EL PORQUÉ DE LAS "PEQUEÑAS" MILLONARIAS MULTAS PARA EL GRAN FACEBOOK

Recientemente, en 2017, la AEPD ha multado a Facebook  con 1,2M€,  cifra un tanto escasa teniendo en cuenta el tamaño de la empresa, pero es un precedente.

En lineas generales la AEPD consideró que no se cumplen los requisitos fundamentales para un consentimiento válido del tratamiento de sus datos por falta de información exacta, comprensible e inequívoca entre otras cosas. Las políticas de privacidad y avisos legales así como la adecuación a las normas que regulan los espacios en internet son fundamentales para poder proteger a los usuarios.

En este caso la relevancia del hecho es sustancial debido a que la gran mayoría de los usuarios del Facebook no son conscientes de tratamiento de la información que proporcionan. Lo mismo ocurre con Instagram y probablemente con muchas más redes sociales.

A modo ilustrativo y para comprender mejor vamos a comparar las políticas de privacidad (o de datos) de Facebook y las políticas de datos de Instagram que podemos encontrar en los siguientes enlaces:

Facebook  https://www.facebook.com/privacy/explanation

Instagram: https://www.facebook.com/help/instagram/155833707900388

Para
empezar con un análisis de pertinencia de dichas políticas de privacidad
tenemos que tener en cuenta que la información en la recogida de datos cumple una
función esencial, que es garantizar que el ciudadano pueda conocer la
existencia de los tratamientos de datos que le pudieran afectar y ello
constituye una conditio sine cua non del consentimiento posterior para su
tratamiento. La información proporcionada ha de ser clara e inequívoca (art.5
LOPD) en cuanto a la finalidad de la recogida y destinatarios de la
información, así como sobre las consecuencias de la obtención de datos o de
negativa a suministrarlos, de la posibilidad de ejercitar derechos ARCO, de la
identidad y dirección del responsable del tratamiento o en su caso de su
representante. Si el responsable de tratamiento no se encuentra en el
territorio de la Unión Europea debe designar necesariamente un representante en
España.

Tanto Facebook como Instagram (que
pertenecen al mismo grupo de empresas- Grupo Facebook[1]recaba
datos sobre los gustos personales, datos de navegación, datos del
dispositivo o navegación, informando de forma bastante clara
 acerca del
uso y finalidad que le va a dar a los mismos. Sin embargo, es algo confuso
puesto que mientras ambas plataformas se anuncian como una forma de compartir contenido,
a través de las mismas las políticas de privacidad recogen aspectos que nada
tienen que ver con el propósito único de compartir la información por parte de
los usuarios. Más bien podríamos llamarlas plataformas para proporcionar la
información sobre nuestros gustos a fin de ceder la misma a otras empresas con
fines publicitarios y lucrativos.


En
cuanto al deber de información quedan bastante bien definidas las finalidades
con los que se recogen los datos.Sin embargo no deja de ser preocupante el hecho de que las políticas de Instagram utilicen expresiones ambiguas de tipo “durante un tiempo razonable” o un “plazo
razonable” en cuanto a la eliminación de los datos en el caso de que decidamos
eliminar la cuenta. También consentimos que ambas empresas puedan intercambiar
nuestros datos con otras empresas aunque no tengamos cuentas asociadas con las
mismas. Simplemente por el hecho de pertenecer al mismo grupo de empresas hace
que puedan transferirse nuestros datos de una a otra y peor aún a un país
diferente donde las normas aplicables en cuanto a la protección de datos varían
encontrándose bajo una jurisdicción diferente. Por otro lado, y lo que ya me
parece una violación absoluta de privacidad Facebook recopila los datos de los
mensajes intercambiados entre usuarios, es decir MENSAJES PRIVADOS ENTRE LOS
USUARIOS o así por lo menos se puede concluir de la redacción que nos
proporciona.  Me parece que ello excede
totalmente de las finalidades con las que Facebook recoge y trata nuestros
datos.


 En caso de venta de cualquiera de las dos
plataformas en cuestión se procede a la transferencia de datos de una empresa a
otra sin requerir previo consentimiento por parte del usuario, aplicando un consentimiento
ex ante en el momento del registro.


Por
otro lado, se especifica en caso de Instagram que se podrán ceder datos que
permitan identificar al usuario o no. O expresamente que Instagram “PUEDE”
transferir estos datos de forma que el usuario no sea identificable, es decir
puede que no debe y al decir puede podríamos esperar cualquier cosa. Y de nuevo
para fines para los que se pretende la recogida y tratamiento en este caso no
es necesaria la identificación concreta del usuario.


En
cuanto al consentimiento establece el artículo 3.h) de la LOPD que es toda
manifestación de voluntad libre, inequívoca, específica e informada, mediante
la que el interesado consienta el tratamiento de datos personales que le
conciernen. Las características definitorias del consentimiento es que debe ser
PREVIO, LIBRE, INEQUÍVOCO, ESPECÍFICO E INFORMADO. En este sentido la AEPD
señala que tiene que ser ESPECÍFICO en el sentido a que es referido a una
determinada operación y una finalidad determinada, EXPLÍCITA y LEGÍTIMA del
responsable del tratamiento. De modo que tiene que ser anterior- lo que en caso
de crear una cuenta en cualquiera de las dos plataformas tendría que implicar
una casilla en la que la persona tendría que dar su consentimiento para cada
uno de los fines que se mencionan en dichas plataformas. Ahora bien, cuando un
potencial usuario realiza un registro en cualquiera de las dos plataformas
simplemente la crea. A mi modo de ver para que una persona se fije en políticas
de privacidad y fines con los que se va a tratar sus datos tiene que disponer
de una clara opción EX ANTE la creación de la cuenta. Ahora mismo existen millones
de usuarios que no tienen ni idea de los tipos de datos ni de finalidades con
las que se recogen, puesto que ni se informa de forma clara EX ANTE ni es
fácilmente localizable en las plataformas. La forma más simple sería
proporcionar un cuestionario informativo con casillas para marcar.


Además,
con la entrada del RGPD deberían incluir una clara base jurídica de tratamiento
de dichos datos.


En
conclusión, en general ambas redes sociales informan de forma bastante comprensible al uso
que va a hacer de los datos que recoge, pero utilizando en algunos casos
conceptos algo ambiguos lo que podría implicar  que un usuario de Facebook o de Instagram
con un conocimiento medio de las nuevas tecnologías podría no llegar a ser
consciente de la recogida de datos
, ni de su almacenamiento y posterior
tratamiento, ni de para qué van a ser utilizados. Además, dichas políticas de
privacidad o de datos tendrían que informar claramente de cada uno de los
puntos antes de la creación de una cuenta o en su caso y para que todo usuario
tenga conocimiento de ello crear una información clara al entrar el usuario en
la red, de modo que no tenga que
buscarla en los enlaces a los que tuve que acudir para averiguar cuales son las
condiciones y políticas de uso de servicio
. Puesto que ello no es así a mi
modo de ver no se cumple con el principio de información y del consentimiento.

MONIKA GOLINSKA.


.




[1] Empresas pertenecientes al
grupo Faceook en el siguiente enlace: https://www.facebook.com/help/111814505650678



Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *