La aceptación de las privacidades puede implicar que los proveedores tengan acceso a los datos desde países fuera del territorio donde se encuentren los usuarios
Nos preocupamos de las cookies, de si sale la foto de nuestro sobrino en las redes sociales, de si mi vecino me ve desde la ventana, pero, ¿somos realmente conscientes de lo que estamos haciendo cuando nos conectamos a una wifi gratuita? ¿Qué información estamos a dando? ¿A quién? ¿Durante cuanto tiempo?
Se supone que la nueva ley de protección de datos o GPDR se ha creado para proteger nuestros intereses, pero, ¿es en realidad así?
¿Quién, qué, cuándo, dónde y por qué?
Basta con darse un paseo por distintas wifis gratuitas para darse cuenta de que, si bien en líneas generales cumplen la normativa en materia de protección de datos, lo hacen con la misma flexibilidad que la ley permite.
Con diferencias y matices, todas las wifis gratuitas (Zara, Desigual, Rodilla, H&M, El Corte Inglés) consultadas mantienen una serie de rasgos en común:
- Almacenamiento de datos personales: Acceder a una wifi gratuita requiere una contraprestación por parte de los usuarios, ya que las empresas reciben información personal sobre ellos. Como mínimo, nombre, apellido y dirección de correo electrónico, si bien pueden pedir otros datos como teléfono, edad, dirección física o, en el caso de que se permita el acceso a través de redes sociales, la información que le proporcione la propia red social.
- Uso de la información: El uso reconocido de los datos es la prestación del servicio, pero también analizar la navegación para mejorar la experiencia de usuario. Eso también quiere decir que pueden utilizar nuestros datos para rastrear qué hacemos durante la conexión, qué lugares visitamos y después ofrecernos publicidad de productos y servicios afines a nuestro comportamiento. En ocasiones también envíos comerciales. Toda la información almacenada permite a las empresas ofrecer publicidad segmentada y mucho más cercana al usuario. Y, la información es poder.
- Cesión de datos a terceros: Para ceder o comunicar a terceros los datos personales una base de datos es necesario un consentimiento expreso del titular de los datos y darle a conocer la finalidad de la cesión de datos. En la mayoría de los casos apuntan a que se pueden conceder acceso a datos a un tercero (el prestador de servicios de internet) siempre y cuando sean necesarios para el acceso y uso correcto del servicio. En otras ocasiones, los terceros son otras empresas del grupo que utilizarán esos datos para obtener información de sus posibles clientes e impactarlos con publicidad.
En esta línea se posiciona
Inditex, que, como la mayoría de empresas visitadas, te informa de que "cuando resulte necesario al objeto de cumplir los fines anteriormente mencionados así como para el desarrollo o apoyo al servicio wifi, es posible que proveedores terceros u otras sociedades del Grupo Inditex tengan acceso a los datos personales". Eso sí, dentro de la Unión Europea.
- Derecho de acceso y rectificación: Los usuarios podrán ejercitar sus derechos de protección de sus datos (como por ejemplo, acceso, rectificación, supresión, limitación del tratamiento y portabilidad) enviando un correo electrónico al delegado de protección de datos de la empresa que ofrece el servicio. Toda esta información debe venir recogida en la Política de Privacidad - Condiciones del servicio. Es importante conocer a quién se pueden ceder nuestros datos ya que, por ejemplo, es habitual que se nos pida consentimiento para compartir nuestros datos con otras empresas del grupo o terceros sin mayores especificaciones.
¿Cuánto tiempo almacenan nuestros datos?
De acuerdo al Reglamento Europeo de Protección de Datos "todo tratamiento de datos personales debe ser lícito y leal. (...) Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. (...) Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica."
Esto se resume, en la práctica, en que cada proveedor de servicios puede decidir durante cuánto tiempo almacenará los datos de los usuarios que utilicen su red.
El diario Vozpópuli informaba hace unos meses que
H&M permite que los datos de los usuarios que utilizan su wifi se almacenen durante 14 meses.
Otros, como El Corte Ingles, estipulan en sus
términos y condiciones que almacenacenarán los datos durante 90 días con la única y exclusiva finalidad de que sus usuarios puedan disfrutar de conexión a internet y otras wifis públicas presentan períodos parecidos.
Y, en lo que a cifras se refiere, la más llamativa es la de la cadena de
restaurantes Rodilla, que almacena los datos de los usuarios durante la friolera de, ni más ni menos, de un "mínimo de 3 años". Ojo, que dice mínimo...
Compartir información a cambio de ancho de banda
La cosa no queda ahí, puesto que la cadena de restaurantes permite la conexión a través de distintas redes sociales y, en base a eso, la información de la que dispone es bastante amplia:
nombre, apellidos, mail, género, fecha de nacimiento, foto de perfil, amigos, likes, ciudad o lugar de residencia... Esto la convierte en una de las wifis gratuitas que más información almacena y durante más tiempo de todas las que hemos analizado.
Mauricio Luque, abogado y editor de la web jurídica
Lexur, afirma que "el famoso RGPD se posiciona claramente del lado de las empresas ya que sus preceptos están llenos de términos como leal, razonable o necesario, que dejan a elección de las empresas asuntos tan importantes como decidir cuánto tiempo conservarán los datos de los usuarios que usan sus redes inalámbricas públicas mientras que al ciudadano/usuario sólo le queda el recurso de acudir a los tribunales de justicia, lo que evidentemente, casi nunca va a hacer."
Lo cierto es que aunque en ocasiones ambigua, la RGPD exige el consentimiento expreso de los usuarios para la cesión y uso de sus datos y son los propios usuarios los que de manera habitual, no leen esos términos y condiciones.
Privacidad de los datos y movilidad geográfica
Mauricio Luque continúa explicando la
complejidad de los derechos de los usuarios de las wifis gratuitas: "Contra la privacidad de los usuarios confluyen dos intereses: de un lado, el interés de las compañías mercantiles en acumular la mayor cantidad posible de datos de sus clientes potenciales y, de otro, el interés de las instituciones públicas de seguridad en conocer y conservar información sobre los ciudadanos y los posibles delincuentes. Frente a esto, la regulación europea que debería proteger a los ciudadanos"
¿Qué significa esto? Pues por ejemplo que
una empresa de Estados Unidos, con un domicilio social en Irlanda, puede crear su propia base de datos en Europa y, en la práctica, manejar esos datos desde fuera de la Unión, aunque los envíos o el contacto con los usuarios se realice desde la propia Unión. Esto les permite seguir teniendo acceso a datos a nivel global a pesar de los cambios realizados en materia de protección de datos.
La nueva ley, por su parte, especifica que "si los datos personales se transfieren de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento."
Según Luque, "las obligaciones que impone a las empresas el Capítulo V del RGPD para prevenir la exportación de datos son, a efectos prácticos, papel mojado, por cuanto un número cada vez mayor de empresas optan por situar sus servicios "en la nube" y un simple dominio local, que cuesta quince euros, les convierte en operadores locales en cualquier lugar del mundo. La realidad tecnológica va mucho más deprisa que la regulación; de hecho, la cesión de datos a Irlanda no es más que un paso intermedio para que esos datos sean manejados desde un país títere dentro de la Unión Europea por compañías multinacionales, normalmente estadounidenses."
Todo tiene un precio
Tras analizar varios servicios gratuitos de acceso a Internet, lo cierto es que la mayoría de los consumidores no son conscientes de qué datos están cediendo, a quién, ni con qué finalidad. En la mayoría de los casos, porque nadie se lee la información que los proveedores del servicio facilitan (a pesar de que tengan que aceptarla).
Para prevenir el almacenamiento de datos no deseados o la recepción de comunicaciones comerciales, existen algunas alternativas.
Navegar a través de una VPN, que nos permitirá utilizar los servicios wifi pero hacerlo de una manera anónima (y por tanto, no les permitirá acceder a nuestros datos de navegación) o, simplemente, ampliar la tarifa de datos de tu teléfono móvil.
Y, como medida desesperada, utilizar la wifi gratuita y después ponerte en contacto con el delegado de protección de datos para ejercer tu derecho a la supresión de tus datos. Y tú, ¿qué prefieres?, ¿pagar en datos o en euros?