Derecho Tecnológico y Algo más…

Hace algún tiempo que llegó a mis manos una nota de prensa de la Agencia Española de Protección de Datos en la que se hablaba en relación a la reunión mantenida con Peter Fleischer, responsable de políticas de privacidad de Google y con Marco Pancini, consejero d Políticas Europeas de Google.

En la nota de presenta se analizaban varios aspectos que en los últimos tiempos están causando más de un dolor de cabeza a Google, a la AEPD y a los usuarios de los diferentes servicios del buscador… (¿o realmente esto último no es así?)

Concretamente me refiero a los dos últimos servicios del gigante de Mountain View, “Google Health” y “Google Street View“.

Respecto al primero, buscando por la red no he visto grandes debates respecto a las dudas sobre la protección de la privacidad (y vaya si existen…), no así con el caso de Street View, sobre el que ya nos ha hablado Javier Prenafreta en el Blog del Inteco sobre Seguridad de la Información.

Centrándonos en este último servicio, los coches de Google Street View ya están recorriendo con sus cámaras las calles de España fotografiando y posteriormente tratando todas y cada una de las imágenes captadas de las calles, coches, transeúntes,…vamos de todo lo que se encuentra a su paso…

Google ya se lo avisó a la AEPD, “cuando estos servicios salgan en España no incumpliremos la normativa vigente”, procediendo a la anonimización de los datos personales que pudieran aparecer en la imágenes…pero….(cómo no hay un pero…)

Una cosa es clara, si Google capta imágenes o datos personales de las personas que se encuentran andando por las calles, está realizando un tratamiento de datos personales en toda regla, independientemente de que los datos personales sean posteriormente anonimizados.

Parece claro que para poder realizar este tratamiento debe cumplir con la obligación de información y de obtención del consentimiento inequívoco dispuesto en los artículos 5 y 6 de la LOPD, además de otros como la notificación del fichero en cuestión a la AEPD…pero es más, aunque el fichero posteriormente vaya a ser mostrado previa anonimización de todos los contenidos considerados datos personales o susceptibles de ser considerados, hasta el justo momento en que los datos personales hayan sido anonimizados, el responsable del fichero debe cumplir con la normativa de protección de datos.

Si tomamos como punto de partida el art. 2.b) de la Directiva 95/46/CE, donde se define de forma expresa el concepto de “tratamiento de datos personales”, podemos observar como se incluyen una gran cantidad de acciones relativas al fichero que contiene los datos

Entre estas acciones se encuentra la “modificación” del fichero que contiene los datos personales. Sin necesidad de realizar una interpretación extensiva del concepto de “modificación”, dentro de éste se encuentra la aplicación de los procedimientos de anonimización, dado que estrictamente se trata de un proceso que “modifica” la estructura, los datos y en definitiva el fichero objeto de tratamiento.

Derivado de la conclusión anterior, hemos de tener en cuenta que conlleva que el Responsable del fichero debe de seguir atendiendo hasta el momento de finalización del procedimiento de anonimización a los principios generales de la normativa de protección de datos, especialmente al derecho de información y al consentimiento del titular de los datos.