Nos preocupamos de las cookies, de si sale la foto de nuestro sobrino en las redes sociales, de si mi vecino me ve desde la ventana, pero, ¿somos realmente conscientes de lo que estamos haciendo cuando nos conectamos a una wifi gratuita? ¿Qué información estamos a dando? ¿A quién? ¿Durante cuanto tiempo?
Se supone que la nueva ley de protección de datos se ha creado para proteger nuestros intereses, pero, ¿es en realidad así?
¿Quién, qué, cuándo, dónde y por qué?
Basta con darse un paseo por distintas wifis gratuitas para darse cuenta de que, si bien en líneas generales cumplen la normativa en materia de protección de datos, lo hacen con la misma flexibilidad que la ley permite.
Con diferencias y matices, todas las wifis gratuitas (Zara, Desigual, Rodilla, H&M, El Corte Inglés) consultadas mantienen una serie de rasgos en común:
- Almacenamiento de datos personales: Acceder a una wifi gratuita requiere una contraprestación por parte de los usuarios, ya que las empresas reciben información personal sobre ellos. Como mínimo, nombre, apellido y dirección de correo electrónico, si bien pueden pedir otros datos como teléfono, edad, dirección física o, en el caso de que se permita el acceso a través de redes sociales, la información que le proporcione la propia red social.
- Uso de la información: El uso reconocido de los datos es la prestación del servicio, pero también analizar la navegación para mejorar la experiencia de usuario. Eso también quiere decir que pueden utilizar nuestros datos para rastrear qué hacemos durante la conexión, qué lugares visitamos y después ofrecernos publicidad de productos y servicios afines a nuestro comportamiento. En ocasiones también envíos comerciales. Toda la información almacenada permite a las empresas ofrecer publicidad segmentada y mucho más cercana al usuario. Y, la información es poder.
- Cesión de datos a terceros: Para ceder o comunicar a terceros la privacidad de los datos personales una base de datos es necesario un consentimiento expreso del titular de los datos y darle a conocer la finalidad de la cesión de datos. En la mayoría de los casos apuntan a que se pueden conceder acceso a datos a un tercero (el prestador de servicios de internet) siempre y cuando sean necesarios para el acceso y uso correcto del servicio. En otras ocasiones, los terceros son otras empresas del grupo que utilizarán esos datos para obtener información de sus posibles clientes e impactarlos con publicidad.
En esta línea se posiciona Inditex, que, como la mayoría de empresas visitadas, te informa de que «cuando resulte necesario al objeto de cumplir los fines anteriormente mencionados así como para el desarrollo o apoyo al servicio wifi, es posible que proveedores terceros u otras sociedades del Grupo Inditex tengan acceso a los datos personales». Eso sí, dentro de la Unión Europea.
- Derecho de acceso y rectificación: Los usuarios podrán ejercitar sus derechos de protección de sus datos (como por ejemplo, acceso, rectificación, supresión, limitación del tratamiento y portabilidad) enviando un correo electrónico al delegado de protección de datos de la empresa que ofrece el servicio. Toda esta información debe venir recogida en la Política de Privacidad – Condiciones del servicio. Es importante conocer a quién se pueden ceder nuestros datos ya que, por ejemplo, es habitual que se nos pida consentimiento para compartir nuestros datos con otras empresas del grupo o terceros sin mayores especificaciones.
¿Cuánto tiempo almacenan nuestros datos?
De acuerdo al Reglamento Europeo de Protección de Datos «todo tratamiento de datos personales debe ser lícito y leal. (…) Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. (…) Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.»
Esto se resume, en la práctica, en que cada proveedor de servicios puede decidir durante cuánto tiempo almacenará los datos de los usuarios que utilicen su red.
El diario Vozpópuli informaba hace unos meses que H&M permite que los datos de los usuarios que utilizan su wifi se almacenen durante 14 meses.
Otros, como El Corte Ingles, estipulan en sus términos y condiciones que almacenacenarán los datos durante 90 días con la única y exclusiva finalidad de que sus usuarios puedan disfrutar de conexión a internet y otras wifis públicas presentan períodos parecidos.
Y, en lo que a cifras se refiere, la más llamativa es la de la cadena de restaurantes Rodilla, que almacena los datos de los usuarios durante la friolera de, ni más ni menos, de un «mínimo de 3 años». Ojo, que dice mínimo…..
Compartir información a cambio de ancho de banda
La cosa no queda ahí, puesto que la cadena de restaurantes permite la conexión a través de distintas redes sociales y, en base a eso, la información de la que dispone es bastante amplia: nombre, apellidos, mail, género, fecha de nacimiento, foto de perfil, amigos, likes, ciudad o lugar de residencia…. Esto la convierte en una de las wifis gratuitas que más información almacena y durante más tiempo de todas las que hemos analizado.
Privacidad de los datos y movilidad geográfica
La aceptación por los Usuarios de dicho acceso/revelación incluirá aquellos casos en los que, al objeto de que la prestación de los servicios sea efectiva, los proveedores puedan encontrarse en y/o tener acceso a los datos desde países o territorios fuera del territorio en el que se encuentran los Usuarios, como territorios/países dentro del Área Económica Europea, tales como Irlanda.
¿Qué significa esto? Pues por ejemplo que una empresa de Estados Unidos, con un domicilio social en Irlanda, puede crear su propia base de datos en Europa y, en la práctica, manejar esos datos desde fuera de la Unión, aunque los envíos o el contacto con los usuarios se realice desde la propia Unión. Esto les permite seguir teniendo acceso a datos a nivel global a pesar de los cambios realizados en materia de protección de datos.
La nueva ley, por su parte, especifica que «si los datos personales se transfieren de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento.»
Para prevenir el almacenamiento de datos no deseados o la recepción de comunicaciones comerciales, existen algunas alternativas. Navegar a través de una VPN, que nos permitirá utilizar los servicios wifi pero hacerlo de una manera anónima (y por tanto, no les permitirá acceder a nuestros datos de navegación) o, simplemente, ampliar la tarifa de datos de tu teléfono móvil.
Y, como medida desesperada, utilizar la wifi gratuita y después ponerte en contacto con el delegado de protección de datos para ejercer tu derecho a la supresión de tus datos. Y tú, ¿qué prefieres?, ¿pagar en datos o en euros?
El Blog de jaime 