ex pasante de derecho , coautora principal de este artículo.
Los usuarios de tecnología de todo el mundo están cada vez más preocupados, y con razón, por la protección de sus datos. Pero muchos desconocen exactamente cómo se recogen sus datos y se sorprenderían al conocer el alcance y las implicaciones de la por parte de las empresas tecnológicas. Por ejemplo, muchos proveedores utilizan tecnologías de rastreo, como las cookies -un pequeño fragmento de texto que se almacena en el navegador y que permite a los sitios web reconocer el navegador, ver la actividad de navegación o la dirección IP, pero no el nombre o la dirección-, para elaborar amplios perfiles sobre el comportamiento del usuario a lo largo del tiempo y en todas las aplicaciones y sitios. Estos datos pueden utilizarse para inferir, predecir o evaluar información sobre un usuario o grupo. Los perfiles de los usuarios pueden ser o no precisos, justos o discriminatorios, pero pueden utilizarse para tomar decisiones que alteren su vida.
Un reciente escándalo de privacidad de datos en Japón relacionado con - una importante plataforma de búsqueda de empleo que calculaba y vendía a las empresas puntuaciones algorítmicas que predecían la probabilidad de que los solicitantes de empleo rechazaran una oferta de trabajo - ha puesto de manifiesto cómo los datos de comportamiento de los usuarios pueden utilizarse en contra de sus intereses. Y lo que es más importante, el escándalo pone de manifiesto cómo las empresas diseñan soluciones o esquemas de "lavado de datos" para eludir las obligaciones de protección de datos que impone la ley japonesa de protección de datos ((APPI)). Este caso también pone de manifiesto los peligros de las leyes de protección de datos mal redactadas y sus lagunas. El Parlamento japonés adoptó a la APPI, que se espera que entren en vigor a principios de 2022, con la intención de cerrar algunas de estas lagunas, pero los cambios aún se quedan cortos.
El escándalo de Rikunabi
está operado por Recruit Career (denominación en el momento del escándalo, ahora es ), una filial de un conglomerado de medios de comunicación,, que también posee y . permite a los solicitantes de empleo buscar oportunidades de trabajo y se dirige sobre todo a estudiantes universitarios y otras personas que acaban de empezar su carrera. Alberga anuncios de empleo de miles de empresas. Al igual que muchas plataformas de Internet, Rikunabi utilizó cookies para recopilar datos sobre cómo sus usuarios buscan, navegan e interactúan con sus listas de empleo. Entre marzo de 2018 y febrero de 2019, utilizando los datos de Rikunabi, Recruit Career -sin el consentimiento de los usuarios- calculaba y vendía a las empresas puntuaciones algorítmicas que predecían la probabilidad de que un solicitante de empleo individual rechazara una oferta de trabajo o retirara su solicitud.
Treinta y cinco empresas, entre ellas , y otros gigantes corporativos japoneses, compraron las puntuaciones. En respuesta a una protesta pública, Recruit Career diciendo que las empresas que compraron las puntuaciones para el empleo se comprometieron a no utilizarlas para la selección de candidatos. La empresa alegó que las puntuaciones estaban pensadas únicamente para que los clientes tuvieran una mejor comunicación con sus candidatos, pero no había ninguna garantía de que se utilizaran así. Debido al dominante en Japón, los estudiantes temían que esas puntuaciones pudieran limitar sus oportunidades de trabajo y sus opciones profesionales, lo que podría afectar a toda su vida profesional.
APPI: Ley japonesa de protección de datos
Una laguna en la APPI fue clave para entender el esquema de Rikunabi. Irónicamente, Japón, la y , es el primer país cuya ley de protección de datos fue reconocida por ofrecer de protección a los de la Unión Europea (UE). Sin embargo, la APPI va muy por detrás de la legislación de la UE en lo que respecta a la regulación de las cookies y su uso para identificar a las personas.
Según la normativa de protección de datos de la UE, más estricta y detallada, las cookies pueden constituir datos personales. Los identificadores no tienen por qué incluir el nombre legal de un usuario (es decir, la identidad que figura en el documento nacional de identidad o el permiso de conducir) para ser considerados datos personales según la normativa de la UE. Si las entidades que tratan datos personales pueden identificarle indirectamente, basándose en múltiples datos, como las cookies, y en otros identificadores susceptibles de distinguirle de los demás, eso se considera tratamiento de datos personales. Esto es lo que las autoridades de la UE denominan "singularización" para identificar indirectamente a las personas: aislar algunos o todos los registros que identifican a un individuo, vincular al menos dos registros del mismo individuo para identificar a alguien, o inferir la identificación observando ciertas características y comparándolas con otras. La propia definición de datos personales según el Reglamento General de Protección de Datos (RGPD) de la UE se refiere a cosas que son "identificadores en línea". Las directrices del GDPR mencionan específicamente que los identificadores de las cookies pueden utilizarse para crear perfiles e identificar a las personas. Si las empresas procesan datos personales de manera que puedan distinguir a una persona de otra, entonces esta persona es "identificada o identificable". Y si los datos son sobre una persona, y se utilizan con el fin de evaluarla, o es probable que tengan un impacto en los derechos o intereses de la persona, dichos datos la persona "identificada o identificable".
Estos son elementos clave de lo que se define como datos personales en la normativa de la UE y son valiosos para entender este caso. ¿Por qué? Porque la normativa de la exige a las empresas que soliciten el de los usuarios antes de utilizar cualquier cookie de identificación, excepto las estrictamente necesarias para cosas como recordar los artículos de la cesta de la compra o la información introducida en los formularios. En cambio, la APPI utiliza criterios muy diferentes para juzgar si las cookies o identificadores similares generados por máquinas son datos personales. la APPI examinan si una empresa que recoge, procesa y transfiere cookies puede cotejarlas fácilmente con otra información mediante un método utilizado en el curso ordinario de los negocios para averiguar la identidad legal de un individuo. Así pues, si una empresa puede identificar a un individuo pidiendo a otra empresa que acceda a otros datos para cotejarlos con una cookie e identificar a un individuo, la cookie no se considera un dato personal para la empresa. Por tanto, la empresa puede recoger, procesar y transferir libremente la cookie incluso cuando un receptor de la misma pueda volver a identificar fácilmente a la persona relacionándola con otro conjunto de datos. De acuerdo con esta prueba, las empresas pueden identificar indirectamente a las personas por medio de la identificación sin incurrir en la APPI.
La trama Rikunabi: Blanqueo de datos para burlar el espíritu de la ley
En la estrategia participaron tres actores. Los dos primeros son Recruit Career y Recruit Communications. Recruit Career es la empresa que gestiona Rikunabi, el sitio web de búsqueda de empleo. Recruit Communications es una empresa de marketing y publicidad, la que Recruit Career para crear y entregar puntuaciones algorítmicas. El tercer actor es el que compra las puntuaciones: Los clientes de Rikunabi, como .
Según una de Recruit Career, el esquema funcionaba de la siguiente manera:
Primer plan de Rikunabi
Recruit Career recopiló datos sobre los usuarios que visitaron y utilizaron el sitio de Rikunabi. Esto incluía sus nombres reales, direcciones de correo electrónico y otros datos personales, así como su actividad de navegación en Rikunabi. Por ejemplo, el perfil de un usuario podía contener información sobre las empresas que buscaba, las que miraba y los sectores en los que parecía estar más interesado. Toda esta información estaba vinculada a una cookie ID de Rikunabi. Para la creación de las puntuaciones algorítmicas, Recruit Career compartió con Recruit Communications el historial de navegación y la actividad de los usuarios de Rikunabi vinculada a sus ID de cookies de Rikunabi, omitiendo los nombres reales.
Segundo plan de Rikunabi
Al mismo tiempo, empresas clientes como Toyota aceptaban solicitudes de empleo en su . Cada empresa cliente recopilaba los nombres legales y la información de contacto de los solicitantes, y también asignaba a cada uno de ellos un ID de solicitante único. Toda esta información se vinculó a los identificadores de cookies de las empresas. Para el trabajo de puntuación, cada empresa cliente pidió a los solicitantes que respondieran a una encuesta web, que estaba diseñada para permitir a Recruit Communications recopilar directamente sus ID de cookies de empleador y los ID de solicitantes conectados a ellos. De este modo, Recruit Communications pudo recoger las cookies de Rikunabi de los solicitantes y las cookies asignadas a los solicitantes por las empresas clientes.
Recruit Communications vinculó de algún modo estos dos conjuntos de identificadores, posiblemente utilizando (un método que utilizan los rastreadores web para vincular las cookies entre sí y combinar los datos que una empresa tiene sobre un usuario con los que podrían tener otras empresas), de modo que pudo asociar su actividad de navegación en Rikunabi con los identificadores de los solicitantes y señalar a una persona.
Con la base de datos vinculada, Recruit Communications puso los datos a trabajar. Entrenó un modelo de aprendizaje automático para ver el historial de navegación de un usuario en Rikunabi y luego predecir si ese usuario aceptaría o rechazaría una oferta de trabajo de una empresa concreta.
A continuación, Recruit Communications entregaba esas puntuaciones asociadas a las identificaciones de los solicitantes a las empresas clientes. Dado que cada cliente tenía su propia base de datos que vinculaba las identificaciones de los solicitantes con identidades reales, las empresas clientes podían asociar fácilmente las puntuaciones que recibían de Recruit Communications con los nombres reales de los solicitantes de empleo. ¿Y los solicitantes de empleo que confiaban sus datos a Rikunabi? Sin su conocimiento o consentimiento, el operador del sitio y su empresa hermana, en colaboración con los clientes de Rikunabi, habían creado un sistema que podía costarles una oferta de trabajo al predecir de forma inexacta qué empleos o empresas les interesaban.
¿Por qué hacerlo así?
La prohíbe a las empresas compartir los datos personales de un usuario sin consentimiento previo. Por lo tanto, si Recruit Career entregara puntuaciones vinculadas a los nombres de los solicitantes, tendría que obtener el consentimiento de los usuarios para procesar su información de esa manera.
La APPI no considera que las cookies o identificadores similares generados por máquinas sean datos personales si una empresa no puede cotejarlos fácilmente con otros conjuntos de datos para identificar a una persona. Así pues, Recruit Communication, al recibir sólo datos desconectados de los nombres y otros identificadores personales, no estaba preparada sistemáticamente para cotejar otra información para identificar a las personas. Así, en el marco de la APPI, Recruit Communications no recogía, procesaba ni proporcionaba ningún dato personal y no tenía necesidad de obtener el consentimiento del usuario para calcular y entregar puntuaciones algorítmicas a las empresas clientes.
Este esquema de blanqueo de datos podría haber sido creado para garantizar que todo el programa fuera técnicamente legal, incluso sin el consentimiento de los usuarios. Pero como Recruit Career sabía que esas empresas clientes pueden asociar fácilmente las puntuaciones vinculadas a cada ID de candidato con los nombres reales de los solicitantes, la autoridad japonesa de protección de datos, , consideró que había prestado "servicios muy inapropiados, que eludían el espíritu de la ley", y a la empresa que mejorara la protección de la privacidad.
La enmienda de la APPI de 2020 cerró algunas lagunas, pero otras permanecen
Tras el escándalo, la APPI se . Cuando la ley modificada entre en vigor a principios de 2022, exigirá a las empresas que transfieran una cookie o identificadores similares generados por máquinas que confirmen de antemano si el receptor de los datos puede identificar a una persona combinando esos datos con otra información que tenga el receptor. Cuando ese sea el caso, la nueva APPI esos datos que se aseguren de que el receptor obtuvo el consentimiento previo de los usuarios para la recogida de datos personales. El plan de Rikunabi violaría la enmienda de 2020 a menos que Recruit Communications, sabiendo perfectamente que los clientes pueden combinar los datos que proporciona con los que ya tienen para identificar a las personas, confirmara con los clientes antes de transferir las puntuaciones algorítmicas que había obtenido el consentimiento previo de los usuarios para recoger su información privada.
Pero incluso después de la enmienda de 2020, la APPI no clasifica una cookie como dato personal cuando se combina indirectamente con los expedientes de datos de comportamiento a menudo asociados a ellos. Esto es un error. Las cookies y otros identificadores similares generados por máquinas (como los identificadores de anuncios para móviles) son los ejes que permiten el seguimiento y la elaboración de perfiles en línea de forma generalizada. Las cookies se utilizan para vincular el comportamiento de diferentes sitios web a un solo usuario, lo que permite a los rastreadores conectar enormes franjas de la vida de una persona en un solo perfil. El hecho de que una cookie no esté directamente vinculada a la identidad real de una persona no hace que el perfil sea menos sensible. Y gracias a la industria de los intermediarios de datos, las cookies pueden vincularse a menudo con identidades reales con