Facebook, de nuevo multada por su gestión de los datos de los usuarios

La noticia ha llenado muchos titulares hoy: la Agencia Española de Protección de Datos ha impuesto una multa de 1,2 millones de euros a Facebook por vulnerar la normativa sobre protección de datos de particulares ya que la empresa “recopila, almacena y utiliza datos de los usuarios para fines publicitarios sin haber obtenido autorización expresa para ello previamente”.

La empresa, en un escueto comunicado, ha respondido que “discrepan respetuosamente” de la decisión de la AEPD y que, por tanto, “recurrirán la sanción”. La clave de su defensa es que son los propios usuarios los que voluntariamente la información que quieren añadir en su perfil y compartir con otros. Además, esos mismos contenidos no se emplean para mostrar publicidad específica.

Desde el argumentario de la Agencia, la red social ha recopilado esa información sobre su ideología, sexo, credo religioso o gustos personales sin que se haya dado un consentimiento inequívoco. Esto hace que considere que ha cometido dos infracciones graves y una muy grave por las que ha sido multado con 300.000 y 600.000 euros respectivamente.

Lo más grave para la empresa es que según el estudio llevado a cabo por la AEPD -y que se podría extrapolar a otros mercados de la UE- es que la compañía estadounidense no informa de manera exhaustiva de los datos que va a recoger y la forma en la que van a ser utilizado con la salvedad de ciertos ejemplos residuales. Además, la política de privacidad que, según Facebook de forma voluntaria, aceptan los usuarios está llena de generalidades y expresiones poco claras que dificultan la compresión por parte del usuario (aunque se detenga a leerlas con cuidado).

Asimismo, los usuarios no son informados del empleo de cookies cada vez que navegan por una web en la que pueden pinchar en un “me gusta”. De esta forma, con ese sencillo click, su información pasa a estar compilada por la empresa y se acepta de forma implícita su posterior uso, probablemente, con fines comerciales.

De este modo, el legislador también reseña que los datos de los usuarios no son eliminados cuando dejan de ser útiles para el fin por el que se recopilaron ni tampoco cuando un usuario solicita su eliminación definitiva. Lo más llamativo es que, desde que un usuario solicita eliminar su cuenta -y con ello todos los datos personales que Facebook ha recopilado- estos siguen siendo tratados durante al menos 17 meses con fines que el usuario ya no desea.

Facebook se ha defendido explicando que cumplen completamente la Ley de Protección de Datos de Irlanda, país en el que tiene centralizadas todas sus operaciones continentales y que ya está trabajando con las agencias de ambos estados miembros (España e Irlanda) para poder subsanar estos problemas.

Protección de datos, Europa toma la delantera

Por fin el trabajo de años del Parlamento Europeo ha llegado a buen puerto en materia de protección de datos. Hace poco más de una semana la legislación de 1995 fue actualizada a la era digital para dar más herramientas a las autoridades para poder plantar cara a las empresas que infrinjan las leyes y vulneren los derechos individuales de los ciudadanos al respecto de sus datos.

Entre las normas más aplaudidas se encuentra la garantía la Derecho al Olvido y la obligatoriedad a agilizar la portabilidad de datos así como un refuerzo al consentimiento explícito de los usuarios para el tratamiento de sus datos utilizando -por fin- un lenguaje claro que no deja espacio a las ambigüedades en el que todas las cláusulas sobre privacidad quedan lejos de posibles interpretaciones.

Según los comisarios europeos Frans Timmermans y Vera Jourová “las nuevas normas garantizan que el derecho fundamental a la protección de datos personales están disponibles para todos los ciudadanos”. Además, “ayudan a estimular el mercado digital único europeo mediante el fomento de la confianza de los consumidores en los servicios en línea”.

De esta forma el Reglamento General de Protección de Datos endurece las penas para las empresas que se salten las normas con multas que pueden alcanzar el 4% de su facturación global de modo que no puedan saltarse nunca el consentimiento “claro y afirmativo” de cada persona en cada caso.

Las grandes empresas, además, tendrán que designar un “oficial de protección de datos” si tratan datos sensibles a escala y estarán obligadas a informar si sufren alguna filtración durante las 72 horas siguientes al problema. Además, la responsabilidad de la misma se extenderá a cualquier procesador de datos que haya estado relacionado con la misma.

El Derecho al Olvido, además, pasa a convertirse en una Ley, del mismo modo que la portabilidad de datos para que pasen de un proveedor a otro de datos debe facilitarse siempre que así lo desee el propietario de los mismos. En caso de que se trate de datos de menores o de que estos hayan cedido datos a redes sociales, los mismos quedarán a merced de lo que decidan hacer con ellos sus tutores legales siendo una autoridad única la que puede tomar decisiones al respecto de las quejas que surjan por su uso.

La legislación continental entrará 20 días después de su publicación y todos los Estados miembros sin excepción tendrán un plazo máximo de dos años para implementarla en su respectiva legislaciones nacionales.

Protección de datos, cómo la violamos a menudo

La privacidad y la protección de datos son, probablemente, dos de los campos más afectados por la revolución digital durante los últimos años. Así, hace unos días El Confidencial publicaba un genial reportaje en el que explicaba como, por desconocimiento o por desinterés muchas veces las empresas vulneran la Ley y, aunque involuntariamente, realizan una actividad punible contra el afectado.

Vayamos por partes, en el Estado existe una Agencia Española de Protección de Datos creada en 1993 y que es el organismo público encargado de velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal que data de 1999 y que muestra un especial interés en la protección de los Derechos Fundamentales de las Personas Físicas, especialmente su honor, intimidad y privacidad personal y familiar.

Sin embargo, como hemos dicho, multitud de empresas, bancos y marcas violan esta normativa en prácticas tan habituales como conectar con alguien a través de una red social o enviar incorrectamente un correo electrónico.

¿Usan bien Twitter?

Es habitual que una empresa siga a un usuario a través de Twitter. Cuando esto ocurre se dan dos escenarios. El primero es que esa persona aparece en la lista de “Siguiendo” de la red social. La segunda es que se le notifica que la compañía existe (y eso incluye su logo, su sitio web, etc. cuando no incorporan ofertas a su biografía).

Alberto G. Luna, periodistas de El Confidencial explica que preguntando a juristas la mayoría concluyen en que esto redunda en dos tipos de infracciones: una de la LOPD y otra de la Ley de Servicios de la Propiedad de la Información ya que se trata de actividades comerciales no consentidas. Léase, Spam.

¿Y cómo deberían actuar entonces las empresas? Primero, para poder seguir a un usuario, deberían conseguir el consentimiento informado del mismo, algo regulado en el artículo 5 de la LOPD. Por su parte, para poder publicar el nombre del usuario en su lista de seguidores deben cumplir la regulación sobre la “comunicación de datos a terceros” que aparece regulado en el artículo 11 de la misma normativa.

¿Por qué tanto cuidado? El ejemplo que ponen es esclarecedor. Imaginemos que nos ponen en una lista de un grupo de personas afín a un partido político con el que no queremos que nos relacionen o identifiquen. La verdad es que es complicado que consigamos desvincularnos a posteriori si la relación adquiere cierta relevancia pública.

Las empresas tan solo puede seguir a los usuarios que ya las sigan, aquellos que lo autoricen expresamente o mantengan o hayan mantenido una relación comercial con ella y se les haya notificado que van a ser seguidos y no hayan mostrado su desaprobación en el plazo de 30 días posterior a esa notificación.

¿Cuál es el problema con los correos electrónicos?

El caso aquí es igual de habitual y de fácil de subsanar. Según el artículo 44.3.k de la LOPD “la comunicación o cesión de datos de carácter personal sin contar con la legitimación para ello en los términos previstos es esta Ley y sus disposiciones reglamentarias de desarrollo” son una infracción grave.

El caso práctico consiste en enviar un email a varios destinatarios sin utilizar la copia oculta. Esta infracción serán sancionadas con multas de entre 40.001 y 300.000 euros, aunque en caso de denuncia -improbable- la AEPD suele ser permisiva y baja el grado pues entiende que la infracción no es continuada, que no afecta a mucha gente y que el infractor acepta su culpabilidad.

Ya ha habido casos de multas en este sentido como una de 3.000€ a una inmobiliaria que felicitó la Navidad a todos sus contactos -revelando a terceros los datos de sus otros clientes- y a UGT con 2.000€. Esta práctica es considerada lesiva porque expone los datos de los destinatarios para que sean recopilados por terceros y puedan ser usados para otros fines sin su consentimiento.