Shopping Lens ha dado mucho que hablar desde su lanzamiento, cosas buenas y malas. Desde la comunidad surgieron voces criticándolo por ser un ataque a la privacidad, y solicitaban que no se incluyera en Ubuntu. Otras un poco más conciliadoras pedían que sí, que se incluyese, pero que o bien tuviese su propio menú o que durante la instalación se preguntara al usuario si deseaba usarlo y si daba su consentimiento a Canonical para acceder a los datos escritos en el Home Lens.
Inmediatamente Canonical puso en marcha su maquina de relaciones públicas. Mark Shuttleworth y Jono Bacon salieron a la palestra para defender Shopping Lens y la nueva dirección que estaba tomando Canonical. Tuvieron poco éxito y al final accedieron a algunas peticiones de los usuarios como añadir una opción para desactivarlo en el menú de privacidad. Pero parece ser que en la Unión Europea eso no va a ser suficiente.
Como bien dice Luís de Sousa en su blog es posible que Canonical infrinja algunas leyes de la Unión Europea con Shopping Lens. En concreto la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
En el Artículo 2 de dicha ley se definen claramente que son los “datos personales” y que es el “tratamiento de datos personales”:
a) «datos personales»: toda información sobre una persona física idientificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;
b) «tratamiento de datos personales» («tratamiento»): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;
Siguiendo esa definición, efectivamente la información enviada desde el Dash son datos personales y lo que hace Canonical en su servidores, antes de enviar la información a Amazon, es “tratamiento de datos personales”. Por lo tanto Shopping Lens esta sujeto a esta directiva.
En el Artículo 7 dice claramente:
a) el interesado ha dado su consentimiento de forma inequívoca, o
b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o
c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o
d) es necesario para proteger el interés vital del interesado, o
e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.
Y ahí está el problema. El usuario tiene que dar su consentimiento explícitamente de que da permiso a Canonical para obtener y procesar esa información. Por tanto Canonical está obligada en la Unión Europea a preguntar a los usuarios al instalar el sistema operativo, o bien al iniciar por primera vez el Dash, si quiere utilizar esa función y da permiso sobre el uso de la información introducida en el Dash.
Pero aún hay más, en el Artículo 8 dice:
Tratamiento de categorías especiales de datos
1. Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad.
Y es verdad que al escribir en el Dash se introducirán datos que puedan definir alguno de esos aspectos. Por tanto Canonical podría encontrarse con Shopping Lens o lo que es peor Ubuntu prohibido en la Unión Europea.
Por último en esta directiva se hace mención sobre la ubicación de los medios de almacenamiento de datos. ¿Están en la Unión Europea? De no ser así las leyes locales donde se estén ubicados tiene que equipararse a las leyes de la Unión.
A Canonical le queda tomar las medidas necesarias para cumplir la Ley, o seguir diciendo cosas como “Don’t trust us? Erm, we have root” y arriesgarse a importantes sanciones económicas o verse fuera del mercado europeo.