- Una reciente resolución amplía la información proporcionada por Google a la AEPD
- Aparecen en la resolución fragmentos de una conversación de usuarios de Messenger
- También salen nombres de pila a partir de los nombres de SSID
Imágen de un coche de Google Street View en Madrid. David Castro |
Por David González Calleja* y Pablo Romero
Una resolución de la Agencia Española de Protección de Datos (AEPD) recoge más detalles acerca de las responsabilidades de Google respecto de la polémica recogida de datos con sus coches para el servicio 'Street View'. En el documento, al que tuvo acceso el Navegante, queda constancia que la compañía recogió ciertos datos sensibles, incluidos nombres de pila y hasta una brevísima conversación de un servicio de mensajería instantánea.
Google afirma que debido a un error humano, no le había hecho llegar a la Agencia varios discos con 277 MB de información captada por los coches de Google en el año 2009 y 2010, entre los que se encontraban 942 SSID, nombres de pila, nombres de empresas como el 'HotelPalace', correos electrónicos, valores de 'cookies' descargadas, dos conversaciones muy breves de Messenger, [sic] "2 años", "m levo de puta amdre" y "vale avsiame", una cookie de la red social Tuenti, y el nombre de un usuario y su ID de una red social de Eslovaquia.
La compañía, eso sí, se vuelve a disculpar -y así queda reflejado en la resolución- por no haber facilitado inicialmente a la Agencia toda la información que se le había requerido.
De hecho, desde Google han subrayado al Navegante que, en cualquier caso, son sólo tres fragmentos no identificables de conversaciones que se captaron por error. "Trabajamos duro para garantizar derecho a la privacidad en Google pero en este caso no lo hicimos, por lo que rápidamente ajustamos nuestros sistemas para tratar el tema", afirma la compañía en un comunicado. "Los responsables del proyecto no queríamos estos datos y no los hemos usado, ni siquiera los hemos mirado. Cooperamos plenamente con la AEPD en su investigación", asegura.
Desde la AEPD confirman que se trata de una resolución de septiembre que incorpora estos nuevos datos al procedimiento sancionador que se sigue contra la compañía, así como que ha trasladado dicha información al juzgado que sigue la causa contra Google por 'Street View'.
Google afirma que debido a un error humano, no le había hecho llegar a la Agencia varios discos con 277 MB de información captada por los coches de Google en el año 2009 y 2010, entre los que se encontraban 942 SSID, nombres de pila, nombres de empresas como el 'HotelPalace', correos electrónicos, valores de 'cookies' descargadas, dos conversaciones muy breves de Messenger, [sic] "2 años", "m levo de puta amdre" y "vale avsiame", una cookie de la red social Tuenti, y el nombre de un usuario y su ID de una red social de Eslovaquia.
La compañía, eso sí, se vuelve a disculpar -y así queda reflejado en la resolución- por no haber facilitado inicialmente a la Agencia toda la información que se le había requerido.
De hecho, desde Google han subrayado al Navegante que, en cualquier caso, son sólo tres fragmentos no identificables de conversaciones que se captaron por error. "Trabajamos duro para garantizar derecho a la privacidad en Google pero en este caso no lo hicimos, por lo que rápidamente ajustamos nuestros sistemas para tratar el tema", afirma la compañía en un comunicado. "Los responsables del proyecto no queríamos estos datos y no los hemos usado, ni siquiera los hemos mirado. Cooperamos plenamente con la AEPD en su investigación", asegura.
Desde la AEPD confirman que se trata de una resolución de septiembre que incorpora estos nuevos datos al procedimiento sancionador que se sigue contra la compañía, así como que ha trasladado dicha información al juzgado que sigue la causa contra Google por 'Street View'.
Parte de un largo proceso
A mediados de 2010, tanto Protección de Datos como el Juzgado de Instrucción 45 de Madrid abrieron distintos procedimientos dirigidos a determinar la posible existencia de infracciones de la normativa de protección de datos y delitos informáticos de descubrimiento y revelación de secretos, respectivamente.
En agosto de 2010, el juzgado citó como imputado al representante legal de Google en España para que aclarase qué información de usuarios de redes WiFi captó durante la toma de datos de Street View. Entonces, la AEPD suspendió la tramitación de su expediente sacionador hasta la resolución del procedimiento judicial.
Se acusaba a la compañía de utilizar sus coches en España para recopilar datos de localización de las redes WiFi, datos SSID -identificadores de redes inalámbricas-, direcciones MAC -los números que identifican la dirección física de los dispositivos de red, como las tarjetas de red- y datos de tráfico asociados a las redes WiFi (datos transferidos mediante redes abiertas).
Ya hace tres años, la propia agencia comunicaba que había "verificado la captación de datos de localización de redes WiFi con identificación de sus titulares, y de datos personales de diversa naturaleza del contenido de las comunicaciones como: direcciones de correo electrónico -con nombre y apellidos-, mensajes asociados a dichas cuentas y servicios de mensajería, o códigos de usuario y contraseñas, entre otros". Asimismo, también se verificó "la transferencia internacional" de dichos datos.
Para la AEPD, la captación de señales de redes inalámbricas podría suponer la infracción de los artículos 6, 7 y 33 de la Ley Orgánica 15/1999, 13 de diciembre, de Protección de Datos de Carácter Personal, que conllevaría la imposición de multas por valor de hasta 600.000 euros.
No es descabellado imaginarlo; en EEUU, el pasado mes de marzo, Google llegó a un acuerdo con 38 estados para pagar únicamente siete millones de dólares de multa por recopilar datos a través de redes inalámbricas durante el servicio de fotografiado de calles.
En agosto de 2010, el juzgado citó como imputado al representante legal de Google en España para que aclarase qué información de usuarios de redes WiFi captó durante la toma de datos de Street View. Entonces, la AEPD suspendió la tramitación de su expediente sacionador hasta la resolución del procedimiento judicial.
Se acusaba a la compañía de utilizar sus coches en España para recopilar datos de localización de las redes WiFi, datos SSID -identificadores de redes inalámbricas-, direcciones MAC -los números que identifican la dirección física de los dispositivos de red, como las tarjetas de red- y datos de tráfico asociados a las redes WiFi (datos transferidos mediante redes abiertas).
Ya hace tres años, la propia agencia comunicaba que había "verificado la captación de datos de localización de redes WiFi con identificación de sus titulares, y de datos personales de diversa naturaleza del contenido de las comunicaciones como: direcciones de correo electrónico -con nombre y apellidos-, mensajes asociados a dichas cuentas y servicios de mensajería, o códigos de usuario y contraseñas, entre otros". Asimismo, también se verificó "la transferencia internacional" de dichos datos.
Para la AEPD, la captación de señales de redes inalámbricas podría suponer la infracción de los artículos 6, 7 y 33 de la Ley Orgánica 15/1999, 13 de diciembre, de Protección de Datos de Carácter Personal, que conllevaría la imposición de multas por valor de hasta 600.000 euros.
No es descabellado imaginarlo; en EEUU, el pasado mes de marzo, Google llegó a un acuerdo con 38 estados para pagar únicamente siete millones de dólares de multa por recopilar datos a través de redes inalámbricas durante el servicio de fotografiado de calles.
*David González Calleja es abogado especialista en Nuevas Tecnologías y Protección de Datos y responsable de Delere.es, despacho dedicado a la protección de la reputación en Internet.
Fuente: