A finales de enero de 2020, una investigación llevada a cabo conjuntamente por las revistas Motherboard and PCMag ha sacado a la luz que el antivirus gratuito de la multinacional de software checa Avast, recopilaba todo tipo de datos de navegación de los propietarios del antivirus, para luego venderlos a través de su empresa subsidiaria Jumpshot.

Avast cuenta con más de 435 millones de usuarios activos. Entre los datos recopilados se encuentran: búsquedas realizadas en buscadores de internet, visitas a cualquier página web, videos buscados y vistos en internet, links pinchados en cualquier página web, y tiempo exacto al milisegundo de todo lo anterior.

Según la revista Motherboard, en un tweet de Jumpshot publicado hace un mes (ya borrado), Jumpshot indicaba que vendía: “Toda búsqueda. Todo click. Toda compra. En todas las páginas web.” La negrita es de Jumpshot.

Entre los clientes de Jumpshot se encuentran las empresas Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Expedia, IBM e Intuit.

Tras salir la investigación a la luz, la empresa Jumpshot anunció el inicio de su proceso de disolución.

¿Anonimización?

Según Avast, los datos de navegación que vendía su subsidiaria Jumpshot, están anonimizados. En una declaración explican: “Nos aseguramos de que Jumpshot no reciba información personal identificativa, incluyendo nombres, dirección de correo electrónico o detalles de contacto de la gente que utiliza nuestro popular y gratuito software antivirus”.

Sin perjuicio de lo anterior, cuando se poseen datos tan extensos y precisos de la navegación de un individuo, surge la cuestión, de cómo de difícil puede ser revertir el proceso de anonimización.

Si una empresa con una base de clientes como un supermercado online, por ejemplo, compra los datos de Jumpshot, y ve que en el milisegundo “x” alguien compró una tarta de cumpleaños, puede cotejar esta actividad con su propio registro de compras online, y ver que, en ese milisegundo, el “Sr. Y” fue el que compró la tarta. Tras identificar al usuario, se puede entonces examinar el resto de su historial de navegación por otras páginas web.

Si a esto se le añade el hecho, de que uno de los clientes de Jumpshot ha sido la empresa Google, de la cual, gran parte de los usuarios usan el correo electrónico de Gmail, estaríamos ante una situación en donde este gigante tecnológico podría con suma facilidad cotejar los datos adquiridos con sus propios registros de clientes e identificar a gran parte de los usuarios, y, por tanto, todo su historial de navegación.

Asimismo, un estudio realizado en el 2017 por la Universidad de Stanford, descubrió que era posible identificar a personas anónimas a través de su historial de navegación.

Conclusión

La investigación llevada a cabo da lugar a numerosas incógnitas: ¿Protege el RGPD estos datos de navegación, en teoría anónimos?

El considerando 26 del RGPD explica que: “los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo”.

No obstante, el mismo considerando también indica que: “Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos”.

En la medida en la que el proceso de anonimización se puede revertir, ¿Podría interpretarse que los datos de navegación no pueden ser anonimizados sino únicamente seudonimizados? Es decir, datos que cabría atribuir a una persona física mediante el uso de información adicional.

De tratarse de datos seudonimizados, el RGPD sí sería de aplicación y protegería a todos los usuarios cuyos datos de navegación han sido vendidos.

En el caso de que se interprete que los datos de navegación son anónimos, ¿estamos ante un escenario que incumple el espíritu de una normativa recientemente entrada en vigor? Y si es el caso, ¿qué pueden hacer las agencias de protección de datos europeas?

Si te ha parecido interesante este post, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.