Facebook viola leyes de protección de datos personales en la Unión Europea, señalan autoridades

La red social se hace acreedora a múltiples sanciones económicas e infracciones.

Imagen tomada de Flickr. Bajo licencia CC BY-SA 2.0.

El pasado 16 de mayo, cinco autoridades europeas de protección de datos personales publicaron un comunicado conjunto para destacar los resultados de las investigaciones y los procedimientos que han realizado con objeto de examinar la legalidad de los términos de uso de Facebook, así como su política de datos, y política de cookies.

Después de que Facebook anunciara en noviembre 2014 que haría una revisión global de su política de datos, política de cookies y de los términos de uso de sus servicios, las autoridades de protección de datos de Bélgica, España, Francia, Hamburgo y los Paises Bajos, se unieron en un “Grupo de Contacto” a través del cual iniciaron investigaciones para determinar, entre otras cosas, la calidad de la información proporcionada por Facebook a sus usuarios, la validez del consentimiento y el procesamiento de los datos personales que realiza con fines publicitarios.

Ahora que las investigaciones emprendidas por las autoridades de Bélgica, Francia y los Países Bajos han finalizado, el Grupo publicó un comunicado conjunto con los resultados en cada caso. A continuación presentamos las conclusiones de cada una de las autoridades regulatorias.

BÉLGICA

La Comisión de Privacidad belga emitió una serie de recomendaciones a Facebook sobre el rastreo de usuarios y no usuarios que realiza a través de cookies, plug-ins sociales y pixeles. Esta Comisión ya había emitido una serie de recomendaciones a Facebook en 2015, y a pesar de que Facebook realizó ciertos cambios para atender las sugerencias, la Comisión señaló que, a la fecha, la red social continúa incumpliendo con la legislación nacional en la materia, así como con la Directiva de Protección de Datos de la Unión Europea (95/46/CE).

Tomando en consideración las deficiencias en la información que Facebook proporciona a sus usuarios, así como la insuficiencia de opciones que les proporciona para decidir sobre sus datos, la Comisión especificó que Facebook incumple con los requisitos legales relativos al consentimiento, la imparcialidad, la transparencia y la proporcionalidad. La Comisión también determinó que las prácticas de recopilación de datos personales que Facebook realiza son excesivas en diversas circunstancias.

Cabe señalar que, en esta ocasión, la Comisión de Privacidad está solicitando la ejecución judicial de sus recomendaciones ante el Tribunal de Primera Instancia de Bruselas. Los alegatos del caso se presentarán el 12 y 13 de octubre de 2017.

FRANCIA

Por su parte, el Comité Restringido de la Comisión Nacional de Informática y Libertades francesa (CNIL) determinó sancionar públicamente a Facebook Inc. y a Facebook Ireland Limited (la oficina de Facebook en Irlanda) por un total de 150 mil euros, argumentando que Facebook recopila una gran cantidad de datos e información de sus usuarios, la cual analiza y combina con fines publicitarios, sin contar con los fundamentos legales necesarios.

Asimismo, la CNIL constató que Facebook realiza prácticas ilegales de rastreo de sus usuarios en Internet vía la cookie DATR, y señaló que el banner de la red social que advierte sobre su uso de cookies y la mención de que recolecta información “dentro y fuera de Facebook” no permiten que sus usuarios comprendan, de forma suficientemente clara, que sus datos personales son recopilados sistemáticamente, incluso cada vez que visitan sitios de terceros que tienen habilitado el plug-in de Facebook.

PAÍSES BAJOS

La Autoridad de Protección de Datos en los Países Bajos, después de examinar el tratamiento de datos personales de 9.6 millones de usuarios de Facebook en los Países Bajos, concluyó que ésta viola la Ley de Protección de Datos nacional al no proporcionar información suficiente sobre el uso que hace de los datos de sus usuarios.

La Autoridad también descubrió que Facebook utiliza datos personales sensibles sin consentimiento de sus usuarios, tales como datos e información relacionada con sus preferencias sexuales, para mostrarles publicidad dirigida. Facebook presuntamente ha realizado cambios para evitar que este tipo de datos sean utilizados para tales fines, pero corresponde a la Autoridad holandesa determinar si, en efecto, las violaciones se han detenido. De no ser así, la Autoridad estaría en posibilidades de sancionar a la red social.

ALEMANIA

En el caso de Alemania, la Comisión de Protección de Datos y Libertad de Información de Hamburgo ha emitido en dos ocasiones órdenes relacionadas con Facebook. Una de ellas se centró en el uso de pseudónimos en la red social, la cual Facebook apeló. Sin embargo, el Tribunal Superior Administrativo levantó la orden para permitir el uso de pseudónimos – aunque no se pronunció sobre si la Autoridad de Protección de Datos de Hamburgo tiene competencias para abordar estos temas, lo cual hubiera sido deseable-.

El segundo procedimiento tuvo que ver con la transferencia de datos entre Facebook y WhatsApp, para lo cual la Comisión emitió una orden administrativa en septiembre de 2016, prohibiendo a Facebook recolectar los datos de los cerca de 35 millones de usuarios alemanes de WhatsApp. Más aún, ordenó que la red social eliminara cualquier información que WhatsApp ya le hubiera transferido. El 25 de abril de este año, el Tribunal Administrativo (inferior) confirmó la validez de dicha orden.

ESPAÑA

La Agencia Española de Protección de Datos, después de analizar la política de privacidad y las condiciones de uso de Facebook, optó por abrir dos procedimientos de infracción contra la red social por violar ciertas disposiciones de la legislación española en materia de protección de datos.

REACCIONES POR PARTE DE FACEBOOK

De acuerdo con lo señalado por las autoridades de protección de datos personales de estos cinco países, Facebook ha impugnado la aplicabilidad de las distintas legislaciones nacionales de protección de datos, argumentando que la única legislación sobre protección de datos que le aplica es la irlandesa, ya que Facebook Irlanda es quien da tratamiento a los datos de las y los usuarios europeos de la red social. De esta manera, y según la compañía estadounidense “sólo la Autoridad irlandesa sería competente para supervisar el tratamiento de datos personales de los usuarios del servicio en Europa”.

Haciendo referencia a una jurisprudencia del Tribunal de Justicia de la Unión Europea, y destacando que Facebook tiene oficinas en los cinco países que conforman el “Grupo de Contacto”, el comunicado conjunto de las Autoridades concluye lo siguiente:

[…] las actividades de estas oficinas [de Facebook] están “indisolublemente asociadas” al tratamiento de datos que realiza el Grupo Facebook, y todas las oficinas nacionales investigadas son establecimientos pertinentes en virtud del Artículo 4.1.a de la Directiva Europea de Protección de Datos 95/46 /CE.

De esta manera, los reguladores europeos reafirman su compromiso de hacer cumplir sus marcos normativos nacionales en materia de protección de datos personales.

Habrá que seguir de cerca el desarrollo de cada una de las disputas, pero algo parece muy claro: si Facebook no demuestra que sus prácticas de recolección y tratamiento de datos cumplen con las leyes de privacidad y de protección de datos nacionales de los Estados miembros de la Unión Europea, las multas y sanciones no se harán esperar.

LE LLUEVE SOBRE MOJADO

Además de tener que enfrentar esta diversidad de procesos, Facebook ha sido sancionado recientemente por la Comisión Europea por haber proporcionado información engañosa al momento de comprar WhatsApp en 2014. La multa impuesta asciende a 110 millones de euros y es, hasta ahora, la multa más alta en la historia de los casos de fusiones en la Unión Europea. De acuerdo con Margrethe Vestager, responsable de las políticas de competencia de la Comisión:

La decisión de hoy [18 de mayo de 2017] envía una señal clara a las empresas de que deben cumplir con todos los aspectos de las normas de fusiones de la UE, incluida la obligación de proporcionar información correcta, e impone una multa proporcionada y disuasiva en Facebook.

By Giovanna SalazarGiovanna Salazar on Twitter

Giovanna Salazar es Oficial de Incidencia y Comunicación y Oficial de Recaudación de Fondos del Programa de protección de datos “SonTusDatos” de la Asociación Civil “Artículo 12”. Más información sobre Giovanna: https://sontusdatos.org/staff/giovanna-salazar/. Llave pública GPG: https://sontusdatos.org/contacto/llave-publica-de-giovanna-salazar/.

Comentarios (0)

Deja un comentario...