Cuéntame un cuento

Resulta que el pasado 27 de abril la agencia de protección de datos alemana realizó una queja a Google relacionada con la información Wi-Fi recogida por la flota de coches Street View, que por si no lo sabían, además de realizar fotografías, también capta información de SSIDs y MACs. El departamento legal de Google respondió que la única información Wi-Fi que recopilaban era, en efecto, esa. Es decir, en palabras de Google, que Networks also send information to other computers that are using the network, called payload data, but Google does not collect or store payload data

El caso es que la agencia de protección de datos alemana, que es una desconfiada, se queda con la mosca detrás de la oreja, y a principios de mayo se le antoja realizar una auditoría de esa información Wi-Fi. Y en estas que estamos, Google descubre, atónita y con sorpresa mayúscula, que aunque pensaba una cosa, ha resultado otra. Pensábamos que no, y resulta que sí; qué confusión más tonta.

¿El culpable? Pues de nuevo en palabras de Google, Quite simply, it was a mistake. Al parecer, un trozo de código experimental fue a parar inexplicablemente al código del proyecto a través del que Google recopila SSIDs y MACs mediante los coches Street View, y nadie se dio cuenta. Lo que parece sugerir, si hay que creerse la explicación, que nadie en Google sabía que esa información se estaba recogiendo ni que el código responsable había sido incorporado al proyecto. Entonces, ¿mintió el departamento legal en la primera consulta? The Register dice que no, y lo justifica esto en la estructura interna de Google, eminentemente formada por ingenieros, de manera que es posible de alguna forma que el departamento legal de Google estuviese diciendo la verdad e ignorase la realidad de los hechos. Claro que no sabe uno qué es peor, si que estén mintiendo, o que no sepan cómo se trata la información dentro de Google. En cualquier caso, es razonable suponer que los abogados no sabían qué se cocía, aunque eso no les exima de culpa.

Volvamos al argumento de Google, es decir, que fue un simple error. Lo cierto es que si estuviésemos hablando de un par de semanas, el argumento de Google tendría su parte de credibilidad; quizá no mucha, pero alguna. Pero después de tres años de estar recogiendo información, que según esta nota de Google (en pdf, un certificado de destrucción de los datos recopilados por los coches Street View correspondientes a Irlanda, emitida por la consultora ISEC) ocupa cuatro discos duros, y según cita The Register podría llegar a 600 GB, el argumento no pasa casi ni por una mala excusa. Tres años es mucho tiempo.

In 2006 an engineer working on an experimental WiFi project wrote a piece of code that sampled all categories of publicly broadcast WiFi data. A year later, when our mobile team started a project to collect basic WiFi network data like SSID information and MAC addresses using Google’s Street View cars, they included that code in their software—although the project leaders did not want, and had no intention of using, payload data.

Vale. Es cierto que 600GB no son muchos datos para el volumen de información que Google gestiona, pero no es descabellado pensar que durante ese tiempo, y dado que hablamos de treinta países y un número significativo de coches, alguien en algún momento se daría cuenta de que esa información estaba siendo recogida. *Alguien* debería haberse dado cuenta. O quizá la cuestión no era “darse cuenta de”, sino “darse cuenta de y preguntarse si”. Es decir, quizá los ingenieros trataban la información que necesitaban tratar (MACs y SSIDs) y dejaban el resto, sin plantearse qué hacía allí, si era necesaria para algo o incluso si debía ser recogida; eso no es cosa mía.

Resumiendo. Durante tres años, o el departamento legal no sabía qué pasaba dentro de Google con el tema de los coches o miente, y el personal técnico o no sabía qué datos estaba recogiendo o miente. De las cuatro posibles combinaciones, quédense con la que quieran; no estoy seguro de que haya alguna mejor que las demás. Ahora piensen en toda la información a la que Google accede, y toda la que puede estar recogiendo intencionadamente o por “descuido”; en buenas manos estamos.

Comments

  1. En buenas manos estamos? Google no es ningún gobierno…

    No me importa si Google es bueno o es malo, pero no culpemos a Google de nuestras decisiones. Si yo uso los servicios de Google, los uso para lo bueno y para lo malo. El servicio es un todo, con sus funcionalidades gratuitas y sus tracking cookies. Siempre puedo dejar de utilizarlos, y automáticamente Google deja de tener información sobre mi.

    Si yo mando datos al aire, cualquiera puede recibirlos. No nos echemos las manos a la cabeza por ello, en éso consiste el WiFi. ¿Sólo Google los ve y los guarda? ¿Creemos que las intenciones de Google van a ser peores que las del vecino cotilla? Yo no lo tendría tan claro…

    Puede que nos expongamos a muchas situaciones peligrosas por desconocimiento, pero eso no nos exime de ser responsables de nuestros actos.

  2. @Anónimo

    No estoy de acuerdo contigo. Por supuesto, todo el mundo es libre de dejar de utilizar los servicios de Google, y tras un tiempo de retención de la información de varios meses, Google eliminará la información.

    Pero la cuestión no es esa. En primer lugar, Google es una empresa, y tiene la obligación legal de indicar qué datos de los usuarios recoge y con qué finalidad. Sin ninguna duda, nuestro operador de telecomunicaciones podría registrar nuestros accesos a Internet y establecer patrones y estadísticas personales (i.e. perfiles) a partir de ellos, y sin embargo no lo hace. Podría hacerlo, pero tendría que decirlo previamente. Dicho de otra forma, Google puede captar datos de WiFi con sus coches Street Cars, pero está obligado a declarar que los recoge, cosa que no hacía hasta ahora.

    En segundo lugar, no es pertinente comparar a Google con nuestro vecino. No porque la información que unos y otros captan vaya a ser diferente (en realidad sí; nuestro vecino sin duda dispone de mucha más información), sino porque la primera dispone de un volumen de información a nivel global mucho mayor. El que dijo aquello de La información es poder sin duda estaba pensando en Google. Y quizá las intenciones de Google no sean peores que las de nuestro vecino cotilla, pero tiene muchos más recursos para llevar a cabo sus intenciones, sean las que sean, que nuestro vecino.

    Estoy de acuerdo en que no debemos victimizar al usuario, y que cada uno es responsable de sus actos. Pero cuando Google recoge datos de los que no ha informado, o los trata de maneras que no ha informado, estamos hablando de algo completamente diferente.

  3. a la apd le va a costar mucho coger por aqui a los de gugle. se han limitado a recopilar informacion que los usuarios (a sabiendas o no) estan enviando publicamente a la calle.. a guevo para decir qeu es “informacion recogida de fuentes publicas” ¿mas publico que la puñetera calle? y si es informacion publica no hay obligacion de pedir permiso, aunque si declarar el fichero (si hay datos personales).

    en mi opinion si estan guardando ssid, mac bssid, tipo de red abierta-wep-wap… aqui no hay informacion de caracter personal.. tendrian que justificar que se puede asociar una direccion mac con una persona fisica.. eso lo puede hacer un isp, pero no mcho mas. y si no hay datos de caracter personal, la competencia de la agencia desaparece.

  4. @Wiki

    Según la LOPD, el tema de las fuentes de acceso público es diferente de lo que podríamos considerar “sentido común”, entiendo que para limitar el envío de spam por parte de empresas. La LOPD cita como fuentes de acceso público las siguientes:

    “Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
    Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.”

    Por ejemplo, aunque un e-mail esté en Internet, ésta no es una fuente de acceso público y por tanto no puede utilizarse para el envío de publicidad sin el consentimiento del afectado. De todas formas, aquí nos enfrentamos a lo mismo de siempre, que Google es una multinacional americana y su adhesión a las legislaciones europeas es cuando menos difusa y siempre voluntaria, más por las implicaciones reputacionales y económicas que legales.

    En cualquier caso, lo que se está planteando no es que estén guardando los datos que indicas, algo que habían declarado que hacían y que efectivamente no tiene mucha relación con los datos de carácter personal, sino que al parecer han estado registrando y almacenando el tráfico que se transmitía por esas redes durante el tiempo que el Street Car mantenía la visibilidad, donde sí podrían existir datos de carácter personal.

  5. Bueno, en España la Agencia de Protección de Datos (AEPD) publica hoy una nota de prensa en la que se indica la apertura de investigaciones sobre este tema y se le requiere a Google que facilite determinada información, entre otra, la finalidad de los datos que ha captado en las ciudades españolas, así como el número concreto de ciudades en las que los coches de StreetView han estado llevando a cabo sus actividades. Veremos como acaba el tema.

    Saludos.

  6. Con la frase de “en buenas manos estamos” qué estamos juzgando, el cumplimiento legal de Google o sus intenciones? Para mi son dos temas completamente distintos.

    ¿Google ha incumplido la legalidad vigente? Probablemente, aunque solo sea por tratar (almacenar) el payload de las redes WiFi detectadas sin informar a los usuarios. Aunque claro, habría que asegurarse de que el identificador de una red WiFi sirve para identificar a personas de forma “fácil”, porque si no, no le aplica la LOPD.

    Y según parece Google no ha hecho ni más (ni menos) que almacenar la información que está accesible. Aparentemente sin tratarla más que para su almacenamiento. ¿Si no desconfiamos de los operadores de telecomunicaciones (que sí que la almacenan, por obligación legal), por qué tenemos que hacerlo de Google? El nivel de desconfianza debería ser similar en ambos casos, no? ¿Acaso alguien tiene argumentos para decir que Telefónica o Vodafone son más de fiar (o menos) que Google? Porque en cuanto a sanciones por incumplimiento de la LOPD se ponen las botas…

    En definitiva, si Google tiene tanto poder es porque los usuarios se lo hemos dado. Y quitárselo es facilísimo, sólo hay que dejar de usar sus servicios. ¿Entonces, cuál es el miedo?

  7. He itentado votar este post, pero no se puede. Otros sí…

  8. @Angy

    Al parecer, el sistema de voto registra el voto, pero a veces se queda “cargando”. Lo miraré a ver qué le pasa.

    @Anónimo

    Cuando digo lo de “en buenas manos estamos” me refiero a Google, tanto en el sentido de cumplimiento legal como de sus intenciones. Obviamente, no estamos “en manos” de Google, como lo diríamos por ejemplo de un gobierno, pero dado el volumen de información personal que gestiona, el tema es a veces preocupante.

    En relación con el identificador de la red WiFi, no, no creo que sea fácil identificar a una persona por éste (aunque claro, aquello del “esfuerzo desproporcionado” para la agencia es un término muy relativo). No obstante, el problema no es ese, porque son precisamente los datos que Google decía que estaba capturando. El problema es si en el payload registrado por los Street Cars existe información personal identificable; por ejemplo, alguien posteando en un foro, o un e-mail enviado en ese momento. Esa es información que a) Google no declaró que estaba recogiendo, b) no existe una finalidad para su grabación, y c) viola el principio de calidad del dato de la LOPD.

    Respecto al otro punto, es cierto. Google no hace otra cosa que almacenar la información que está accesible. Pero el problema aquí es el volumen de información que Google está comenzando a almacenar de los usuarios. Por otro lado, la diferencia entre los operadores de telefonía y Google es para mí muy clara. Por un lado, los primeros se someten a la legislación española y europea, y como tú dices, reciben multas; Google todo lo más que recibe son sugerencias, recomendaciones y exigencias de la UE y de sus miembros, aunque en general acostumbra a hacer oídos sordos. Es decir, que no se somete a la legislación europea, sino a la estadounidense; creo que esa es una diferencia sustancial. Por otro lado, yo sí creo que las telecos son más de fiar que Google, o al menos tienen sus intenciones mucho mejor definidas, y sobre todo, no parecen ser opacas como lo es la empresa americana.

    Acabo. Correcto, si Google tiene tanto poder es porque los usuarios se lo hemos dado. Pero eso no implica que no tenga que someterse a las mismas leyes que todos los demás. La gente tiende a creer que dar un producto gratis implica relajar las exigencias hacia la empresa que ofrece el producto, pero las cosas no funcionan así. A mí me gusta Google, y utilizo sus servicios como cualquier otro, pero eso no quita que tenga todo el derecho a exigir que trate mis datos de acuerdo a la legislación vigente. Son dos cosas diferentes. Porque no olvidemos que aunque Google ofrece sus productos de manera gratuita, es una empresa que gana (mucho) dinero en gran parte con los datos de sus usuarios. Creo que es justo exigirle algunas garantías.

  9. Francisco Benet says

    A ver si me aclaro, respecto al tema de Vodafone o Telefonica, si no tengo ningun contrato con ellos ¿por que debo desconfiar? Sin embargo Google va por las calles recogiendo datos tengas o no relación contractual con ellos, creo que la diferencia es clara. Y sobre las intenciones, ejem, paranoia mode on.

    O eso o es que no me he enterado.

  10. Sr. Benet no se meta con Google, ¡lo hicieron sin querer!

    ¿Acaso nunca se os ha colado un trozo de código, que funciona perfectamente tanto en lo que refiere al propio código como la comunicación con el resto de la aplicación, y en tres años no ha causado ningún tipo de anomalía, incompatibilidad con el hardware, fallo del programa, escritura en BBDD, etc etc?

    Desde luego que mal pensados sois… seguro a que si miran el changelog tiene hasta revisiones el código… todas ellas no intencionadas, se revisaban solas…

Trackbacks

  1. […] This post was mentioned on Twitter by Security Art Work. Security Art Work said: Volvemos a la carga después de un día de descanso con la última metedura de pata de Google y sus Street View Cars: http://bit.ly/bSbq5J […]

  2. […] captaba las fotografías que posteriormente utiliza en su servicio Google Street View, aunque a pesar de lo defendido por Google todo apunta a que fue más intencionado que accidental. Sea como sea, dejando ese tema aparte lo que me gustaría poner de manifiesto es la completa […]