Blog del Foro de Habeas Data

El 3 de abril del año 2006, la empresa Google entregó al Departamento de Justicia de los Estados Unidos los registros sobre búsquedas realizadas por usuarios en Internet. El pedido de facilitar estos registros fue inicialmente resistido por Google por diversos motivos que comentaremos en este post. Finalmente un juez federal en California admitió parcialmente el pedido del gobierno.

Este caso es el primero en abordar un tema singular y generalmente poco tratado: el derecho a la privacidad sobre el historial de búsquedas realizadas en Internet. Aunque no nos da una solución definitiva al problema y además la información que se entregó era anónima (pese a la confusión de muchos medios que informaron que el gobierno quería saber qué buscaba la gente online), el fallo señala ciertas pautas que servirán de guía en futuros casos. Lo que sigue es el comentario del fallo y nuestra opinion del mismo.

Introducción al caso
¿Porqué se requirió esta información a Google? El gobierno estadounidense necesitaba esta información para elaborar su defensa de la ley conocida como Child Online Protection Act cuya validez constitucional esta siendo cuestionada por la ACLU en el caso Ashcroft v. A.C.L.U En ese juicio iniciado por la A.C.L.U. ante un tribunal federal de Pennsylvania, el Departamento de Justicia solicitó como prueba informativa (por medio de una subpoena) que varias empresas (Yahoo!, Microsoft MSN, AOL, y Google) elaboraran cada una un informe con los textos de cada búsqueda ingresada en sus herramientas de búsqueda por cada usuario y de cada sitio de Internet que el motor de búsqueda hubiera indexado. Con dicho pedido el gobierno pretende demostrar que una gran cantidad de búsquedas en la red están relacionadas con material pornográfico y que éste resulta muy difícil (o imposible) de filtrar o bloquear por medio de software (lo que en cierta forma justificaría la constitucionalidad de los medios dispuestos por el gobierno). Para ello el experto del gobierno en ese caso, Philip Stark (no confundir con el diseñador Philippe Starck) necesitaba una muestra bastante amplia de aquello que los usuarios buscan y encuentran frecuentemente en Internet.

A diferencia de los otros requeridos, el pedido a Google iba al core de su negocio: las búsquedas en Internet. Google se encontró frente al siguiente dilema: si sus usuarios saben que tarde o temprano se revelará lo que buscan en la red, probablemente dejen de usarlo con tanta frecuencia o directamente no lo usen. Pero su política de privacidad claramente lo obligaba a dar estos datos. Por otra parte, Google debía diferenciarse de sus competidores, sobre todo luego del problema de privacidad que tuvo con las cuentas de Gmail. Todos los requeridos cumplieron con la petición, excepto Google, que se opuso cuestionando la falta de relevancia (o pertinencia) del pedido y la carga indebida que le provocaba la recopilación de la información solicitada.

La oposición de Google se fundó en varios motivos:
(i) el costo tecnológico de cumplir el pedido (poco creíble tratandose de Google...),
(ii) la pérdida de confianza que ocasionaría en sus usuarios si se revelaban los textos de búsqueda, lo que implicaba claramente la privacidad y el anonimato de dichos usuarios: imagínese que pensará la gente si le andamos contando a todo el mundo qué buscó anoche en Internet...,
(iii) el secreto comercial del algoritmo del motor de búsqueda: es decir, no queremos que se sepa cómo funciona Google internamente.

A raíz de esta negativa, las partes entraron en negociaciones y el gobierno redujo voluntariamente su pedido a sólo una muestra de 50.000 sitios que hayan sido obtenidos mediante estas búsquedas y a todos los textos de los pedidos de las búsquedas realizadas por usuarios en el término de una semana. Al negarse Google nuevamente, al Estado no le quedó otra alternativa que iniciar una demanda judicial para forzar el pedido que dio origen al presente caso. En este caso el juez tuvo que resolver la oposición de Google. Sus argumentos los exploraremos en el punto siguiente.

¿Qué dijo el tribunal en el caso Gonzalez v. Google?
El caso lleva ese nombre porque Alberto Gonzales actuó en su condición de attorney general de los Estados Unidos. Al no ser apelada por ninguna de las partes el fallo quedó firme. El caso fue decidido el 17 de marzo de 2006 ver texto original por un tribunal federal de primera instancia de California . La decisión deniega parcialmente el pedido del gobierno, porque por una parte autoriza la entrega de la muestra de sitios que hayan sido obtenidos mediante estas búsquedas pero por la otra rechaza todos los textos de los pedidos de búsqueda realizados por usuarios por considerar que duplicaba la prueba anterior de sitios encontrados. Además el juez consideró que el pedido del gobierno de esos textos de búsqueda planteaba cuestiones relacionadas con los secretos comerciales de los algoritmos de búsqueda de Google, la privacidad de los usuarios y la carga que implicaba para Google por la perdida de confianza de sus usuarios.

Respecto a la relevancia, el tribunal criticó las explicaciones del gobierno y sus fundamentos, pero ante la duda, prefirió autorizar el pedido respecto a 50.000 URLs seleccionados al azar de la base de datos de Google para el estudio de la relevancia de los filtros. En cuanto a la posibilidad que la medida constituya una carga indebida por el costo de la entrega de la información, tal planteo es rechazado habida cuenta de la oferta del gobierno de costear la búsqueda.

Respecto a los secretos comerciales de los algoritmos de búsqueda de Google, el tribunal consideró que el índice de búsquedas y el registro de búsquedas sí eran secretos comerciales, sobre todo si se trataba de una muestra significativa del resultado de las muestras del buscador. Pero dado que el gobierno había disminuido sus pretensiones se consideró que no era probable que se afectara el secreto comercial de Google.

Respecto a la privacidad de los usuarios y la carga que implicaba para Google por la pérdida de confianza de éstos, el juez recordó que la política de privacidad de Google admitía expresamente la posibilidad de dar datos de búsqueda al gobierno y que si un cuarto de las búsquedas constituía pornografía, era de esperar cierta expectativa de privacidad por parte de los usuarios de Internet en esas búsquedas. Añadió que si bien tal derecho no era absoluto, sí indicaba un carga potencial para Google.

Por ende este aspecto, así como la potencial afectación a la privacidad, tuvo cierta gravitación en la decisión del juez de minimizar la información a otorgar al gobierno. La decisión discute estas cuestiones sin revolverlas al sostener: “El Gobierno plantea que su pedido del texto de búsquedas no genera problemas de privacidad porque el mero texto de las búsquedas no revela información identificatoria. Si bien el Gobierno sólo ha requerido los textos ingresados, puede hallarse información identificatoria básica en los casos en los que los usuarios buscan información personal tales como su número de seguridad social o números de tarjetas de crédito a través de Google a fin de determinar si tal información está accesible en Internet. El Tribunal también conoce la existencia de las así llamadas “búsquedas vanidosas” en las que un usuario pregunta por su propio nombre tal vez combinado con otro dato. La capacidad de Google para manejar grandes cadenas de búsqueda complejas puede llevar a los usuarios a embarcarse en tales búsquedas en Google. De tal modo, en tanto el texto de búsqueda de un usuario que dijera “(nombre del usuario) Stanford grupo de canto” no puede generar serias preocupaciones por la privacidad, la búsqueda de un usuario que dijera “(nombre del usuario) aborto tercer trimestre san jose” puede generar ciertas cuestiones de privacidad de las que todavía no se ocuparon los escritos de las partes. Esta preocupación, combinada con la preponderancia de las búsquedas de material de sexo explícito en Internet –una información que generalmente nadie desea revelar públicamente plantea a este Tribunal una duda en cuanto a si los textos de búsqueda en sí mismos pueden constituir potencialmente información sensible…".

Nos vamos a centrar en este último aspecto: el derecho a la privacidad de los datos que constituye el historial de las búsquedas en Internet y que señala qué es lo que una persona busca y encuentra en Internet.

Comentarios: el futuro de la privacidad en Internet
Actualmente todos leemos el diario, consultamos su correo electrónico, nos informamos, escribimos y nos comunicamos online. Muchos de esas actividades se realizan a través de portales únicos como Google o Yahoo! Allí también se completan formularios, se descargan programas y se registran todos estos movimientos a través de historiales ,logs, cachés y cookies.

No me queda ninguna duda que hoy día una persona no sólo se define por lo que piensa o expresa, sino también y sobre todo para terceros por lo que busca y encuentra en Internet. Pensemos que las búsquedas usando Google se han vuelto tan frecuentes que ya es común oir el verbo googlear para representar la acción de buscar un determinado contenido en Internet, pero solo a través de Google. Sus autores supieron transformar una compleja tesis doctoral en una de las compañías mas brillantes de Internet. Es mas, el verbo to google fue incluido recientemente en varios diccionarios (ej. Merriam Webster y Oxford English Dictionary). Ello es demostrativo de cómo éste buscador concentra la mayor parte de las búsquedas (no existe un verbo similar, por ejemplo, para Yahoo) pese a que existen otros buscadores y metabuscadores (ej. dogpile, Hakia, Chacha, o MSN, etc).
Pero volviendo al tema que nos ocupa, para sorpresa de muchos, todas estas actividades de busqueda de datos online quedan guardadas en forma indefinida en la red.

Si bien la demanda del Departamento de Justicia no solicitaba datos personales de usuarios de la red, el hecho que oficialmente se pidiera qué era lo que buscaban los usuarios de Internet a través de Google (aunque no se los identificara) generó cierta preocupación. Es que el listado de lo que se busca en la red necesariamente revelará algo de información personal de los usuarios que ingresaron esas búsquedas. Por otra parte, como Google retiene la dirección de IP de la conexión del usuario, cualquier proceso posterior donde esta información sea solicitada judicialmente (o por pedido de un abogado) permitirá conocer no solo qué buscó una persona en Internet sino también la identidad de esa persona. La IP es claramente un dato personal. A ello se suma el hecho que en Estados Unidos todavía ningún precedente judicial ha determinado aun si legalmente los motores de búsqueda pueden ampararse en una ley aprobada en el año 1986, denominada Electronic Communications Privacy Act, que protege la privacidad de las comunicaciones electrónicas .

Pero el problema no es tanto un pedido de gobierno, pues si hay un delito para investigar y una orden judicial fundada para obtener esos datos, la medida es constitucional. El problema es que toda esta información estará allí disponible para que en un juicio civil o penal se ventile si se pide y se busca judicialmente.

El almacenamiento de datos personales sobre sitios visitados no es patrimonio exclusivo de Google. El sistema operativo y su navegador almacenan en forma automática y por defecto infinidad de datos tales como sitios visitados, el sistema operativo utilizado, y la fecha y hora del acceso. Cada búsqueda que el usuario realiza en el navegador es guardada automáticamente pero a diferencia de un buscador, el usuario siempre tiene la posibilidad de borrarla. Toda esta información puede ser utilizada en una investigación posterior y de hecho es cada vez mas frecuentemente usada. El historial de búsquedas suele ser muy útil para cualquier investigación policial, como también lo son los bookmarks porque demuestran claramente los sitios en los cuales existe particular interés del usuario en volver a visitarlos.

En el caso de un juicio penal estos datos pueden tener una importancia extrema. A fines del 2005, en el juicio contra Robert James Petrick, se utilizaron por primera vez los registros de las búsquedas en Internet que el imputado había realizado antes y después del homicidio de su esposa, para reconstruir los hechos. El imputado había buscado información a través de Google con términos tales como “rotura del cuello” o cómo “deshacerse del cuerpo”, “rigor mortis y descomposición”, y estado de las mareas (pues intentó esconder el cuerpo en un lago cercano). Las búsquedas cerraron las dudas que había en el caso. Es muy probable que en cada caso penal que se investigue se procederá a revisar el ordenador y sus registros de conexión a Internet .

Todo esta información va a ser buscada por investigadores: no sólo las búsquedas en Internet quedan almacenadas en Google, sino también las búsquedas realizadas en la barra de Google y dentro de la cuenta de Gmail, incluido también el correo electrónico allí recibido y borrado. En el caso FTC v. Ameridebt, Inc un tribunal ordenó a una parte que Google entregara todos los documentos que tuviera en su poder, incluidos los correos de la cuenta que hayan sido borrados por su usuario .

No es de extrañar entonces que con todo estos hechos se comenzó a plantear la regulación de los datos personales en éstos ámbitos. Así, Wendy Seltzer, del Berkman Center de la Universidad de Harvard planteó dos alternativas: o se obliga a los motores de búsqueda a guardar menos información, o se aprueba una ley federal que aumente la privacidad existente en materia de búsquedas en Internet.

En el Congreso estadounidense se presentó un proyecto de ley titulado Eliminate Warehousing of Consumer Internet Data Act of 2006 que siguiendo el estilo de la normativa europea en materia de protección de datos personales, obligaría a un operador de un sitio de Internet a borrar la información de las visitas al sitio si la información ya no resulta necesaria para un fin legítimo del negocio. El proyecto de ley sin embargo fue criticado por McCullagh porque en realidad tendrá escaso efecto sobre el historial de búsquedas dado que la definición de información personal que no menciona a las direcciones de Internet o a los términos de búsqueda .

Desde una visión mas (económicamente) liberal, la organización NetCoalition, un grupo de lobby que representa a empresas de Internet manifestó que este proyecto legislativo permitiría al gobierno, y no a particulares, definir qué es un “fin legítimo del negocio”. De esa forma se podría regular a los motores de búsqueda y obligar a retener ciertos datos.

No cabe ninguna duda que este almacenamiento de datos personales será cada vez más amplio. Hace un tiempo, Google inauguró una opción dentro de su motor de búsqueda por la cual se permite al usuario personalizar la búsqueda (se llama Búsqueda Personalizada y sobre el mismo Google presentó una patente). El usuario se identifica con un nombre y clave de acceso (que coincide con su cuenta de Gmail) y de esa forma Google puede mejorar la información de búsquedas en relación a un usuario particular. Google describe de la siguiente manera las ventajas de este servicio:
“- Obtenga los resultados de búsqueda más relevantes para usted. La Búsqueda personalizada ordena los resultados de búsqueda en función de lo que usted buscó en el pasado. Al principio, es posible que no note un gran cambio en sus resultados de búsqueda, pero éstos mejorarán a medida que vaya usando Google.
- Vea y administre sus búsquedas del pasado. Navegue y busque en sus búsquedas del pasado, incluyendo páginas web, imágenes y titulares de noticias sobre los que haya hecho clic. Puede eliminar elementos de su Historial de búsquedas en cualquier momento.
- Cree marcadores a los que puede acceder desde cualquier sitio. Ponga marcadores en sus sitios web favoritos y añada etiquetas y notas a los mismos. Después podrá hacer búsquedas de sus etiquetas y notas, y podrá acceder a sus marcadores desde cualquier ordenador con simplemente registrarse”.

La Política de privacidad que regula este servicio, dispone que:
“…la Búsqueda personalizada registra información acerca de su actividad en Google, incluyendo sus búsquedas, los resultados sobre los que hace clic, y la fecha y hora de sus búsquedas para mejorar los resultados de sus búsquedas y mostrar su historial de búsquedas. A lo largo del tiempo, el servicio podrá también usar información adicional sobre su actividad en Google u otra información que usted nos facilite a efectos de proporcionar mejores resultados de búsquedas…. la Búsqueda personalizada usa la información antes descrita para mejorar sus resultados de búsquedas. Esta información será transmitida de modo seguro a los servidores de Google y guardada asociada a la información de su Cuenta de Google para proporcionarle el servicio”.

Por supuesto, como es un servicio voluntario, el usuario en cualquier momento puede borrar todos estos registros. Sin embargo se señala mas adelante en la misma Política que:
Usted puede borrar información de la Búsqueda personalizada utilizando el historial de búsquedas, y se eliminará del servicio. Sin embargo, como es una práctica habitual en el sector, y tal como se indica en la Política de Privacidad de Google, Google mantiene un sistema separado de registros a efectos de auditoria y para ayudarnos a mejorar la calidad de nuestros servicios a los usuarios.

La Política General de Privacidad de Google no aclara por cuánto tiempo se guardará esa información. Esto significa que será la propia empresa la que decidirá por cuanto tiempo almacenar esta información, algo que sucede comúnmente con las empresas de Internet. Las leyes son reemplazadas por las políticas determinadas que aplica una empresa. Esto no es necesariamente negativo pero nos sugiere que en Internet las políticas de privacidad y los estándares corporativos son una nueva fuente de facto del Derecho.

Es importante entonces que las empresas que acumulan esta información piensen en términos de privacidad porque en cierta forma con sus acciones ellas son custodios de todos estos datos. Como han señalado en su reciente libro Bennet y Raab: hoy en día las políticas y actividades de compañías como IBM o Microsoft tienen mucho mas impacto que las acciones de una determinada Nación, ambas pueden amenazar o proteger la privacidad en el contexto de sus transacciones comerciales. Esto es exactamente así, recordemos sino el número de serie en los procesadores Intel, los códigos similares en los archivos del programa MS Word o el actual debate sobre el sistema WGA de activación de Windows XP.

Pero mas allá de que esta preocupación realmente exista a nivel corporativo, lo cierto es que el problema volverá a repetirse como lo demuestra lo que ocurrió unos meses después del caso Google con la empresa America Online.

En julio del 2006 en una investigación sobre la conducta de los usuarios de Internet, AOL reveló datos personales de más de 658.000 suscriptores, que vieron expuestas públicamente sus términos de búsqueda en la red. Durante unos 10 días la firma “subió” a Internet datos personales sobre unos 19 millones de "búsquedas" hechas por suscriptores de AOL durante tres meses. La idea de esta publicación era suministrar datos a la comunidad científica para que tuvieran material que les permitiera conocer el comportamiento de los usuarios de Internet en forma anónima.

Un sitio web resaltó el hecho de que muchos suscriptores habían hecho búsquedas usando sus nombres propios . Pero pese a ser anónimos, como cada usuario era identificado numéricamente, en algunos casos era posible identificar con el conjunto de las búsquedas quién era el sujeto en cuestión. De hecho el diario New York Times publicó el 9 de agosto una nota en la cual explicaba cómo a partir de estas búsquedas anónimas había llegado a individualizar a los usuarios de AOL en un caso concreto.

Los efectos que genera la disponibilidad de información personal online son muy fuertes. Recientemente, un juez de North Carolina ordenó a Google que removiera contenidos personales que todavía estaban disponibles en el cache de Google, pese a que la administración pública por error había permitido que estuvieran allí. Se trataban de nombres, celulares, números de seguridad social, etc. Goole respondió que tardarían cinco días y por eso se solicitó una restraining order que fue concedida.

Para terminar....
A partir del presente caso, numerosos autores han planteado que las búsquedas deberían ser anónimas (ver Fred von Lohmann - Tim Wu - etc). Se argumenta que no existe ninguna necesidad de identificar al usuario. Otros plantean destruir la información o limitar "esta retención de datos" (Geist).

También ...obvio... aparecieron empresas ofreciendo este servicio, aunque ya existían antes.

Pero esta acumulación tiene una justificación empresaria: Google explica que le permite mejorar sus servicios de las mas diversas formas. Por ejemplo, alguna vez se dio cuenta que Google le reformula la búsqueda corrigiendo errores de ortografía comunes. ¿Como lo hicieron? Simple: al poder comparar los millones de búsquedas que luego son corregidas en forma inmediata por los propios usuarios, Google pudo implementar en su buscador la opción “Quizás quiso decir:” (o Did you mean?) que corrige en forma automática la búsqueda con un error de ortografía ... en cualquier idioma de los usados por Google. Sin embargo... no creo que para esto deban identificar a cada usuario y luego guardar esta información... Por eso me parece acertada la decisión de Google de resistir la entrega de datos al gobierno (es mas, confío mas en Google que en el Estado). Además el mismo argumento no autorizaría al dueño de un restaurant a instalar micrófonos en cada mesa para saber si sus comensales están conformes con la calidad del servicio. He ahí la razón del planteo de anonimizar estos datos.

Por supuesto que todo tiene una explicación técnica: los ordenadores necesitan de nuestros datos personales para poder funcionar en forma mas eficiente. Pero puede suceder que algún día esta eficiencia y utilidad no superen en importancia para un usuario la necesidad de tener confidencialidad o privacidad sobre sus datos personales. A partir de ese momento probablemente el sistema deberá adaptarse a lo que quiera el usuario o el usuario cambiará de sistema... Pero el anonimato probablemente tiene precio: la falta de comodidad.

Para finalizar, no podemos dejar de contrastar el debate sobre el acceso a las búsquedas o por cuanto tiempo se guardarán éstas con el problema de los datos de tráfico que tanta crítica y debate produjeron en Argentina y Europa . Recordemos que en aquel entonces se criticó el plazo de diez años para datos de tráfico establecido en la ley 25.873. Pues bien, en este caso, parece ser que los datos de búsquedas en Internet pueden almacenarse en forma indefinida, conforme la política de privacidad de una empresa privada.

La información sobre las búsquedas en Internet parece no tener límites. Es decir, parece no haber un derecho al olvido en el mundo digital. La idea central del derecho a la protección de datos, esto es, intentar minimizar la recolección de información y otorgar un mayor control sobre sus datos personales al usuario, debería alcanzar su máxima expresión en Internet donde todo parece quedar registrado en forma indefinida. Si aplicamos las normas de protección de datos personales ley 25.326 a los motores de búsqueda en Internet probablemente nos encontraremos con una tarea impracticable por varios motivos: la diversidad de normas existentes, las dificultades de determinar el derecho aplicable como ocurrió con Google Orkut Brasil e incluso el problema de aplicar un régimen que probablemente no tuvo en cuenta estas situaciones en forma específica. De allí que Spiros Simitis haya planteado recientemente la necesidad de crear normas específicas en cada nuevo sector...

Las grandes acumulaciones de datos personales que la tecnología ha creado han generado mas fuentes de información que están disponibles para que terceros las soliciten o accedan y consulten por los mas diversos motivos. ¿Es necesario entonces repensar los tradicionales derechos y garantías constitucionales en función del paradigma que plantea el cambio tecnológico?. Nos parece que sí, que es una necesidad que se viene planteando desde hace varios años y que debe afinarse frente a estos nuevos desarrollos. Es necesario entonces reflexionar sobre cómo aplicar las leyes de protección de datos en Internet, y tal vez en este caso concreto comenzar a pensar en crear normas específicas que hagan referencia al anonimato. El caso en comentario es sólo el comienzo de una alerta sobre los necesarios resguardos que deberemos adoptar para preservar la privacidad en Internet.

****

Pablo Palazzi es abogado, especialista en Derecho y Nuevas Tecnologías.