Conformidad legal en el uso de Google Analytics (III): Cookies, direcciones IP, localización,… ¿son datos de carácter personal?
Categorías: Intimidad / Privacidad / Protección de Datos / Tecnología
(Ver los anteriores posts de esta serie: I, II)
Continuamos con la tercera entrega de esta serie de posts al respecto de las cuestiones en materia de protección de datos al utilizar Google Analytics.
Vistos los datos que trata Google Analytics, e incluso alguno que podemos decidir nosotros mismos añadir adicionalmente, toca ahora valorar si estamos o no ante datos de carácter personal.
- Cookies y direcciones IP
Todo el potencial del servicio Google Analytics gira en torno al uso de una serie de cookies que como ya hemos visto permiten identificar usuarios únicos por medio del uso de identificadores en la cookie _utma. Otro dato relevante para Google Anaylitics, pero no tan esencial como las cookies, son las direcciones IP que precisamente se incorporan en las propias cookies.
Sobre la consideración o no de las cookies y direcciones IP como datos de carácter personal se viene debatiendo desde hace ya mucho tiempo, especialmente en este último año pasado en relación con el marketing online, que gira en torno a estos datos aunque también alrededor de algunos otros como las flash cookies o los identificadores de teléfonos móviles inteligentes. Estos últimos, por cierto, se ha venido a decir que son una especie de «supercookie«, dado que , a diferencia de lo que sucede con las cookies HTTP, no pueden bloquearse, aunque si bien al menos parece que sí que es posible hacer un «spoof«.
Esta discusión sobre el carácter o no de dato personal gira en torno a si las cookies y las direcciones IP hacen que la persona sea identificable, o en términos norteamericanos si estamos ante “Personal Identifiable Information”.
Normalmente, proveedores de acceso a Internet y correo electrónico, proveedores de housing y hosting, motores de búsqueda, agencias de publicidad online, redes sociales,… prefieren considerar que las cookies y las direcciones IP no pueden ser considerados datos de carácter personal, pues no en todos los casos será posible llegar a identificar unívocamente con nombre, apellido, domicilio,…a las personas (ordenadores de uso compartido en organizaciones y hogares, dispositivos móviles de uso compartido, cibercafés, IPs dinámicas, redes wifi abiertas,…), aun y cuando reconocen en determinados casos sea posible (usuarios registrados).
En contraposición, las agencias de protección de datos europeas, ya sea individualmente o integradas todas ellas en el Grupo del Artículo 29, la Federal Trade Commission, el Departamento de Comercio de Estados Unidos, así como organizaciones no gubernamentales y defensores de la privacidad a nivel mundial, insisten en que cookies y direcciones IP han de ser considerados datos de carácter personal, pues habiendo casos en los que no se tenga identificada unívocamente a las personas, existen otros casos en los que sí que es posible, tratándose los datos de ambos tipos de sujetos de forma unitaria a nivel de sistemas. Indican asimismo que existen casos en los que los órganos judiciales de distintos países pudieran ordenar la cesión a las policías judiciales, aduaneras o agencias de inteligencia la traza que los usuarios de Internet investigados hayan podido dejar en servidores web de empresas que publican sus propios sitios web o los mantiene en servidores en housing o hosting, empresas que prestan servicios de búsqueda, redes sociales, bloggers (recordemos la importancia que tuvo en el caso de Mafius Blog la identificación de quien realizará un comentario anónimo ofensivo para un profesor del Blogger), foros de Internet,…
Pueden verse a este respecto este informe jurídico de la Agencia Española de Protección de Datos, o el Documento de trabajo WP 37 y los Dictámenes 2/2002, 4/2007, 1/2008, 1/2009, 5/2009 del Grupo del Art. 29.
En este vídeo de una entrevista a Peter Hustinx, Supervisor Europeo de Protección de Datos, podemos ver un buen resumen del debate
Y para los que quieran insistir que cookies y direcciones IP no han de ser considerados datos de carácter personal, al menos es importante que valoren el riesgo de que exista el aviso para navegantes que dio el Grupo del Artículo 29 en su Dictamen 4/2007, y en el que insistió en el Dictamen 1/2009: “a menos que el proveedor de servicios sepa con absoluta certeza que los datos corresponden a usuarios que no pueden ser identificados, tendrá que tratar toda información IP como datos personales, para guardarse las espaldas”. Léase el caso de lo que está sucediendo en Alemania con Google Analytics, y a pesar de que Google diga que no hacen perfiles y que, conforme a su Política de Privacidad, borran las direcciones IP pasados 9 meses y las cookies pasados 18 meses.
- Datos de geolocalización
Hemos visto anteriormente, que con Google Analytics se trata el dato de geolocalización obtenido a través de las direcciones IP empleadas por los visitantes de nuestros sitios web.
También sabemos que las aplicaciones móviles pueden tratar el dato de geolocalización GPS, en caso de contar con antena GPS, o en cualquier caso siempre la ubicación de la antena o celda de telefonía móvil, e incluso el dato de localización aproximada calculado por triangulación. Si hubiéramos desarrollado una aplicación móvil y estuviéramos tratando el dato de localización de nuestros usuarios (es necesario su previo consentimiento informado), pudiera ser que por medio de Variables Personalizadas nos viéramos tentados a integrar en Google Analytics, los datos de geolocalización o triangulación de nuestros usuarios. También pudiera ser posible que empleáramos el Software Developer Kit para iPhone o Android para hacer que nuestras aplicaciones móviles nos permitan recoger los datos de localización de nuestros teléfonos móviles, además de otros datos como el identificador de nuestro teléfono iPhone o Android.
Es de hacer notar a este respecto, que ya se han hecho estudios de que con el registro más o menos continuado de nuestros datos de localización se puede llegar a identificarnos o incluso con qué otras personas nos relacionamos. Además de que ya en el Dictamen 2/2002 del Grupo del Art. 29 se nos dijo que los datos de localización son datos personales, y especialmente sensibles, como también nos recuerda el artículo 81.4 de nuestro Reglamento de la LOPD, aunque sólo en relación con los operadores de telecomunicaciones.
- Otros datos tratados con ocasión del uso de Google Analytics
En el post anterior de esta serie hemos visto el resto de tipología de datos tratados con ocasión del uso de Google Analytics. Si bien no obstante la mayoría de todos ellos no tendrían por sí mismos la consideración de datos de carácter personal (por ejemplo, haber visto o descargado un vídeo), en la medida en que pudieran ponerse en relación con cookies, direcciones IP o incluso con datos personales por tratarse de un usuario registrado, haría que tuviéramos que considerarlos datos de carácter personal. Y esta relación como ya sabemos se produce al hacer uso de Google Analytics, e incluso puede hacerse al incluir tales datos junto con otros datos en los logs o pistas de auditoría que se estén generando y tratando en nuestros sitios web.
En otros casos, nosotros, los usuarios de Google Analytics, podemos incorporar datos que por defecto no ha sido definido por Google que se traten, pero en cuyo tratamiento conjunto con los datos ya tratados para el servicio podemos estar interesados para generar informes que nos aporten aún más información sobre nuestros sitios web. Estoy hablando de las Variables Personalizadas por medio de las que como Google mismo nos dice puede que queramos “diferenciar los miembros del sitio de los no miembros, o hacer un seguimiento de una selección realizada por los usuarios que no se actualice con frecuencia, como la edad o el nivel de ingresos”, datos que se obtienen de las bases de datos de nuestros sitios web alimentados por nuestros visitantes por medio de los formularios web que tengamos publicados. Hemos identificado también otro caso en el que los usuarios de Google Analytics podemos decidir hacer uso de aplicaciones de terceros, pero disponibles en la propia web de Google Analytics, que nos permiten asociar de forma aproximada en el tiempo los registros de las visitas web a los números de telefóno fijo o móvil, o en su caso incluso usuarios de VoIP, de las llamadas hechas por personas para ampliar información sobre nuestros productos o servicios, o incluso para contratarlo telefónicamente, lo cual nos da la posibilidad de llegar a identificar a miembros previamente registrados, o personas que han comprado telefónicamente nuestros productos o servicios.
Resulta curioso que en el caso de las Variables Personalizadas la propia Google nos prohíba que incorporemos informaciones personales, poniéndonos como ejemplo “el nombre, la dirección de correo electrónico o los datos de facturación, así como otros datos asociados”, y que, por otro lado, tenemos un caso en el que añadiendo una aplicación de terceros, pero provista por la propia Google, por medio de la que podemos asociar adicionalmente números de teléfono.
- Conclusión
Empleando el servicio Google Analytics estamos realizando un tratamiento de datos de carácter personal, donde por lo tanto Google Inc. se convierte en nuestro encargado de tratamiento, y que al estar alojándose los datos que trata por nuestra cuenta en Estados Unidos se produce un movimiento internacional de datos. A este respecto, y a efectos de la conformidad legal con la normativa de protección de datos, se ha de resaltar el hecho de que Google Inc. es un «puerto seguro«. Lo que no nos dice Google en las Condiciones de Uso de Google Analytics es si los datos son replicados en otros data centers de Google y cuáles son sus ubicaciones realmente.
También es de hacer notar que Google Inc., además de ser nuestro encargado de tratamiento, puede convertirse en cesionario de los datos de los visitantes de nuestros sitios web en la medida en que permitamos por medio de la aplicación de Google Analytics que los datos tratados por nuestra cuenta también lo puedan ser para “para mejorar los productos y servicios de Google”