Google cambia su política de privacidad

De tener más de 60 políticas de privacidad, ahora Google consolida todas en un solo instrumento.

 

La semana pasada causó mucho alboroto en la comunidad de las TIC’s una noticia sobre Google; el gigante de internet comenzó a notificar a millones de sus usuarios que a partir del 1° de marzo fusionará sus más de 60 políticas de privacidad (correspondientes a igual número de “productos” o servicios que brinda en la web) en una sola.

 

Les comparto un resumen de los puntos más importantes de esta nueva política para que usted tome sus propias decisiones. Al final encontrará una breve opinión sobre estos cambios.

 

Google recolecta datos de dos maneras:

  1. Datos que tu le proporcionas (datos personales).
  2. Datos que obtiene Google a través de la utilización de sus servicios:
    1. Datos sobre el dispositivo
    2. Datos de registro
    3. Datos sobre tu ubicación física
    4. Números exclusivos de la aplicación
    5. Almacenamiento local (HTML 5, memoria caché)
    6. Cookies e identificadores anónimos

 

Las finalidades del tratamiento de datos son, entre otras, las siguientes:

  1. Prestar, mantener, proteger y mejorar los servicios, desarrollar nuevos servicios y velar por la protección de Google y de sus usuarios.
  2. Ofrecer contenido personalizado como, por ejemplo, resultados de búsqueda y anuncios más relevantes.
  3. Usar el nombre que proporciones para tu perfil de Google en todos aquellos servicios para cuya utilización sea necesario disponer de una cuenta de Google.
  4. Sustituir los nombres que hayas asociado con anterioridad a tu cuenta de Google de modo que se te identifique de forma coherente en todos los servicios.
  5. Si te pones en contacto con Google, es posible que guarde un registro de tu comunicación para poder resolver más fácilmente cualquier incidencia que se haya producido.
  6. Podrá utilizar tu dirección de correo electrónico para enviarte información acerca de los servicios de Google, incluyendo información sobre próximos cambios o mejoras.
  7. Utilizará los datos recogidos a través de las cookies y otras tecnologías como, para mejorar la experiencia del usuario y la calidad general de sus servicios.
  8. Cuando te muestre anuncios personalizados, no asociará cookies o identificadores anónimos a datos especialmente protegidos (“datos sensibles” bajo la ley mexicana) como, por ejemplo, los relativos a raza, religión, orientación sexual o salud.
  9. 9.    Podrá combinar la información personal de un servicio con la información de otros servicios de Google, incluida la información personal, para que puedas compartir contenido con usuarios que conozcas más fácilmente, entre otros usos. <= Este es el punto que ha causado más molestia en la comunidad. Si se trata de una fusión de 60 políticas de privacidad, ¿no es obvio que así funcionen las cosas? ¿O prefiere usted leer las 60 políticas y enterarse de exactamente lo mismo?

10. Google lleva a cabo el tratamiento de los datos personales en sus servidores, que están ubicados en distintos países del mundo. Podremos llevar a cabo el tratamiento de tus datos personales en un servidor que no esté ubicado en tu país de residencia.

 

Control sobre la información:

Google le permite a todos sus usuarios cierto grado de control sobre su información y la manera en cómo interactúan los productos en línea, por ejemplo: (a) se puede usar el administrador de preferencias de anuncios, (b) usar el editor para visualizar y ajustar el perfil de Google que se muestra a determinados usuarios, (c) controlar con quién compartes tus datos, (d) configurar el navegador para que bloquee todas las cookies, etc.

 

Google puede indexar todos los datos que compartas de forma pública. Sus servicios ofrecen diferentes opciones para compartir o eliminar el contenido generado por los usuarios.

 

Derechos ARCO:

A pesar de ser una empresa americana, Google reconoce tres de los cuatro derechos ARCO  previstos en nuestra legislación, a saber: el derecho de acceder, rectificar y cancelar los datos. El derecho a oponerse a determinado tratamiento no está previsto por esta política. El ejercicio de los derechos de acceso y rectificación se hará en forma gratuita.

 

Curiosamente aclaran que la destrucción de la información residual puede no operar de forma inmediata, puesto que Google “protege nuestros datos para que no puedan ser eliminados de forma accidental o intencionada”.

 

Transferencia de datos:

A decir de Google, no compartirá datos personales con terceros, salvo:

  1. Medie consentimiento del usuario, especialmente tratándose de “datos sensibles”.
  2. Si tu cuenta e Google es gestionada por un administrador del dominio (Google Apps), dicho administrador y quienes lo asistan podrán, entre otras cosas, tener acceso a los datos de la cuenta, cambiar contraseña y limitar tu capacidad para eliminar o editar los datos o los ajustes de privacidad.
  3. Google encargue a terceros o filiales el tratamiento de los datos, en cuyo caso éstos deberán seguir sus instrucciones y políticas de privacidad, garantizando la confidencialidad y seguridad de los datos.
  4. Se trate de motivos legales, tales como: (a) cumplir cualquier requisito previsto en la legislación o normativa aplicable o atender cualquier requerimiento de un órgano administrativo o judicial, (b) detectar o impedir cualquier fraude o incidencia técnica o de seguridad o hacerles frente de otro modo o (c) proteger los derechos, los bienes o la seguridad de Google, de nuestros usuarios o del público en general en la medida exigida o permitida por la legislación aplicable.

 

Seguridad de los datos:

Google encripta “muchos de sus servicios” mediante el protocolo SSL. Ofrece verificación de dos pasos para acceder a cuentas de Google y una función de navegación segura en Google Chrome. Limita el acceso de los contratistas, los agentes y los empleados de Google a la información personal que deben procesar para Google y se aseguran de que cumplan las estrictas obligaciones de confidencialidad contractuales so pena de sanciones laborales que incluyen el despido.

 

Ámbito de aplicación:

Esta política aplica a todos los servicios ofrecidos por Google Inc. y sus filiales.

 

Reclamaciones:

En caso de que Google reciba una reclamación formal por escrito, se pondrá en contacto con la persona que la haya formulado para hacer un seguimiento de la misma. Trabajará con las autoridades reguladoras competentes, incluyendo las autoridades locales de protección de datos, para resolver cualquier reclamación relacionada con la transferencia de datos de carácter personal que no haya podido solucionar directamente con el usuario.

 

Estimado lector, después de 15 años de ser abogado y profesor especialista en derecho informático, en los cuales me ha tocado revisar, analizar y redactar muchas políticas y términos de uso similares, permítame decirle algo: no me sorprende en nada esta nueva política de privacidad de Google. No me rasgo las vestiduras, ni tampoco me preocupo demasiado. Si quiere auto-flagelarse o imitar a la llorona, le invito a que lea detenidamente el contrato de adhesión que firmó con su banco de confianza cuando solicitó un préstamo o su tarjeta de crédito.

El Buen Fin, La Mala Privacidad

Para la mayoría de las personas tal vez, este fin de semana largo estuvo lleno de compras y las correspondientes deudas por cargos a las tarjetas de crédito. Muchas quejas se publicaron y compartieron en twitter y facebook: que si los descuentos eran muy “bajitos”, que no muchos productos tenían descuento o que si lo único que sobraba por todas partes eran los famosos “meses sin intereses”. Otros todavía más osados llegaron a comparar “el buen fin” con el “Black Friday” americano o el “Unboxing” canadiense.

 

“El Buen Fin” fue promovido ampliamente en todos los medios masivos como “el fin de semana más barato del año”. En su página web textualmente dice: “El Buen Fin busca reactivar la economía fomentando el consumo, pero sobre todo mejorar la calidad de vida de todas las familias mexicanas. Le llamamos el Buen Fin, no sólo por ser un fin de semana de descuentos espectaculares, sino también porque al hacerlo perseguimos un buen fin: queremos usar el poder del consumo para reactivar nuestra economía al mismo tiempo que tú, como consumidor te beneficias comprando todo lo que siempre estás postergando con los mejores precios del año. Esta vez la iniciativa privada, el gobierno federal y los medios de comunicación se solidarizan contigo. ¡Aprovecha el Buen Fin!”

 

Lo cierto es que “el buen fin” casi coincidió misteriosamente con la fecha del “Día de Acción de Gracias” que celebran tanto en Estados Unidos como en Canadá, que tiene su clímax comercial en el llamado “Black Friday”, que ocurre precisamente el próximo viernes. Desconozco si el haber elegido esta fecha haya sido para buscar asociarlo con la idea de los “ofertones” que tienen los americanos el próximo fin de semana, o solamente para aprovechar el puente revolucionario.

 

A pesar de las amargadas quejas de twitteros y facebookeros, las tiendas lucían a reventar este fin de semana. Mucha gente dándole rienda suelta a las tarjetas de crédito, comprando ropa y artículos electrónicos principalmente.

 

Durante una visita a un popular centro comercial del sur de la Ciudad de México, me tocó presenciar varias “solicitudes de información” a todo aquel que pasara cerca del changarrito, kiosko o stand donde se encontrara el “levantador de datos”. Que si para obtener una tarjeta de crédito, una tarjeta de descuentos, entrar a un sorteo o lo que fuere, el pretexto era lo de menos, el objetivo era simple: obtener tanta información del cliente como fuera posible.

 

Me sorprendieron tres cosas de este hecho, las tres igualmente preocupantes y alarmantes: (1) la facilidad con la que la gente proporciona sus datos a cualquiera, sin tomar ninguna precaución; (2) la cantidad de personas que entregan sus datos; y (3) ninguna de las empresas recolectoras de información cumplen con la actual Ley Federal de Protección de Datos Personales en Posesión de Particulares.

 

Toda empresa que recabe datos personales debe proporcionar el Aviso de Privacidad que marca la ley, el cual deberá contener la siguiente información:

 

I.       La identidad y domicilio del responsable que los recaba;

II.      Las finalidades del tratamiento de datos;

III.     Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;

IV.     Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en la Ley;

V.       En su caso, las transferencias de datos que se efectúen, y

VI.     El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en la Ley.

 

Es importante mencionar que el aviso de privacidad debe ponerse a disposición de los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología. En pocas palabras, la ley aplica parejo, tanto en medios físicos (impresos), como sonoros (telemarketing) y electrónicos (internet).

 

Quien incumpla con esta obligación, puede hacerse acreedor a una multa de $5,982 a $9,571,200 pesos (100 a160,000 días de salario mínimo vigente en el Distrito Federal), sanciones que pueden duplicarse si existen infracciones reiteradas a la ley.

 

No permitamos que “un buen fin” se convierta en “una mala privacidad”. Busquemos que las empresas cumplan con la ley, pues llevan decenas de años haciendo de las suyas con nuestros datos personales sin que nadie haga nada al respecto. Es momento de valorar algo que es nuestro y debe ser tratado con suma precaución en cumplimiento de la ley, nuestros datos personales.

 

Publicado originalmente en: http://www.empresasydinero.com/el-buen-fin-la-mala-privacidad/

 

Image: renjith krishnan / FreeDigitalPhotos.net

Riesgos Legales en el Cloud Computing

En el “Cloud Computing” los usuarios pueden acceder a los servicios disponibles en la nube de Internet sin ser expertos en la gestión de los recursos que usan. En este esquema de servicios informáticos la información se almacena de manera permanente en servidores en Internet. Los ejemplos más simples de cómputo en la nube son: GoogleDocs, Dropbox, Picasa, etc. Los usuarios almacenan todo tipo de documentos y archivos (y acceden a ellos) en internet. Desde luego que existen aplicaciones profesionales para un uso corporativo o de negocios de estos servicios informáticos.

 

Con este fenómeno informático surgen muchas dudas y riesgos en el ámbito legal. Algunos de ellos son los siguientes:

 

—        Sub-contrantes (outsourcing en la nube). ¿Bajo qué condiciones el proveedor puede subcontratar partes del servicio de computación en nube? Puede usted estar negociando con “súper empresas”, con una extraordinaria reputación en el mercado… de esas que usted no podría concebir una falla sustancial en el servicio. ¿Pero qué pasa si esas empresas sub-contratan parte de los servicios en la nube? ¿Los sub-contratistas se obligarán con el contratista en los mismos términos y condiciones en que lo hizo con usted? ¿Tendrán los sub-contratistas los mismos niveles de seguridad, confidencialidad y de servicio (SLA) que la empresa con quien usted está contratando?

—        Transferencia y/o Borrado de la información. Durante el noviazgo todo es color de rosa, pero… ¿qué pasa si te divorcias de tu proveedor de cómputo en la nube? ¿Cómo operará la transferencia de tu información… en el plano físico, electrónico o en ambos? ¿Estará tu proveedor actual obligado a colaborar en el proceso de transferencia con otro proveedor? Sabemos que es práctica común en la industria de IT el hacer respaldos de la información. Una vez que termines la relación con tu proveedor, ¿qué garantías tienes de que realmente no se quedó con una copia de tu información? ¿Presenciaste o auditaste el proceso de eliminado electrónico (confiable) de tu información?

—        Ubicación de la información. Una de las características principales de los servicios de cómputo en la nube, es la flexibilidad con que se pueden brindar (“bajo demanda”), diseñando casi un traje a la medida para cada cliente. Parte de esa flexibilidad implica que el proveedor podrá decidir en cualquier momento dónde o en qué servidores podrá estar tratando y almacenando su información. ¿Qué sucede si su proveedor hoy tiene su información en servidores mexicanos, pero mañana decide moverlos a un servidor estadounidense, europeo o asiático? En el terreno legal, un lugar físico significa jurisdicción. Si su información está en un servidor Alemán, probablemente estará sujeta a las leyes alemanas. Autoridades extranjeras podrían no solo auditar, sino eventualmente “confiscar” su información, ante un incumplimiento de leyes locales. El proveedor debe obligarse a no transferir la información a otros países, sin el previo consentimiento del cliente.

—        Protección de datos personales. Este es un tema íntimamente ligado al anterior. Solo como ejemplo, la Unión Europea tiene los más altos estándares en materia de protección de datos personales, mientras los Estados Unidos tiene un modelo sectorial flexible y poco riguroso (comparado con el estándar europeo). México ya cuenta con una Ley Federal de Protección de Datos Personales en Posesión de Particulares. El tratamiento de datos personales en bases de datos es cada vez más sensible y está tremendamente fiscalizado en muchos países. Si usted no adopta las medidas contractuales necesarias, podría toparse con un serio problema no deseado.

—        Pérdida de la información. Ante un escenario trágico de pérdida de su información por negligencia, culpa o dolo de su proveedor, ¿cuáles son los recursos legales que usted dispone? ¿Hay penas convencionales o pago daños y perjuicios? ¿Existe en el contrato algún límite de responsabilidad para el proveedor?

—        Medidas de seguridad de la información. ¿Está encriptada? ¿Libre de virus / spyware? ¿Es segura la transferencia o solo el almacenamiento? ¿Tiene su proveedor un Plan de Recuperación en Caso de Desastre (DRP) o BCP? No olvide obligar a su proveedor a revelarle cualquier incidente de seguridad que involucre sus datos, particularmente aquellos en que su información haya podido ser vulnerada, copiada o alterada por terceros no autorizados.

—        Auditorias. El usuario debe poder verificar que el proveedor está cumpliendo con lo pactado. Pudiere haber auditorias gubernamentales, en las que ambas partes deberán cooperar para salir bien librados de ellas.

 

Para concluir solo me resta agregar que a la fecha no hay ninguna ley –ni a nivel nacional ni internacional- que regule al Cloud Computing, ni las habrá en muchos años seguramente. Esto significa que la única manera de regular este fenómeno es por la vía contractual. Lea bien los contratos de sus proveedores, y asegúrese de que su abogado entienda el tema.

 

Publicado originalmente en: http://www.empresasydinero.com/riesgos-legales-en-el-cloud-computing/

 

Image: scottchan / FreeDigitalPhotos.net