Como el agua y el aceite. Así parece la relación de Google con la privacidad. Dos días después de que una decena de autoridades de protección de datos, incluida la española, pidieran al buscador detalles sobre el impacto que las gafas de Google pueden tener en la intimidad de las personas, la Agencia Española de Protección de Datos (AEPD) ha abierto un expediente sancionador a la empresa californiana. Y no está sola, sus homólogas de Francia, Alemania, Holanda, Italia y Reino Unido también estudian sanciones. Y no es la primera vez. La corta historia de Google está jalonada de tropiezos con este derecho fundamental.
El expediente que abre ahora la AEPD, cuya resolución tendrá que llegar en el plazo máximo de seis meses, afecta a la política de privacidad de Google. En marzo del año pasado, el buscador fusionó las distintas políticas de sus más de 60 servicios que aplicaba a los datos de sus usuarios. La compañía lo vendió como una forma de simplificar y hacer más comprensible lo que hace con esa información. Un cambio así, que puede afectar a más de 1.000 millones de personas que usan el buscador, sus mapas, su Gmail, su red social o los que tienen móviles Android, llevó a las agencias de protección de datos europeas englobadas en el llamado Grupo de Trabajo del artículo 29 (GT29) a analizar su impacto.
La agencia francesa de protección de datos (CNIL) fue la encargada, en representación de todo el GT29, de realizar un informe. Hecho público en octubre, sus conclusiones fueron contundentes. Con la nueva política, Google da información incompleta a sus usuarios y practica una descontrolada combinación de datos entre los distintos servicios. Como recordaba el informe de la CNIL, las nuevas cláusulas permiten al buscador combinar “prácticamente cualquier dato de cualquier servicio para cualquier fin”. Entonces, las agencias enviaron una carta a los responsables de Google con una serie de recomendaciones. Ya en este año, en febrero, constataron que la empresa estadounidense no había seguido ninguna de sus recomendaciones, dándose de plazo hasta el verano para tomar una decisión. Y el verano ya ha llegado.
Google podría estar cometiendo un total de seis infracciones, cinco de ellas graves y una leve, de la Ley Orgánica de Protección de Datos (LOPD). En concreto, la AEPD considera que hay indicios de que Google no informa claramente sobre el uso que va a hacer de los datos de los usuarios. También podría estar combinando la información personal de un servicio con la de otros. Además el buscador podría hacer un tratamiento desproporcionado de los datos, ya que en su política de privacidad advierte de que podrá utilizarlos de forma ilimitada en todos sus servicios, incluso los que aún no ha inventado. Por otro lado, aunque la ley establece que estos datos deben ser cancelados una vez que hayan dejado de ser necesarios para la finalidad para la que fueron recabados, Google los podría conservar más allá de estos plazos. Por último, la AEPD considera que el ejercicio de derechos por parte de los usuarios podría verse obstaculizado e incluso impedido.
Con algunas diferencias en cuanto a plazos y procedimiento, el resto de las autoridades de los principales países europeos están en la misma senda sancionadora que la AEPD. En el peor de los casos, Google podría ser sancionada en España hasta con 1,5 millones de euros.
"Nuestra política de privacidad respeta la legislación europea y nos permite crear servicios más simples y más eficaces. Nos hemos comprometido plenamente con las autoridades involucradas en este proceso y vamos a seguir haciéndolo en el futuro", dice un comunicado difundido por Google poco después de saberse la acción concertada de las seis agencias de protección de datos. Habrá que esperar unos meses a comprobar si es así.
El pasado no invita al optimismo. En su corta historia de poco más de 14 años, Google ha tenido tantos encontronazos con la privacidad de sus usuarios que hasta hay una entrada específica en la Wikipedia. Mientras sólo fue un buscador, tenía fácil cumplir con su antiguo lema don't be evil (no seas malvado, en inglés). Pero en la última década, ha tenido problemas con casi cada nuevo producto que lanzaba. Le sucedió con Gmail, un servicio de correo tan innovador y con tanta capacidad de archivo que casi acaba con Yahoo Mail y Hotmail. Que los robots de Google leyeran los correos para insertar publicidad personalizada alarmó a muchos entonces.
Pero también tuvo problemas el propio buscador por su política de conservar las búsquedas de los usuarios durante dos años. Su navegador Chrome, YouTube o Google Health recibieron duras críticas por parte de organizaciones y activistas de la privacidad. El lanzamiento de Street View para el Google Maps tuvo que ser retrasado por su impacto en la seguridad. Con su primera y fallida red social Google Buzz, el buscador tuvo que reconocer que había usado "tácticas engañosas y violado sus propias promesas de privacidad a los consumidores". Entonces, la Comisión Federal del Comercio de Estados Unidos le impuso implantar un completo programa de privacidad y auditorias externas durante los próximos 20 años. En marzo pasado, el buscador zanjaba el escándalo de los coches que usaba para tomar las imágenes de Street View y que, al mismo tiempo, captaban datos de las redes WiFi. El caso fue investigado en medio mundo y, en Estados Unidos, acabó con una multa de siete millones y la obligación de formar en privacidad a sus empleados.
El problema de Google con la privacidad es estructural, eso es lo que enseña al menos la historia. Capaz de hacer algunos de los mejores productos de la era de internet, parece incapaz de proteger la privacidad de sus usuarios. Puede tratarse de desidia, como en el caso actual, en el que no ha atendido las recomendaciones de las agencias de protección de datos. Pero también puede deberse a que su negocio principal, lo que la convierte en una de las principales empresas del mundo por facturación, es una publicidad que depende de lo que Google sabe de sus usuarios, sus hábitos y sus gustos.
Como en la fábula del escorpión y la rana, está en su naturaleza. Pero en la naturaleza de la AEPD y el resto de agencias está la defensa de la privacidad, también la de los usuarios de Google.