Datos y más datos, ¿pero dónde se guardan?
Vivimos en un océano de datos. De hecho, estamos atiborrados de datos.
Ya sean los que producimos (pasiva y activamente), los que compartimos (pasiva y activamente) o los que consumimos (pasiva y activamente también). Como muestra un botón, en 2013 se publica una noticia con una particularidad que ha llenado montones de Power Points desde entonces. La frase lapidaria era la siguiente: el 90% de los datos del mundo ha sido generado en los dos últimos años. Es decir, que el 90% de la información del planeta en 2013, se había generado entre 2011 y 2012…
Dudo que entre 2013 y hoy eso haya ido a menos. Por tanto sí, vivimos inundados por datos.
Y no va a ir a menos, ya que el mantra repetido sin cesar es que vivimos y nos encaminamos hacia la economía de los datos. Economía en la que nosotros somos pieza clave y que convierte a los datos en el nuevo petróleo. Ahora bien, ¿dónde se guarda mayor cantidad de ese petróleo? Si el valor económico de esa información es tal, por lógica quién más controle, mayor riqueza potencial tendrá. Eso es algo que ya exploramos hace casi 4 años mediante el Mapa de Términos y Condiciones, siendo el líder EE.UU.
Sin embargo, en aquel momento nos centramos en los grandes prestadores mundiales, sin hacer el vínculo a una región concreta. Ahora bien, con motivo del estudio del nuevo Reglamento General de Protección de Datos (la nueva norma en materia de privacidad a partir de mayo de 2018 en todos los países de la UE), pensé que podía ser interesante revisar esa pregunta pero desde la perspectiva de usuarios españoles.
El Mapa de Términos y Condiciones, según dónde alojan los grandes servicios sus datos
El punto de partida jurídico
El razonamiento es el siguiente: según el artículo 13.2 a) del Reglamento General de Protección de Datos (en adelante RGPD), las políticas de privacidad de 2018 y en adelante deberán indicar el plazo durante el cual se conservan los datos personales de un usuario. Es algo que raramente se señala hoy en día, no hay exigencia. Pero cuando se hace (un ejemplo podría ser Microsoft) se suele indicar en la política de retención de datos de la empresa. Esa política explica cómo la empresa conserva mis datos, por cuánto tiempo, en qué circunstancias y en qué lugar. De hecho, la misteriosa política de retención de datos de WhatsApp hizo que Canadá le abriera una investigación en 2013.
La cuestión radica en que indicar el plazo durante el cuál se conserva la información personal de un usuario, puede indirectamente también requerir la ubicación de los datos. Es decir, el plazo de tiempo es una cuestión que puede variar en función de si la información está por ejemplo online u offline. Lo que puede hacer que esté en un lugar u otro. Por tanto, indicar el tiempo, puede hacer necesario también indicar el lugar.
Además, si bien el artículo 13.2 RGPD únicamente requiere el plazo durante el que se conservan los datos, dice también que esa información debe indicarse para garantizar un tratamiento de datos leal y transparente. Y ese «principio de transparencia» del RGPD se menciona en múltiples ocasiones en los considerandos de la norma. De hecho, el Considerando 60 dice que «El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales.»
Así las cosas, no es una locura pensar que para indicar el plazo de conservación de los datos de la forma más transparente posible, sea también necesario indicar información complementaria como el lugar en el que se ubican los mismos.
A partir de este planteamiento, que en las políticas de privacidad futuras deba indicarse el plazo durante el que se conserva la información pero quizá también el lugar, me pareció interesante averiguar cuántas quizá ya indicaban la ubicación y cuáles serían esos lugares. En esta ocasión, centrando el análisis en las webs más visitadas desde España. Además, si estamos en la economía de dato, también el sector legal deberá empezar a producirlos (aunque por ahora no sea lo habitual).
Por tanto, generemos algunos datos legales.
Vamos con los números
Explicado el origen del pequeño estudio, ¿dónde guardan las webs más visitadas en España sus datos de acuerdo a sus actuales políticas de privacidad? Para hacer la selección usé Alexa, filtrando por país y seleccionando los 100 primeros sitios por tráfico (descarté algunas webs por estar más cerca del malware que de un prestador legítimo).
En relación al lugar en el que almacenan los datos:
La primera conclusión es que la mayoría no dice nada sobre el tema, de ahí que el Indeterminado gane con un 58%. La segunda conclusión es que EE.UU. sigue dominando entre los que dicen algo. Destacar que raramente se menciona a EE.UU. como único destino de la información, incorporando siempre la coletilla «y otros países». El problema es que muy raramente se indican esos otros países. La tercera conclusión es que entre los indeterminados la mayoría son servicios nacionales, y ahí los que más abundan son los medios de comunicación. Finalmente, Canadá, China y el misterioso «Fuera del Espacio Económico Europeo (EEE)» completan la lista de otros destinos.
Por otro lado, aprovechando el análisis, me pareció interesante averiguar cuántos de los servicios analizados se habían incorporado ya a Privacy Shield. Es decir, el nuevo mecanismo legal para que los prestadores de servicios norteamericanos transfieran los datos que recojan de ciudadanos europeos hacia Estados Unidos. Antes eso se hacía mediante algo llamado Safe Harbor, pero el Tribunal de Justicia de la UE lo invalidó el año pasado. Entonces deprisa y corriendo tuvo que adoptarse este nuevo mecanismo, que entró en vigor en agosto de este año.
Servicios analizados ya adheridos a Privacy Shield
De los 100 servicios analizados, únicamente 46 se verían afectados por Privacy Shield. De ellos, el 61% todavía no se había adherido, el 39% restante sí. Entre los que sí ya hay algunos de los grandes, como Facebook, Google, Amazon, Microsoft o Snapchat.
Finalmente, a continuación pueden consultarse los diferentes servicios analizados, y los datos relativos a cada uno de ellos.
[table id=5 /]
En conclusión
Para el usuario en general es un misterio dónde se almacenan sus datos. Cuando el destino es EE.UU., lo cual representa el 36% de los servicios analizados, sí se indica la ubicación ya que se trata de una transferencia internacional de datos desde Europa a Estados Unidos y existe la obligación legal de indicarlo desde hace años. Pero en el resto de casos, está claro que ese dato raramente se menciona. Ciertamente la exigencia no ha existido hasta el momento. Pero si todo debe girar en torno a los datos, no estaría de más ser transparente sobre su ubicación. Más cuando ello puede ser importante respecto a la vulnerabilidad o la seguridad de la información. En cualquier caso, a la luz de lo que está por venir con el nuevo RGPD, indicar dónde se ubican los datos podría convertirse en un requerimiento legal para cualquier servicio. Y en ese caso, más del 60% de los servicios analizados tendrán que modificar sus políticas de privacidad.
Definitivamente el nuevo Reglamento General de Protección de Datos va a traer novedades interesantes en materia de términos y condiciones.
¡Feliz data set!
—–
[…] a more detailed look, 58% of the most visited websites in a country like Spain, the subject of Morell’s research, do not reveal where they store their users’ personal information. As of now, they are not […]