Por Cristina Sánchez-Tembleque, abogada de ECIJA

La Agencia Española de Protección de Datos (AEPD) anunció el pasado 18 de octubre, la apertura de un procedimiento sancionador a Google por la captación de datos personales en España por el servicio Street View.

La apertura del procedimiento supone el resultado de una investigación, comenzada en mayo de 2010, que ha constatado la existencia de indicios de infracciones, graves y muy graves, de la normativa en materia de protección de datos por Google Spain y a Google Inc. matriz del grupo de empresas de Google radicada fuera de España (EEUU).

El servicio Street View, utilidad que proporciona una visión tridimensional fotorealista del paisaje cartografiado, comenzó en 2007 en EEUU, llegando a España en 2008. Una nota informativa de la AEPD recogía el compromiso de Google de lo que era la gran preocupación en aquel momento: la anonimización de los rostros y las matrículas de vehículos para que los ciudadanos no pudiéramos ser identificados.

En abril de 2010, a raíz de la denuncia del gobierno alemán, se conoció que los Google Cars recogían datos de las redes wifi particulares, saltando a la luz pública la captación y almacenamiento de estos datos.

Tras un primer momento, en el que Google publicó en su blog que sólo procesaba la existencia de las redes wifi para mejorar sus servicios de geolocalización, en mayo terminó admitiendo que, por un error técnico, también había recogido datos personales de redes wifi privadas no protegidas.

La globalización ha actuado en este caso en su máxima expresión, la recolección de estos datos en más de 30 países, que suponen unos 600 gigbytes de información, ha desatado las reacciones en cadena y continuas noticias sobre las acciones emprendidas.

Ejemplos de ello han sido Austria o Suiza, donde se paralizaron los coches; Francia que fue el primer país en obtener los datos solicitados a Google para su investigación; Irlanda destruyó de manera acreditada frente a un tercero independiente todos los datos recabados; Alemania además de inspeccionar la tecnología de los famosos Google Cars, es el único país en el que los usuarios tuvieron la opción de pedir que sus casas no aparecieran y así lo ha decidido un 3% de los afectados; o Australia ha abierto investigaciones penales y por infracciones del Australian Privacy Act.

En España, el anuncio de la AEPD de apertura del procedimiento sancionador, podría suponer un importante varapalo para Google. Al posible coste dinerario (se le imputan cinco infracciones sancionables cada una de ellas con multas de 60.000 a 300.000 euros para las graves y de 300 a 600.000 euros para las muy graves) de la mayor multa impuesta hasta el momento por la AEPD, se suma con mayor importancia si cabe, que una empresa de sus características, considerada el motor de búsqueda en Internet que tiene más del 90% de cuota de mercado nacional, tiene un importante factor reputacional que proteger ante sus millones de usuarios.

En este sentido, Google ha pedido reiteradas disculpas, indicando que se ha tratado de un error involuntario, y ha paralizado la recolección de datos de redes wifi. Propuso la destrucción de los mencionados datos ante un tercero independiente (caso de Irlanda), pero ante la negativa de autoridades como la Alemana o la AEPD (que le exigió el bloqueo de estos datos), se ha puesto a disposición de las autoridades inspectoras la información recabada, para que éstas puedan evaluar de qué tipo de datos se trata.

En las últimas semanas, han dado sus primeros frutos las medidas anunciadas por Google para reforzar su control de la privacidad. El nombramiento de Alma Whitten como Directora de Privacidad, y lo que parece que es una voluntad de interiorizar, expresamente o no, el concepto de Privacy-by-design creado por la Autoridad de Protección de Datos de Ontario, ha condicionado, junto a la no utilización de los datos para fines comerciales, el archivo de las investigaciones abiertas tanto por las autoridades federales en EEUU, como del comisionado de la Información en Reino Unido.

Hasta el momento, las investigaciones realizadas en España, han dado resultados agridulces para el buscador, previamente a la apertura del procedimiento sancionador y de manera paralela a la investigación de la AEPD, la Fiscalía de la Audiencia Provincial de Guipúzcoa archivó en septiembre de 2010 las investigaciones por este motivo contra Google, debido a que considera que la captación de información fue aleatoria, fragmentaria, y los datos guardados no habían sido objeto de ningún tipo de tratamiento, es decir, considera que no se utilizaron ni analizaron y por tanto no constituye un delito.

El texto de la mencionada decisión de archivo, nos da una idea más aproximada de la información que ha manejado la AEPD para concluir en la apertura del procedimiento sancionador, entre otras cuestiones, respecto a la transferencia internacional (sin cumplir con los requisitos exigidos por la normativa de protección de datos) a EEUU realizada por Google, en el sentido en que la Fiscalía esgrime que no cabe continuar la actividad investigadora entre otros motivos, porque los soportes de datos originales no se encuentran ya en territorio español (sino en EEUU).

Asimismo, la Fiscalía determina que los datos que circulan por las redes inalámbricas wifi, se obtenían por medio de un programa de software libre para la captación de datos inalámbricos (KISMET), y se analizaba y clasificaba a través de un software de su propio desarrollo (GSLITE y GSTUMBLER).

Tanto en esta decisión, como en el informe del experto independiente que se ha puesto a disposición del público por Google en su blog, de los datos recolectados, ha de distinguirse entre (i) datos de tráfico analizados y puestos en relación con un dispositivo de geolocalización, como el identificativo de la red (SSID) que en ocasiones coincide con el nombre real del usuario, o el código de identificación del dispositivo inalámbrico (MAC) y (ii) datos de contenido o payload data que son los correos electrónicos, contraseñas, imágenes o navegación por Internet, si bien Google, y la decisión de archivo de la investigación de la Fiscalía de la Audiencia Provincial de Guipúzcoa ha indicado que no se utilizaban ni analizaban estos datos de contenido.

Volviendo a las diferencias con respecto del procedimiento sancionador en materia de protección de datos, no obstante lo indicado en el párrafo anterior, en materia de protección de datos, el mero hecho de recabar los datos sin el consentimiento de los usuarios afectados, ya puede constituir una infracción de la normativa, y en su mayor grado si, como indica la AEPD en su nota informativa, los datos tratados pudieran ser especialmente sensibles (p.e. datos de salud).

En conclusión, los motivos esgrimidos para el archivo de la investigación penal, pueden no ser representativos en el procedimiento sancionador, o incluso, resultar de mayor apoyo en la evidencia de infracción en materia de protección de datos contra Google.

No obstante, para obtener una conclusión a este complejo tema, deberemos esperar a que la vía penal, abierta por denuncia contra Google de APEDANICA, por supuesta infracción del artículo 197 del Código Penal, resuelva judicialmente en el procedimiento seguido ante el Juzgado de Instrucción nº 45 de Madrid. Es decir, antes de que la AEPD, pueda entrar a resolver este “ejemplarizante” procedimiento sancionador, habrá de recaer una resolución judicial sobre el tema.