Dónde guardan tus datos las webs más visitadas en España

Datos y más datos, ¿pero dónde se guardan?

Vivimos en un océano de datos. De hecho, estamos atiborrados de datos.

Ya sean los que producimos (pasiva y activamente), los que compartimos (pasiva y activamente) o los que consumimos (pasiva y activamente también). Como muestra un botón, en 2013 se publica una noticia con una particularidad que ha llenado montones de Power Points desde entonces. La frase lapidaria era la siguiente: el 90% de los datos del mundo ha sido generado en los dos últimos años. Es decir, que el 90% de la información del planeta en 2013, se había generado entre 2011 y 2012…

Dudo que entre 2013 y hoy eso haya ido a menos. Por tanto sí, vivimos inundados por datos.

Y no va a ir a menos, ya que el mantra repetido sin cesar es que vivimos y nos encaminamos hacia la economía de los datos. Economía en la que nosotros somos pieza clave y que convierte a los datos en el nuevo petróleo. Ahora bien, ¿dónde se guarda mayor cantidad de ese petróleo? Si el valor económico de esa información es tal, por lógica quién más controle, mayor riqueza potencial tendrá. Eso es algo que ya exploramos hace casi 4 años mediante el Mapa de Términos y Condiciones, siendo el líder EE.UU.

Sin embargo, en aquel momento nos centramos en los grandes prestadores mundiales, sin hacer el vínculo a una región concreta. Ahora bien, con motivo del estudio del nuevo Reglamento General de Protección de Datos (la nueva norma en materia de privacidad a partir de mayo de 2018 en todos los países de la UE), pensé que podía ser interesante revisar esa pregunta pero desde la perspectiva de usuarios españoles.

mapa_tyc

El Mapa de Términos y Condiciones, según dónde alojan los grandes servicios sus datos

El punto de partida jurídico

El razonamiento es el siguiente: según el artículo 13.2 a) del Reglamento General de Protección de Datos (en adelante RGPD), las políticas de privacidad de 2018 y en adelante deberán indicar el plazo durante el cual se conservan los datos personales de un usuario. Es algo que raramente se señala hoy en día, no hay exigencia. Pero cuando se hace (un ejemplo podría ser Microsoft) se suele indicar en la política de retención de datos de la empresa. Esa política explica cómo la empresa conserva mis datos, por cuánto tiempo, en qué circunstancias y en qué lugar. De hecho, la misteriosa política de retención de datos de WhatsApp hizo que Canadá le abriera una investigación en 2013.

La cuestión radica en que indicar el plazo durante el cuál se conserva la información personal de un usuario, puede indirectamente también requerir la ubicación de los datos. Es decir, el plazo de tiempo es una cuestión que puede variar en función de si la información está por ejemplo online u offline. Lo que puede hacer que esté en un lugar u otro. Por tanto, indicar el tiempo, puede hacer necesario también indicar el lugar.

Además, si bien el artículo 13.2 RGPD únicamente requiere el plazo durante el que se conservan los datos, dice también que esa información debe indicarse para garantizar un tratamiento de datos leal y transparente. Y ese “principio de transparencia” del RGPD se menciona en múltiples ocasiones en los considerandos de la norma. De hecho, el Considerando 60 dice que “El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales.”

Así las cosas, no es una locura pensar que para indicar el plazo de conservación de los datos de la forma más transparente posible, sea también necesario indicar información complementaria como el lugar en el que se ubican los mismos.

A partir de este planteamiento, que en las políticas de privacidad futuras deba indicarse el plazo durante el que se conserva la información pero quizá también el lugar, me pareció interesante averiguar cuántas quizá ya indicaban la ubicación y cuáles serían esos lugares. En esta ocasión, centrando el análisis en las webs más visitadas desde España. Además, si estamos en la economía de dato, también el sector legal deberá empezar a producirlos (aunque por ahora no sea lo habitual).

Por tanto, generemos algunos datos legales.

Vamos con los números

Explicado el origen del pequeño estudio, ¿dónde guardan las webs más visitadas en España sus datos de acuerdo a sus actuales políticas de privacidad? Para hacer la selección usé Alexa, filtrando por país y seleccionando los 100 primeros sitios por tráfico (descarté algunas webs por estar más cerca del malware que de un prestador legítimo).

En relación al lugar en el que almacenan los datos:

La primera conclusión es que la mayoría no dice nada sobre el tema, de ahí que el Indeterminado gane con un 58%. La segunda conclusión es que EE.UU. sigue dominando entre los que dicen algo. Destacar que raramente se menciona a EE.UU. como único destino de la información, incorporando siempre la coletilla “y otros países”. El problema es que muy raramente se indican esos otros países. La tercera conclusión es que entre los indeterminados la mayoría son servicios nacionales, y ahí los que más abundan son los medios de comunicación. Finalmente, Canadá, China y el misterioso “Fuera del Espacio Económico Europeo (EEE)” completan la lista de otros destinos.

Por otro lado, aprovechando el análisis, me pareció interesante averiguar cuántos de los servicios analizados se habían incorporado ya a Privacy Shield. Es decir, el nuevo mecanismo legal para que los prestadores de servicios norteamericanos transfieran los datos que recojan de ciudadanos europeos hacia Estados Unidos. Antes eso se hacía mediante algo llamado Safe Harbor, pero el Tribunal de Justicia de la UE lo invalidó el año pasado. Entonces deprisa y corriendo tuvo que adoptarse este nuevo mecanismo, que entró en vigor en agosto de este año.

Servicios analizados ya adheridos a Privacy Shield

De los 100 servicios analizados, únicamente 46 se verían afectados por Privacy Shield. De ellos, el 61% todavía no se había adherido, el 39% restante sí. Entre los que sí ya hay algunos de los grandes, como Facebook, Google, Amazon, Microsoft o Snapchat.

Finalmente, a continuación pueden consultarse los diferentes servicios analizados, y los datos relativos a cada uno de ellos.

ServicioDónde aloja datos¿Privacy Shield?
TwitterEE.UU. (y otros países)
AmazonEE.UU. (y otros países)
WikipediaEE.UU. (y otros países)No
MicrosoftEE.UU. (y otros países)
LinkedInEE.UU. (y otros países)No
YahooEE.UU. (y otros países)No
InstagramEE.UU. (y otros países)
WordpressIndeterminadoNo
FacebookEE.UU. (y otros países)
GoogleEE.UU. (y otros países)
YoutubeEE.UU. (y otros países)
AliExpressChina (y otros países)No aplicable
El PaísIndeterminadoNo aplicable
MarcaIndeterminadoNo aplicable
Hola.comIndeterminadoNo aplicable
MilanunciosIndeterminadoNo aplicable
As.comIndeterminadoNo aplicable
LaCaixaIndeterminadoNo aplicable
PaypalEE.UU. (y otros países)No
eBayEE.UU. (y otros países)No
El ConfidencialIndeterminadoNo aplicable
BloggerEE.UU. (y otros países)
WordreferenceIndeterminadoNo
Abc.esIndeterminadoNo aplicable
IdealistaIndeterminadoNo aplicable
PinterestEE.UU. (y otros países)No
La VanguardiaIndeterminadoNo aplicable
StackOverflowEE.UU. (y otros países)No
Bet365Fuera del EEENo
ING DirectIndeterminadoNo aplicable
MSN.comEE.UU. (y otros países)
DropboxEE.UU. (y otros países)
AppleEE.UU. (y otros países)No
ForocochesIndeterminadoNo aplicable
GitHubEE.UU.
20minutosIndeterminadoNo aplicable
InfojobsIndeterminadoNo aplicable
BBVAIndeterminadoNo aplicable
TumblrEE.UU. (y otros países)No
ExpansiónIndeterminadoNo aplicable
Grupo SantanderIndeterminadoNo aplicable
Eldiario.esIndeterminadoNo aplicable
FilmaffinityIndeterminadoNo aplicable
OutbrainEE.UU. (y otros países)No
PornhubIndeterminadoNo aplicable
Adf.lyEE.UU.No
Vk.comIndeterminadoNo aplicable
WeTransferEE.UU. (y otros países)No
TripadvisorEE.UU. (y otros países)No
GearbestIndeterminadoNo
NetflixFuera del EEENo
El EconomistaIndeterminadoNo aplicable
Eltiempo.esIndeterminadoNo aplicable
Office.comEE.UU. (y otros países)
RedditEE.UU. (y otros países)No
Sport.esIndeterminadoNo aplicable
Rtve.esIndeterminadoNo aplicable
El Corte InglésIndeterminadoNo aplicable
BankiaIndeterminadoNo aplicable
PC ComponentesIndeterminadoNo aplicable
BingEE.UU. (y otros países)
FotocasaIndeterminadoNo aplicable
Mundo DeportivoIndeterminadoNo aplicable
MovistarIndeterminadoNo aplicable
1&1IndeterminadoNo aplicable
Live JasminIndeterminadoNo
RedsysIndeterminadoNo aplicable
TrelloEE.UU. (y otros países)
ImdbEE.UU. (y otros países)
Loterías y Apuestas del EstadoIndeterminadoNo aplicable
HootsuiteCanadá (y otros países)No aplicable
El EspañolIndeterminadoNo aplicable
AdobeEE.UU. (y otros países)No
VibboIndeterminadoNo aplicable
MenéameIndeterminadoNo aplicable
XatakaIndeterminadoNo aplicable
TelecincoIndeterminadoNo aplicable
Libertad DigitalIndeterminadoNo aplicable
El PeriódicoIndeterminadoNo aplicable
ImgurIndeterminadoNo
Europa PressIndeterminadoNo aplicable
EtsyEE.UU. (y otros países)No
Público.esIndeterminadoNo aplicable
Atresplayer.comIndeterminadoNo aplicable
MailChimpEE.UU. (y otros países)
SlackEE.UU. (y otros países)
Huffington PostEE.UU.No
SpotifyFuera del EEENo
TaringaIndeterminadoNo
IkeaFuera del EEENo
Escada RuralIndeterminadoNo aplicable
RaeIndeterminadoNo aplicable
AemetIndeterminadoNo aplicable
RenfeIndeterminadoNo aplicable
MinubeIndeterminadoNo aplicable
Vice.comEE.UU.No
BookingIndeterminadoNo aplicable
WhatsAppEE.UU. (y otros países)
Banc SabadellIndeterminadoNo aplicable
MediamarktIndeterminadoNo aplicable

En conclusión

Para el usuario en general es un misterio dónde se almacenan sus datos. Cuando el destino es EE.UU., lo cual representa el 36% de los servicios analizados, sí se indica la ubicación ya que se trata de una transferencia internacional de datos desde Europa a Estados Unidos y existe la obligación legal de indicarlo desde hace años. Pero en el resto de casos, está claro que ese dato raramente se menciona. Ciertamente la exigencia no ha existido hasta el momento. Pero si todo debe girar en torno a los datos, no estaría de más ser transparente sobre su ubicación. Más cuando ello puede ser importante respecto a la vulnerabilidad o la seguridad de la información. En cualquier caso, a la luz de lo que está por venir con el nuevo RGPD, indicar dónde se ubican los datos podría convertirse en un requerimiento legal para cualquier servicio. Y en ese caso, más del 60% de los servicios analizados tendrán que modificar sus políticas de privacidad.

Definitivamente el nuevo Reglamento General de Protección de Datos va a traer novedades interesantes en materia de términos y condiciones.

¡Feliz data set!
—–

6 opiniones en “Dónde guardan tus datos las webs más visitadas en España”

  1. Hola Jorge. Felicidades por el trabajo realizado, que se plasma en el articulo. Seria interesante saber que procentaje de datos se ha generado en estos 3 ultimos años, aunque, como bien dices, lo que si va a ser interesante seran los términos y condiciones que va a traer el NUEVO REGLAMENTO. gracias y un saludo

    1. Hola Rafael,

      Gracias. :-)

      Los datos relativos a Privacy Shield son muy recientes, Agosto – Noviembre 2016. De hecho, en ese tema preparamos algo jugoso antes de acabar el año.

      Lo otro sí es más difícil de conocer.

      Y definitivamente el nuevo reglamento, en términos y condiciones, va a dar mucho juego. Con numerosas ideas ya sobre temas a analizar y sobre los que escribir.

      Saludos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.