Conformidad legal en el uso de Google Analytics (VII): Notas derivadas para la próxima revisión de la Directiva 95/46/CE

por Alvaro Del Hoyo

publicado el 20 enero 2011

Categorías: Intimidad / Normativa / Privacidad / Protección de Datos / Tecnología

(Ver los anteriores posts de esta serie: I, II, III, IV, V, VI)

De todo este análisis que hemos hecho al respecto de Google Analytics salen algunas notas que ya se están tomando en consideración en la próxima revisión de la Directiva 95/46/CE de Protección de Datos, si bien pueden añadirse otras que quizás no estén siendo tomadas en cuenta.

La consideración de si un dato puede ser o no de carácter personal no ha de hacerse considerado éste exclusivamente, si no en relación con el resto de datos que puedan estar accesibles no ya sólo para el responsable del fichero o tratamiento, sino también de cesionarios de los datos, encargados de tratamiento y sus subcontratas, e incluso se aboga en el Considerando 26 de la Directiva 95/46/Ce que de cualquiera que pudiera tener acceso a la información como por ejemplo fuentes accesibles al público e incluso Internet (que no es una fuente accesible al público, aunque así prefieran opinarlo otros).

Debe tomarse en consideración que al estar viviendo en una sociedad en la que tendencia global a que nuestros datos sean cada vez más, más y más transparentes o públicos, sumado a la velocidad pasmosa con la que la tecnología mejora las capacidades de procesamiento, almacenamiento y tratamiento vinculado de informaciones, cada vez es más difícil mantener la afirmación de que un dato no es personal o que pueda considerarse “personal identifiable information”. A este respecto podemos tener en cuenta la teoría de los 33 bits de entropía, o casos como éste, o éste, o éste, o éste otro, que permiten manifestar que las tecnologías de anonimización o disociación de datos han de ser pero que muy bien definidas como para que se pueda considerar que un dato no es personal, que está anonimizado o disociado.

Ello de no ser que para determinar si un dato es o no de carácter personal se haya de tomar en cuenta la voluntad, la intencionalidad  de ceñir  exclusivamente a los datos recogidos el tratamiento realizado por un determinado responsable de fichero o los terceros que intervengan en el mismo por su cuenta, y sin perjuicio de exista la posibilidad de asociarlo con otros datos disponibles para quien los trata u otros que estén accesibles públicamente, empleando tecnologías de minería de datos que otros pudieran tener disponibles,… Habría quizás también de considerarse la existencia de divulgación o no por parte del responsable del fichero aunque consentida por los afectados, o de los responsables de los ficheros a quienes se cedan los datos.

Es importante que se nos aclare de qué manera hemos de incluir el contexto en el análisis para la valoración de si estamos o no ante un datos de carácter personal. Debemos saber si el contexto lo hemos de circunscribir a las posibilidades del responsable del fichero, ya sea por datos disponibles, o por los medios técnicos de tratamiento, o si por el contrario hemos de incluir en el contexto la información que pueda estar a disposición pública.

Finalmente, y por otra parte, ha de tomarse en cuenta que en determinados casos, la consideración de unos datos como información personal puede tener efectos negativos como por ejemplo que los operadores de telecomunicaciones, las empresas de seguridad o los CERTS que velan por nuestra seguridad en la Red  se vean en la obligación de tener que informar y obtener el consentimiento para tratar las direcciones IP de los sitios web desde los que se facilita o se comenten delitos informáticos o se vulneran derechos y libertades en casos tales como la lucha contra el código malicioso, el phishing y el pharming, el spam,… Indudablemente en estos casos estas organizaciones se podrán beneficiar de la doctrina jurisprudencial de la proporcionalidad, en la medida que no cabe duda de que lo que hacen supone una medida idónea, necesaria y proporcionada que evitaría que pudieran ser sancionadas, pero sin embargo creo que no estaría de más contar con una expresión específica de estas excepciones en la normativa de protección de dato de carácter personal, no ya no sólo por su tranquilidad, sino en aras a una mayor seguridad jurídica.