Las autoridades de protección de datos de la Unión Europea no están muy seguras de las garantía de seguridad que ofrece Windows 10 a pesar de que Microsoft ha incluido algunas mejoras después de que ya fuese criticada en repetidas ocasiones desde el lanzamiento de la última versión del sistema operativo más usado en ordenadores personales del mundo.
La preocupación se centra en el gran volumen de datos que Windows 10 recaba por defecto y en las dudas sobre si su petición de consentimiento al usuario incluye una información lo suficientemente clara y detallada como para que pueda considerarse consentimiento informado.
El pasado 10 de enero Microsoft informó a través de su blog oficial del lanzamiento de dos nuevas herramientas para que el usuario pueda gestionar su privacidad dentro del sistema operativo. La primera es una interfaz web en el que se recogen los datos de actividad de los que Microsoft dispone (localización, búsquedas, navegación y otros); la segunda es una revisión de los ajustes de seguridad dentro de Windows 10 que incluye también una reducción de la cantidad de datos recogidos por defecto en un nivel de uso básico.
Todas estas actualizaciones serán incluidas en la próxima gran actualización de Windows 10 llamada Creators Update.
Sin embargo y a pesar de estas mejoras por parte de Microsoft, el Grupo de Trabajo del Artículo 29 que agrupa a las distintas autoridades de protección de datos de los estados miembros de la UE envió una carta de respuesta a Microsoft en la que reiteraba sus «preocupaciones significativas» acerca del modo en el que la empresa está recogiendo y procesando datos personales y le pide que proporcione más información.
«El Grupo de Trabajo tiene preocupaciones significativas acerca de algunos de los datos personales recogidos y procesados por Microsoft dentro de su sistema operativo Windows 10 y significativamente los ajustes por defecto y la aparente falta de control por parte del usuario para prevenir la recogida y procesado de sus datos.
Como resultado, el Grupo de Trabajo solicita específicamente una explicación más detallada por parte de Microsoft como responsable del tratamiento de estos datos personales sobre cómo se puede solicitar la baja, sobre ajustes por defecto y otros mecanismos ofrecidos durante la instalación de Windows 10 que proporcionen una base legal para el procesado de datos personales bajo la Directiva de Protección de Datos 95/46/EC.
Esto se refiere especialmente a aquellos casos en los que Microsoft se apoye en el consentimiento como base legal para el procesado de datos personales. El Grupo de Trabajo ya publicado con anterioridad la Opinión 15/2011 sobre la definición del consentimiento que destaca que para que el consentimiento sea válido, debe ser totalmente informado, libre y específico.»
Windows 10 ha despertado críticas sobre privacidad desde su lanzamiento por la cantidad de datos que recaba por defecto y que son usados para, entre otros propósitos, crear perfiles publicitarios para insertar anuncios personalizados en distintos productos. El proceso que hay que seguir para darse de baja es considerado demasiado opaco y complicado, lo que hace muy difícil poder usar el sistema operativo sin ceder los datos requeridos por defecto.
Varias autoridades de protección de datos europeas están realizando investigaciones sobre Windows 10 y la francesa CNIL ya ha emitido una orden para que la compañía detenga la recogida excesiva de datos. En caso de que la respuesta de Microsoft no fuese satisfactoria para las autoridades francesas, la compañía se enfrenta a la posibilidad de una multa de hasta 3 millones de euros.
Sin embargo, la próxima introducción del Reglamento General de Protección de Datos podría llevar la cuantía de las posibles multas hasta el 4% de la facturación anual global para aquellas empresas que no cumplan con la regulación, una cantidad que en el caso de Microsoft podría superar los 3,000 millones de euros.
Enlaces relacionados:
Artículo sobre novedades de privacidad en el Blog de Windows (10 enero 2017)
Enlaces a las cartas del Grupo de Trabajo del Artículo 29 (entre ellas a Microsoft)
http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
