Google sube un escalón en querer saber más de sus usuarios que ellos mismos. Confieso que no puedo dejar de usar sus servicios y que me hacen la vida mucho más fácil pero hay veces que me da un miedo tremendo según qué le tenga que confesar a sus bots. Esto me pasa con su prueba en Beta Google Health (respuesta a un servicio similar de Microsoft, el HealthValut). Vale que se enteren por medio de un mail enviado a un amigo que quiero pasar un fin de semana en París y me “recomienden” un vuelo, un hotel o hasta un coche de alquiler… pero que tengan constancia de mis dolores, ardores o picores me parece más que excesivo. Claramente, se deja bajo responsabilidad del usuario qué datos subir y cuáles no, pero me temo que mucha gente no piensa en posibles consecuencias y se fían de la marca del monstruo americano. Esa delegación de responsabilidad tan habitual en Google, y tan aceptada sin leer, es la que me inquieta.

Google, en palabras de Marissa Mayer, vicepresidenta de búsqueda de producto y experiencia de la compañía, se defiende diciendo que ha puesto «la más firme política de privacidad que se puede construir». Se basa en que los historiales médicos subidos a la herramienta no se podrán acceder desde una búsqueda con el buscador. Faltaría más… Por el contrario, Pam Dixon, director del Foro Mundial de Privacidad, ha señalado que el servicio no cumple con los estándares mínimos establecidos en la Health Insurance Portability and Accountability Act (HIPAA).

Tengo mis serias dudas acerca del máximo nivel de privacidad que asegura Mayer después de leer la Política de Privacidad. Algunas perlas:

Además, para mayor información sobre la privacidad remiten a las Política de Privacidad de Google, cuyo contenido ya nos es conocido, y no precisamente como paradigma del respeto de derechos. Recordemos que el Nuevo Reglamento exige una información clara y entendible para el usuario.

¿El objetivo? El de siempre: PUBLICIDAD. La prueba Beta no lleva publicidad, pero me juego lo que sea a que la versión final sí. El Dr. Google, cuando te recuerde que es la hora de la pastilla, te recomendará también las farmacia donde comprarla, e incluso, las marcas disponibles en el mercado para el mismo medicamento que te han recetado. Asimismo, la base de datos de Google Health te podrá recomendar las clínicas especialistas en tratar síntomas similares al tuyo que hay por tu zona, los médicos especialistas en tus patologías, etc…

El nuevo reglamento, que ya en breve entrará en vigor, ha aumentado la protección de los datos de menores de edad, prohibiendo la solicitud o tratamiento de los datos de menores de 14 años sin el consentimiento de sus padres. Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de edad no puedan realizar sin el permiso paterno, como son los recogidos en el artículo 162.1 del Código Civil. El lenguaje de la información en la recogida debe garantizar que el menor la comprende y dejar constancia de que se ha comprobado su edad y la autenticidad del consentimiento prestado. Lógicamente, cuando el recabo de datos se realiza a través de Internet, es muy dificil tener certeza de la edad. Lo que la Children’s Online Privacy Protection Act establece es, entre otras cosas, que los padres o representantes legales tienen el derecho a conocer qué información sobre sus hijos se ha recabado y el uso y finalidad que se van a dar a la misma. Las autorizaciones otorgadas por los padres o representantes de los menores, deben ser verificables: requiere la realización de un esfuerzo proporcionado por parte de quien recoge los datos para comprobar que detrás del consentimiento está el verdadero padre o tutor del menor, ya sea mediante firma digital, clave que la empresa le otorgue o llamada telefónica.

La política de privacidad de los sitios web ha de estar redactada de forma clara y entendible para menores, explicando con precisión la finalidad de la recogida y los diferentes usos, cesiones y acciones futuras. Por supuesto, también ha de contener claramente los derechos ARCO de los que gozan los menores y sus padres y/o representantes legales.

Me ha sorprendido que Antevenio haya sido multada por este motivo precisamente. Dicen por ahí que una de las preguntas de la prueba escrita que plantea la consultora que le lleva los temas de LOPD, en sus pruebas de selección de personal, es precisamente sobre el consentimiento de los menores en la recogida de datos. Le puede pasar a cualquiera…

El esperado Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), ha sido publicado, en el BOE, el 19 de enero de este año, unos meses después de la fecha prevista. Introduce algunas novedades, entre las que destaca la extensión de su ámbito de aplicación a los datos de carácter personal contenidos en soporte físico, que sean susceptibles de tratamiento.

Su entrada en vigor será el 19 de abril de 2008, tres meses después de su publicación.
El Reglamento establece unos plazos para la implantación de las nuevas medidas a los ficheros que ya existan a la fecha de su entrada en vigor, que van desde un año a partir de la entrada en vigor del Real Decreto hasta los dieciocho meses, en función del tipo de fichero y del nivel de seguridad exigido, ampliados hasta dos años para los ficheros no automatizados que contengan datos considerados de nivel alto. Para los ficheros que hayan sido creados con posterioridad al 19 de abril de 2008, deberán tener implantadas las medidas de seguridad del presente Reglamento desde el momento de su creación.
Se facilita la implantación de medidas de seguridad en las empresas al permitir, para aquellos datos referentes al grado de discapacidad o la simple declaración de la condición de invalidez o discapacidad, aplicar medidas de seguridad de nivel básico, cuando su finalidad consista en cumplir con una obligación legal. Igualmente, para datos especialmente protegidos (ideología, afiliación sindical, religión o creencias, origen racial, salud o vida sexual), cuando únicamente se utilicen para el pago de cuotas como asociados o miembros.
El Reglamento concreta los requisitos necesarios para que se considere válido el consentimiento tácito. Así, establece que se debe conceder un plazo de 30 días para manifestar la negativa al tratamiento y se deben proporcionar los medios para que esta negativa pueda prestarse de forma sencilla y gratuita. No se podrá exigir para el ejercicio de acceso, rectificación, oposición y cancelación, la remisión de carta certificada o la utilización de servicios de tarificación adicional. Tampoco se podrán utilizar estos medios para la comentada revocación del consentimiento.
Las medidas de seguridad de nivel alto dispuestas, para el tratamiento de los ficheros no automatizados, consisten en proteger mediante puertas de acceso, bajo llave o sistema equivalente, los archivadores, armarios o aquellos dispositivos en los que se almacenen los ficheros. Aunque, el Reglamento relaja esta exigencia al permitir “medidas alternativas” para los casos en que no sea posible establecer estas medidas físicas.
Se ha aumentado la protección de los datos de menores de edad, prohibiendo la solicitud o tratamiento de los datos de menores de 14 años sin el consentimiento de sus padres. Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de edad no puedan realizar sin el permiso paterno. El lenguaje de la información en la recogida debe garantizar que el menor la comprende y dejar constancia de que se ha comprobado su edad y la autenticidad del consentimiento prestado.
Asimismo, se eleva a una protección con medidas de seguridad de nivel alto de aquellos datos personales derivados de la violencia de género, tráfico y localización de los operadores de servicios de comunicaciones electrónicas o que exploten las redes públicas de telecomunicaciones.
Con el nuevo Reglamento, no todos los ficheros de las Administraciones Públicas tendrán la consideración de ficheros públicos. Serán privados los correspondientes a aquellos organismos públicos que no estén vinculados al ejercicio de potestades de Derecho Público (cámaras de comercio, colegios profesionales, cofradías de pescadores…).
Por último, señalar que los productos de software utilizados para el tratamiento de datos personales, se exige que incluyan en su descripción el nivel de seguridad con el que permiten proteger los datos, según los niveles estipulados en el Reglamento.