El Gobierno español regala tus datos a Google. ¿Es legal? Pues no.

Este post surge de una llamada que recibí de un diario para que les diera tips sobre un artículo que han titulado: ‘Ni el Gobierno cumple con la ley: Justicia y Transparencia usan cookies sin permiso‘.

Algunos juristas sostienen que la Administración Pública no está obligada a cumplir la Ley 34/2002 que sanciona el SPAM y exige pedir permiso a los ciudadanos antes de monitorizararlos o permitir que otros los monitoricen con cookies. Defienden que la ley es solo para los que vinculan su presencia en Internet con una actividad económica u onerosa (que no es lo mismo), de manera que la Administración Pública puede hacer lo que le plazca.

Quería intentar demostrar que se equivocan pero voy a poner en cuarentena mi postura hasta que tenga argumentos más sólidos que sostener. En su lugar, voy a explicar cómo vi las cookies y cómo voy a plantear mi estudio del caso, que también puede ser interesante.

Partimos de esta base: El Ministerio de Justicia instala cookies analíticas de Google Analytics y Youtube sin avisar al usuario. Con ello, está enviando ilegalmente datos de usuarios (españoles y extranjeros) a EE.UU. cometiendo varias infracciones que afectan gravemente a los derechos de los ciudadanos y, en mi opinión, les niega el derecho a decidir sobre el destino de sus datos y el tratamiento que se hace con ellos.

Por puntos:
  • ¿Incumple la Ley de Cookies (artículo 22.2 de la LSSI)? En mi opinión, sí y estoy trabajando en una argumentación sólida para sostenerlo.
  • Incumple la normativa de protección de datos: Realiza una transferencia internacional de datos no autorizada considerada infracción grave (art. 44 LOPD)
  • Alguien de marketing del Ministerio de Justicia está haciendo mal su trabajo:
    • YouTube tiene una opción para evitar que Google instale cookies a través de tu página (ver aquí).
    • Para usar Google Analytics el Ministerio de Justicia ha tenido que aceptar un contrato con Google para que esta empresa de EE.UU. trate los datos personales de los que el Ministerio es responsable. Contrato que debe haber sido autorizado por el cauce oportuno, de lo cual no hay constancia.

Si quieres ver las cookies por ti mismo, puedes aprender cómo se hace una auditoría de cookies o puedes hacer lo siguiente:

Captura de pantalla 2015-04-21 12.18.23

1.- Instalo y activo el complemento gratuito Attact Cookie Audit Tool en Google Chrome. 2.- Abro una “nueva ventana de incógnito” en Google Chrome.

 

Captura de pantalla 2015-04-21 12.18.14

3.- Abro la página del Ministerio de Justicia. 4.- Detengo la grabación de datos que está haciendo Attact Cookie Audit Tool. 5.- Veo el informe generado (ver en pdf)

¿Qué debería haber hecho el Ministerio para detener, al menos, las cookies de YouTube?

Regalo un Dogecoin al primero que me diga qué canción suena de fondo (por Twitter: @Pablofb). Regalo 100 Dogecoins al que me lo diga el segundo. ¡Para participar, me tienes que poner tu dirección dogecoin o el QR con ella! Si me vas a decir que lo podía haber grabado directamente desde el PC, conténtate con que lo haya grabado en horizontal.

¿Por qué no lo han hecho de forma correcta? Me comentan desde el Ministerio: “nosotros no tenemos que cumplir la ley“.

Además, Transparencia mantiene el código de Google Analytics en las zonas privada, sobre lo que el compañero Samuel Parra ha publicado este tweet.

Para poder obtener la respuesta a la pregunta de si la Administración Pública debe cumplir con lo dispuesto en la Ley 34/2002 tendremos que analizar:

  1. Si los conceptos de prestador de servicios de la sociedad de la información de la (importante) exposición de motivos y el (fundamental) anexo de la Ley 34/2002 excluyen de por sí a la Administración Pública.
  2. Si la ley 34/2002 es una transposición defectuosa de la Directiva 2000/31/CE. Habrá que determinar, en particular, si el defecto en la ley afecta a los privados en el sentido de restarles un derecho que se concede o respalda a través de la norma europea, en cuyo caso la Directiva podría ser aplicada directamente, si ya concluyó el periodo de transposición, como es el caso.
  3. Si la Ley 34/2002 está vinculada y relacionada con la normativa de protección de datos, que obliga a la Administración Pública igual que al resto de sujetos definidos en el artículo 2 de la Ley Orgánica de Protección de Datos (LOPD). En su caso, deberíamos determinar si existe una relación directa entre los sujetos obligados de una y de otra, prestando especial atención a lo referente al ejercicio de sus actividades, con las excepciones que ambas indican.
  4. Si la instalación de cookies a través de la web del Ministerio de Justicia, por la que se envían datos personales de ciudadanos españoles y extranjeros de forma ilegal a otros países, no debería ya de por sí ser motivo de bloqueo efectivo hasta haber obtenido el consentimiento informado de los interesados.
    1. En el caso de las cookies de YouTube, no hay ningún contrato firmado entre el Gobierno y Google así que los datos se van a usar en EEUU como a Google le plazca.
    2. Respecto a todas las cookies (Analytics y YouTube) es directa la aplicación no ya solo de la Ley 34/2002 si no de la Ley Orgánica de Protección de Datos de Carácter Personal.

Son temas complejos que se entrelazan y que solo marcan algunos caminos de investigación. Contactaré con compañeros (David, Joaquín, Samuel…) para ver si va bien dirigida. El debate sigue abierto. Tan solo plasmo aquí lo que se me va pasando por la cabeza. Como todo lo que escribo en este blog, son reflexiones personales que pueden estar bien o mal encaminadas. Ruego que no se tome nada de esto como un posicionamiento personal.

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?
Dejar un comentario?

26 Comentarios.

  1. Filomeno De Tal

    ¿Qué datos personales se están enviando? A menos que hayan hecho alguna cagada al integrarse con Google Analytics, no se debe de estar enviando ninguna información de carácter personal.

  2. Don’t Stop Believin’ de Journey, no tengo twiter, pero me gustó el artículo y sonreí al escuchar la canción.

  3. sergiojimenezmer

    Hola,
    Coincido con Filomeno, no son datos personales. De hecho, Google desaconseja el posible cruce de ID’s de usuarios personales con Google Analytcs a través de, por ejemplo Google Tag Manager. Esto no está soportado.
    Otra cosa es que sea legítimo o no la aplicación de la LSSI para sitios de Administraciones Públicas. A mi, personalmente, la historia de las cookies y la privacidad me parece realmente fijarse en un detalle accesorio frente a otros aspectos, tal y como defiende Amadeo Maturo en este post http://www.amedeomaturo.com/2013/08/28/cumplir-con-la-ley-de-cookies/
    En todo caso todas lo hacen (al menos a nivel AGE), y si que lo avisan (salvo seis de ellos), como se puede ver en este estudio comparado. http://wp.me/p5tKAI-1V
    Un saludo

  4. Filomeno, la IP es un dato de carácter personal:

    http://noticias.juridicas.com/juris/503-las-direcciones-ip-de-los-usuarios-de-internet-deben-ser-consideradas-como-datos-personales-y-por-tanto-estan-protegidos-por-la-lopd.html

    Sí, es una chorrada (a mí que Google tenga el dato de que mi IP ha accedido al Portal de Transparencia no es que me preocupe mucho), pero es la Ley.

    • Hola
      solo señalar que Google analítica no guarda la ir, guarda la Cook que se deposita en el navegador.

      • Google Analytics recibe la IP del visitante del sitio, si la guarda o no es cosa suya (que digo yo que lo hará), pero en la práctica lo que está pasando es que el sitio está enviando un dato personal (la IP) a Google. Entiendo que ese es el problema al que se refiere el post.

        • sergiojimenezmer

          Insisto en que no se almacena en Google Analytics, lo puedes comprobar. Si se almacenara la IP las cookies no serían necesarias (por pura lógica). De hecho, uno de los problemas de la directiva de “cookies” es que ha hecho que se generen otros métodos más “personalizantes” a través de una blueprint que archiva IP, navegador, zona horaria e idioma (por ejemplo), lo que es, desde luego, más difícil de controlar.

          • No, no lo puedo comprobar. Que mi IP viaja a los servidores de Google Analytics como visitante del sitio lo tengo claro, lo que no puedo saber es lo que hacen con mi IP. Que no la enseñen no quiere decir que no la guarden.

            • sergiojimenezmer

              niego la mayor. GA chequea la IP a nivel de filtrado para ver si se excluyen los datos o no en función de la propiedad. No se almacenan esos datos como puedes comprobar. https://productforums.google.com/forum/#!topic/analytics/JLu–1742-M
              Otra cosa es que no te lo creas.

              • En el hilo que enlazas dicen exactamente lo que yo: que no enseñan las IPs. E insisto: eso no quiere decir que no las guarden.

                Pero da exactamente igual, el punto importante no es ese. El punto importante es que el sitio que incluye Google Analytics está enviando a esta la IP del visitante sin preguntar, eso es lo ilegal. Lo que luego haga Google con esa IP da completamente igual.

              • sergiojimenezmer

                Que no envía la IP. Lo que estás diciendo es incorrecto. Al menos, podrías demostrar que lo hace, dado que dices que es una ilegalidad. Este tipo de cosas se hace con pruebas y no con suposiciones.
                ¿Tienes alguna prueba? ¿Algún identificador de que GA guarde las IP’s de nada? Tendría sentido guardar las IP’s y las cookies? Insisto, estás profundamente equivocado. Demuestrame que GA conserva las IP’s y te lo reconoceré sin problemas, pero “supongo” no es un argumento.

              • Te contesto aquí arriba porque abajo no me deja.

                Te vuelvo a repetir que da igual si la guarda o no, la ilegalidad es enviar la IP al servidor de Google Analytics.

                Y si no te crees que la IP del cliente va al servidor es que no sabes nada de cómo funciona Internet y no merece la pena seguir discutiendo.

              • Os confirmo que Google tiene acceso a las IPs de los usuarios con la versión de GA que usa el Mº. La nueva versión de GA, denominada “Universal Analytics”, dispone de una opción para impedir que Google acceda ese dato personal y lo trate, pero no es la que el Mº está usando según figura en el código fuente de la web.
                No se trata de un asunto de cookies, que en este artículo era solo el gancho, sino de que el Mº ha concedido a Google acceso directo al segmento de usuarios que navegan por esta web del Gobierno español.
                Espero que haya quedado más claro.

              • Muchas gracias por la aclaración, Pablo.

              • Hola,
                Tenéis razón respecto al archivo de las ips, aunque su anomizacion (muy anterior a UA) es responsabilidad del titular del sitio. Gracias por sacarme de mi error
                En todo caso dudo mucho de que se trate de algo ilegal, dado que según la AEPD se trata de un archivo de seguridad de nivel medio de titularidad del responsable de la web y operado por Google, que como operador de un fichero de nivel medio de tipo automatico, parece cumplir la normativa, ¿me equivoco?

  5. Con todo el desconocimiento. Su web no debería pedir lo mismo? Estoy analizando y me ha instalado cookies de youtube y otros servicios de google (entre otros tantos)

  6. Hace meses realicé una consulta a la Agencia Española de Protección de Datos en referencia a si las entidades sin ánimo de lucro entraban en la definición de “Prestador de servicios de la sociedad de la información”, que son los que están obligados a avisar de la cookies.

    Les realicé la consulta por un lado para una entidad sin ánimo de lucro en la que participo y por el otro para varios colegios profesionales con los que colaboro profesionalmente.

    La consulta, telefónica, duró a penas 3 minutos con la espera de la musiquilla incluída.

    Me confirmaron que no, que las entidades sin ánimo de lucro (partidos, ongés, colegios profesionales, etc….) no son prestadores de servicios de la sociedad de la información, que dicha ley sólo aplica a empresas y también a particulares que hagan negocio en Internet, que es lo que también sabrías si hubieras mirado mejor dicha ley o si hubieras consultado a algún abogado con 2 dedos de frente.

    Es decir, te has currado un post enorme para hacer el ridículo, en vez de llamar a AEPD y consultarles xD

  7. Abogados Empresa

    Enhorabuena por el post, por lo adecuado del tema y por lo razonado de la propuesta.
    Un saludo

  8. Privacidad y configuración de Analytics para Administraciones - pingback on 14 Diciembre, 2015 @1:43 pm

Deja un comentario