COMISION NACIONAL DE INFORMATICA Y LIBERTADES DE FRANCIA MULTA GOOGLE

El grupo restringido (formation restreinte)[1] de la Comisión Nacional de Informática y Libertades, CNIL aplica una multa de € 150.000 contra GOOGLE Inc[2].

08 de enero 2014

El 3 de enero 2014, el grupo de la CNIL impuso una multa de 150.000 euros contra GOOGLE Inc., por estimar que las normas de confidencialidad aplicadas por ella desde el 1ero de marzo 2012 no se ajustan a la ley "Informática y Libertades". Este grupo ordenó a Google de proceder a la publicación de una declaración sobre esta decisión en la página principal Google.fr, en el plazo de ocho días desde la notificación de la decisión.

El 01 de marzo 2012, Google decidió fusionar en una sola política individual diferentes normas de confidencialidad aplicables a sesenta servicios, incluyendo Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Debido a la cantidad de servicios en cuestión, casi todos los usuarios de Internet franceses se ven afectados por esta decisión.

El " G29 " grupo de las Comisiones Nacionales de Informática y Libertades, europeos, llevó a cabo un análisis de esta política de confidencialidad, llegando a la conclusión de que ésta no era compatible con el marco jurídico europeo, e hizo varias recomendaciones. No habiendo Google Inc. efectivizado  éstas, seis autoridades europeas iniciaron en su contra procedimientos represivos, cada uno en sus ámbitos respectivos.

En este contexto, el 3 de enero de 2014, el grupo restringido CNIL emitió contra la compañía GOOGLE Inc. una multa de 150.000 euros, alegando que ésta no cumplió con varias disposiciones de la ley "Informática y Libertades. "

En su decisión, el grupo restringido considera que los datos sobre los usuarios de los servicios de Google en Francia y tratados por esta empresa constituyen datos personales. También señala que, contrariamente a lo que sostiene Google Inc., la ley francesa se aplica a los tratamientos, para ella, los datos personales de los usuarios residentes en Francia.

En cuanto al fondo, el grupo restringido no cuestiona la legitimidad del objetivo de simplificación perseguido por la Compañía al fusionar sus políticas de privacidad.

Sin embargo, el grupo considera que las condiciones de aplicación de esta política única son contrarias a las exigencias de la ley:

• La Compañía no informa suficientemente a sus usuarios sobre las condiciones y el tratamiento de datos personales. Por lo tanto, ellos no pueden entender, ni las finalidades de la colecta, no estando estas determinadas como lo exige la ley, ni la magnitud de los datos colectados a través los diferentes servicios. En consecuencia, ellos no están en condiciones de ejercer sus derechos, sobre todo de acceso, oposición o eliminación.

• La Compañía no respeta las obligaciones que le incumben de obtener el consentimiento de  sus usuarios antes de instalar  “cookies”, rastreadores, en sus dispositivos.

• Ella no establece la duración de conservación para el conjunto de los datos procesados.

• Ella se autoriza, finalmente, sin ninguna base legal, a proceder a la combinación de la integralidad de los datos que ella colecta sobre los usuarios a través del conjunto de sus servicios.

Estas conclusiones son similares a aquellas anteriormente tomadas por las autoridades holandesas y españolas de protección de datos en noviembre y diciembre 2013 en virtud de sus respectivas legislaciones nacionales.

La multa aplicada constituye  la cantidad más alta hasta ahora aplicada por el grupo restringido. Ella se justifica por el número y la gravedad de las deficiencias detectadas.

Además, el grupo restringido ordenó a Google Inc. de proceder  a la publicación de un comunicado en relación a la decisión en el sitio https://www.google.fr durante 48 horas, en el plazo de ocho días desde la notificación de la decisión. Esta medida de publicidad se explica por la amplitud de los datos colectados, así como por la necesidad de informar a las personas que no son capaces de ejercer sus propios derechos.

---

[1] Es la reunión de un grupo de seis (6) comisarios  de la CNIL encargado de aplicar sanciones.

[2] Articulo traducido del enlace de  la CNIL:  http://www.cnil.fr/linstitution/actualite/article/article/la-formation-restreinte-de-la-cnil-prononce-une-sanction-pecuniaire-de-150000-EUR-a-lencontre/

La formation restreinte de la CNIL prononce une sanction pécuniaire de 150 000 € à l’encontre de la société GOOGLE Inc.

08 janvier 2014

Le 3 janvier 2014, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 150 000 euros à l’encontre de la société GOOGLE Inc., estimant que les règles de confidentialité mises en œuvre par celle-ci depuis le 1er mars 2012 ne sont pas conformes à la loi « informatique et libertés ». Elle enjoint Google de procéder à la publication d’un communiqué relatif à cette décision sur la page d’accueil de Google.fr, sous huit jours à compter de la notification de la décision.

Le 1er mars 2012, Google a décidé de fusionner en une seule politique les différentes règles de confidentialité applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Du fait du nombre des services en cause, quasiment tous les internautes français sont concernés par cette décision.

Le " G29 ", groupe des CNIL européennes, a alors mené une analyse de cette politique de confidentialité, concluant que celle-ci n'était pas conforme au cadre juridique européen, et a émis plusieurs recommandations. La société Google Inc. n'ayant pas donné de suite effective à celles-ci, six autorités européennes ont engagé à son encontre des procédures répressives, chacune en ce qui la concerne.

Dans ce contexte, le 3 janvier 2014, la formation restreinte de la CNIL a prononcé à l'encontre de la société GOOGLE Inc. une sanction pécuniaire de 150 000 euros, estimant que celle-ci ne respectait pas plusieurs dispositions de la loi " informatique et libertés ".

Dans sa décision, la formation restreinte considère que, les données relatives aux utilisateurs des services de Google en France et traitées par cette société, sont bien des données à caractère personnel. Elle retient également que, contrairement à ce que soutient la société Google Inc., la loi française s'applique aux traitements, par celle-ci, des données personnelles des internautes résidant en France.

Sur le fond, la formation restreinte ne conteste pas la légitimité de l'objectif de simplification poursuivi par la société en fusionnant ses politiques de confidentialité.

Elle considère cependant que les conditions de mise en œuvre de cette politique unique sont contraires aux exigences de la loi :

• La société n'informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n'étant pas déterminées comme l'exige la loi, ni l'ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d'exercer leurs droits, notamment d'accès, d'opposition ou d'effacement.
• La société ne respecte pas les obligations qui lui incombent d'obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux.
• Elle ne fixe pas de durées de conservation pour l'ensemble des données qu'elle traite.
• Elle s'autorise enfin, sans base légale, à procéder à la combinaison de l'intégralité des données qu'elle collecte sur les utilisateurs à travers l'ensemble de ses services.

Ces conclusions sont similaires à celles précédemment retenues par les autorités néerlandaise et espagnole de protection des données en novembre et décembre 2013, au regard de leur droit national respectif.

La sanction pécuniaire décidée constitue le montant le plus élevé prononcé jusqu'à présent par la formation restreinte. Elle se justifie par le nombre et la gravité des manquements constatés.

Par ailleurs, la formation restreinte a enjoint Google Inc. de procéder à la publication d'un communiqué relatif à cette décision sur le site https://www.google.fr, pendant 48 heures, sous huit jours à compter de la notification de la décision. Cette mesure de publicité s'explique par l'ampleur des données collectées ainsi que par la nécessité d'informer les personnes concernées, qui ne sont pas en mesure d'exercer leurs droits.

DATOS PERSONALES, METADATOS, GEOLOCALIZACION Y REGULACION

Datos Personales/Tratamiento de Datos Personales/Ficheros/Metadatos/Geolocalización/GPS/GSM/Regulación/Directiva Europea N° 95/46/CE/Directiva Europea N° 2002/58/CE/Ley Orgánica 15/1999/España/Ley de Informática y Libertades de 1978/Francia/Ley N° 29733/Perú.

DATOS PERSONALES

La Directiva N° 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, define en el artículo 2, Definiciones:

A efectos de la presente Directiva, se entenderá por:

a) «datos personales»: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

          La Ley de Informática y Libertades de 1978 de Francia, define en el artículo 2, los datos personales o datos de carácter personal:

(…)

Constituirá un dato de carácter personal cualquier información relativa a una persona física identificada o identificable, directa o indirectamente, con referencia a un número de identificación o a uno o varios elementos propios de esta persona. Para determinar si una persona es identificable, se deberá tomar en consideración el conjunto de medios de los que dispone o a los que puede tener acceso el responsable del tratamiento o cualquier otra persona para permitir la identificación.

         La Ley Orgánica 15/1999, de 13 de diciembre, de España, de Protección de Datos de carácter personal, define en su Artículo 3: Definiciones:

A los efectos de la presente Ley Orgánica se entenderá por:

a) Datos de carácter personal: cualquier información concerniente a personas físicas  identificadas o identificables.

                  La Ley N° 29733 de Perú,  Protección de Datos Personales, define en su Artículo 2. Definiciones

Para todos los efectos de la presente Ley, se entiende por:

                        (…)

4. Datos personales.

Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.

El acento de la Directiva como su transposición en las leyes francesa y española sobre los datos personales insisten, en que aparte de tratarse de toda información (cualquiera, para los españoles) relativa a una persona física (o persona natural, para los peruanos) identificada; en que la identificabilidad del sujeto pueda determinarse directa o indirectamente, particularmente a un número de identificación, o uno o varios elementos específicos característicos de identidad física, fisiológica, psíquica, económica, cultural o social; pero también deberá tomarse en consideración el conjunto de medios de los que dispone o a los que puede tener acceso el responsable del tratamiento o cualquier otra persona, para permitir la identificación.

Y es este precisamente el quid de la cuestión si pretendemos relacionar las nuevas prácticas que se realizan Metadatos, Geolocalización y Datos Personales.

TRATAMIENTO DE DATOS

Ley de Informática y Libertades de 1978 de Francia, adicionalmente en el artículo 2, precisa tres lineamientos principales, el primero, sobre la aplicación del tratamiento de datos personales según el soporte;  el segundo, sobre las operaciones que individual o conjuntamente definen éste; y el tercero, sobre la definición de fichero y la identificación del afectado:

Primero: “La presente Ley se aplicará tanto a los tratamientos automatizados de datos de carácter personal como a los tratamientos no automatizados de datos de carácter personal contenidos o destinados a figurar en ficheros, con exclusión de los tratamientos realizados en el ejercicio de actividades exclusivamente personales, cuando el responsable de los datos cumpla las condiciones previstas en el artículo5 (ámbito de aplicación del derecho nacional)”.

Segundo: “Constituirá un tratamiento de datos de carácter personal cualquier operación o conjunto de operaciones sobre dichos datos, sea cual fuere el procedimiento utilizado, y especialmente la recogida, la grabación, la organización, la conservación, la adaptación o la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso, el cotejo o la interconexión, así como el bloqueo, el borrado o la destrucción.

Tercero: Constituirá un fichero de datos de carácter personal cualquier conjunto estructurado y estable de datos de carácter personal, accesibles según determinados criterios.

La persona afectada por el tratamiento de datos de carácter personal será aquélla a las que se refieran los datos objeto de tratamiento.

MetadatoS

La Asociación de los Profesionales de la Información y de la Documentación, ADBS, de Francia, define los metadatos[1], como el:

Conjunto estructurado de datos creados para proveer información sobre los recursos electrónicos. Pueden realizar diferentes funciones:

a) gestión de los recursos descritos (seguimiento del ciclo de vida: creación, modificación, archivo),

b) informaciones sobre el contenido del recurso para facilitar su revelación, ubicación, acceso,

c) seguimiento del uso y del respeto de los derechos y condiciones de uso asociado al recurso.

Ellos pueden expresarse en el mismo formato técnico de codificación que el recurso al que acompañan y estar disponibles al mismo tiempo. Los metadatos ahora pueden escribirse en varias estándares: RDF (Resource Description Framework), TEI (Text Encoding Initiative), la sintaxis "meta" HTML y Dublin Core, DTD EAD (Encoding archival description), etc.

Jack Myers, acuñó el término en la década de los 60 para describir conjuntos de datos. Su primera acepción fue la de dato sobre el dato, al proporcionar información mínima necesaria para identificar un recurso. Pero luego esta acepción se amplió, afirmándose que ella puede incluir información descriptiva sobre el contexto, calidad y condición o características del dato.  

Esa fue la propuesta de la Sociedad Española de Información y Documentación Científica, SEDIC, al definir los metadatos como[2]:

Toda aquella información descriptiva sobre el contexto, calidad, condición o características de un recurso, dato u objeto que tiene la finalidad de facilitar su recuperación, autentificación, evaluación, preservación y/o interoperabilidad.

Si centramos el análisis solo entre ambas definiciones podemos convenir que los metadatos son un conjunto estructurado de datos que aportan información sobre diferentes recursos en diferentes soportes[3]. Y cuyas funciones se vinculan a su contenido, su gestión y derechos asociados al recurso.

La función del contenido de los metadatos está relacionada a su revelación, ubicación, autentificación, evaluación, acceso, conceptos, significantes. La función de gestión se asocia al ciclo de vida del recurso: creación, seguimiento, modificación, recuperación, indexación, interoperabilidad, preservación, archivo. La función de derechos asociados se refiere a los usos, y goces sobre la tenencia y propiedad del recurso. Los metadatos pueden expresarse en el mismo formato técnico de codificación que el recurso al cual se encuentran asociado. Los estándares elegidos para los metadatos corresponderán así a la finalidad y pertinencia de su registro, ubicación, recuperación y explotación.

GEOLOCALIZACION

Los datos de localización han sido definidos en el Art. 2 Definiciones, inciso c) de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).

"Datos de localización": cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público".

Los servicios de geolocalización se basan en:

- el sistema GPS[4] ;

- la telefonía móvil de tipo GSM[5].

Determinar entonces la posición de una persona, vehículo u objeto (telefonía móvil, y otros objetos misceláneos[6]) requiere el uso de cualquiera  de estos sistemas de geolocalización.

La vinculación entre las ciencias y técnicas relativas al lenguaje, la documentación y el archivo al evocar la noción de Metadatos; las referidas a la geografía, informática y telecomunicaciones cuando aludimos a Geolocalización, y las ciencias jurídicas y administrativas relativas a la identificación y a los derechos inherentes a los Datos Personales, son otros tantos elementos que subrayan la complejidad del tema para su regulación. Si a ello, agregamos los diferentes conceptos, significantes, teorías utilizadas en disímiles lenguas y distintos sistemas jurídicos, administrativos, políticos podemos darnos una idea de las dificultades de la regulación nacional e internacional, particularmente, del derecho de la informática relativo a las personas y de la gobernanza de Internet.

         Próximo Artículo: Datos Personales y Geolocalización de Vehículos de Empleados

---

[1] http://www.adbs.fr/metadatos-17811.htm?RH=OUTILS_VOC

[2] http://www.sedic.es/autoformacion/metadatos/tema1.htm

[3] Los sistemas de metadatos han sido creados no sólo por profesionales de la documentación e información sino también por informáticos, diseñadores de programas, técnicos de sistemas, por lo que su enfoque no podría ser exclusivo sino complementario.

[4] Global Positioning System, GPS es un sistema de posicionamiento global de 24 satélites, operativos y accesibles al público en órbita sobre el planeta tierra, a 20.200 km, con trayectorias sincronizadas para cubrir toda la superficie de la Tierra. Para determinar la posición de un objeto, persona, vehículo, el receptor localiza automáticamente, como mínimo tres satélites de la red, de los que recibe señales indicando la identificación y la hora del reloj de cada uno de ellos. En base en estas señales, el receptor sincroniza el reloj del GPS y calcula el tiempo que tardan en llegar las señales al equipo, así mide la distancia al satélite mediante "triangulación" (método de trilateración inversa), para determinar la distancia de cada satélite respecto al punto de medición. Conocidas las distancias, se determina fácilmente la propia posición relativa respecto a los tres satélites. Conociendo además las coordenadas o posición de cada uno de ellos por la señal que emiten, se obtiene la posición absoluta o coordenadas reales del punto de medición. http://fr.wikipedia.org/wiki/Global_Positioning_System

[5] El sistema global para las comunicaciones móviles (Del inglés Global System for Mobile communications, GSM,  es un sistema estándar  de telefonía móvil digital. Un cliente GSM puede conectarse a través de su teléfono con su computador y enviar y recibir mensajes por correo electrónico, faxes, navegar por Internet, acceder con seguridad a la red informática de una compañía (red local/Intranet), así como utilizar otras funciones digitales de transmisión de datos, incluyendo el servicio de mensajes cortos (SMS) o mensajes de texto.

El sistema GSM se considera, por su velocidad de transmisión y otras características, un estándar de segunda generación (2G). Su extensión a 3G se denomina UMTS y difiere en su mayor velocidad de transmisión, el uso de una arquitectura de red ligeramente distinta y sobre todo en el empleo de diferentes protocolos de radio (W-CDMA).

http://es.wikipedia.org/wiki/Sistema_global_para_las_comunicaciones_m%C3%B3viles

[6] El crecimiento de Internet es un proceso en curso: hace sólo veinticinco años conectaba alrededor de un millar de ordenadores y, desde entonces, ha crecido hasta enlazar a miles de millones de personas a través de ordenadores y dispositivos móviles. Uno de los pasos más importantes en este avance será la evolución progresiva de una red de ordenadores interconectados a una red de objetos interconectados: desde libros hasta automóviles, desde aparatos electrodomésticos hasta alimentos, creándose así una «Internet de los objetos» Véase el informe de 2005 de la Unión Internacional para las Telecomunicaciones, UIT www.itu.int/dms_pub/itu-s/opb/pol/S-POL-IR.IT-2005-SUM-PDF-E.pdf o el informe del ISTAG ftp://ftp.cordis.europa.eu/pub/ist/docs/istagscenarios2010.pdf.

Véase igualmente: http://derecho-ntic.blogspot.fr/2012/02/objetos-nomadas-ubicuidad-y-datos.html