Ignoro si la campaña de relaciones públicas de Google es eficaz. No conozco encuestas que revelen la opinión de los usuarios acerca de la larga lista de litigios que la compañía tiene abiertos a través del mundo. Pero me atrevo a afirmar que para sus especialistas en public affairs será cada vez más difícil contener el torrente de problemas relacionados con la privacidad. Esta semana, ha recibido un rejón en Alemania, donde un comisionado a cargo de la protección de datos ha dictado una orden por la que declara «inaceptable» que Google cruce los datos personales de sus usuarios a través de diferentes plataformas. El regulador, basado en Hamburgo, exige a la empresa que cumpla la legislación según la cual la cesión de datos entre servicios separados requiere el consentimiento informado y explícito de los usuarios.

Este caso no es sustancialmente distinto de expedientes que Google tiene abiertos en Francia, España, Italia, Reino Unido y Holanda, tras su decisión de consolidar sus propias reglas de privacidad para empezar a combinar los datos que recoge de los usuarios de Gmail, YouTube y Google Maps. En cada uno de ellos se expone a sanciones. En enero, la CNIL francesa la castigó con una multa de 150.000 euros por ignorar el plazo de tres meses para adaptar sus prácticas de profiling a la legislación francesa.

En el traumático asunto del «derecho al olvido» en Internet, Google ha optado por crear un consejo asesor con la finalidad de reabrir el debate por la puerta de la opinión pública para, eventualmente, obtener una revisión de la sentencia que la obliga a dar satisfacción a los usuarios que reclamen el borrado de informaciones que consideren incorrectas, inapropiadas o denigrantes. La lluvia de peticiones es tal que Google tiene problemas logísticos para atenderlas.

Para contrarrestar la propaganda según la cual la sentencia es inaplicable, el colectivo de reguladores nacionales en materia de protección de datos – conocido como Grupo de Trabajo sobre el Articulo 29 – ha aprobado el envío a Google un catálogo de directrices a las que deberá ajustarse en el cumplimiento de la sentencia. Y la compañía ha reaccionado educadamente, diciendo que siempre ha deseado tener un feedback de las autoridades.

En el fondo de la cuestión está la inminente aplicación de la nueva directiva europea sobre protección de datos, que sustituirá a la vigente de 1995 y entrará en vigor el año próximo, con un plazo de implementación completa que lleva hasta 2017. Este plazo no significa que a las empresas concernidas les convenga dejar pasar el tiempo como si no fuera con ellas: reguladores y tribunales de varios países de la Unión Europea ya están interpretando la nueva directiva cuando les toca resolver algún caso de protección de datos. La vigilancia sobre Google (sus directivos la llaman acoso) indica que han perdido el miedo a las campañas del gigante.

La norma – a la que espero dedicar espacio en una próxima crónica – distingue entre dos figuras: el data controller (empresa que detenta los datos, propios o de terceros) y el data processor (por ejemplo los proveedores de servicios cloud o de hosting). La tendencia de las recientes decisiones y las advertencias que pesan sobre Google sugiere como poco probable la aceptación del argumento según el cual su actividad la situaría en la segunda categoría. La diferencia no es un capricho semántico: un data controller que falle en el cumplimiento de sus obligaciones, podría ser multado con hasta el 5% de su cifra de negocios global. En cuanto a los proveedores de cloud, también se ciernen nubarrones sobre ellos, como custodios de la integridad de la información. Por eso, cuando se habla de compliance, la industria de las TI debería tomarla con no menor seriedad que los bancos o los operadores.