.TusDudasLegales.com cualquier ciudadano puede formular al abogado invitado de Abanlex las dudas legales que desee; éstas serán tratadas y resueltas en Onda Madrid el viernes 11 de marzo de 2011 entre las 10:30h y las 11:00h. Mediante este sencillo sistema de pregunta-respuesta, Onda Madrid y Abanlex ponen a disposición de los madrileños un servicio gratuito por un día de asesoramiento jurídico especializado en materia de protección de datos.

Tus dudas legales es un programa joven y dinámico, tutelado por Enrique O’Connor y bajo el patrocinio de rentages.es, que acerca la realidad jurídica al ciudadano.