RGPD vs. Facebook: ¿monopolio de información?

Han pasado más de dos años desde la implementación del Reglamento General de Protección de Datos (RPGD), diseñado para controlar el tratamiento de datos personales. ¿Pero cuál ha sido su efecto en las grandes empresas de tecnología?

• Los gigantes tecnológicos como Facebook y Google fueron los primeros en implementar medidas de protección de datos, dejando atrás a buena parte de sus competidores.
• La recopilación de datos fuera de sus plataformas constituye una de las mayores preocupaciones respecto al tratamiento de datos por parte de Facebook.

El RGPD se puso en funcionamiento el 25 de mayo de 2018, con cientos de nuevos requisitos para empresas de todo el mundo. El RGPD exige transparencia sobre el tratamiento de datos personales a empresas que traten datos de personas que se encuentren en la Unión Europea

Con “tratamiento”, la legislación se refiere a cualquier operación o conjunto de operaciones realizadas sobre datos personales, desde su recopilación hasta su destrucción.

Cuáles son los principios de protección de datos del RGPD

Cualquiera que sea la nacionalidad o residencia de las personas, el tratamiento de los datos de carácter personal debe realizarse conforme a estos principios que recoge el RGPD:

1. Licitud: el tratamiento debe ser tratado con el consentimiento del interesado o sobre alguna otra base legítima.
2. Lealtad y Transparencia: exige que se informe al interesado de la existencia de la operación de tratamiento y sus fines y que la información y comunicación dirigida al público o al interesado relativa a tratamiento de los datos personales sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.
3. Limitación de la finalidad: los datos han de ser recogidos con fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con dichos fines: por ejemplo, el propósito de ofrecer anuncios personalizados.
4. Minimización de los datos: solo puedes recopilar la información estrictamente necesaria en relación con el fin para el que son tratados.
5. Exactitud: los datos deben ser exactos y han de mantenerse actualizados.
6. Límitación del plazo de conservación: solo puedes guardar los datos durante el tiempo necesario para los fines del tratamiento.
7. Integridad y confidencialidad: la empresa debe garantizar la seguridad adecuada de los datos personales incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental mediante la aplicación de medidas técnicas u organizativas. Como ejemplo la protección mediante la encriptación.
8. Responsabilidad: el controlador de datos es el responsable de demostrar que cumple con todos estos principios del RGPD.

Los escándalos de Facebook con relación a la gestión de datos son conocidos por todos. En parte, el RGPD se dirige a controlar el monopolio de la información por parte de los gigantes tecnológicos. A pesar de ello, muchos expertos coinciden en que la normativa ha creado una barrera que frena a los competidores más pequeños.

La compañía de Mark Zuckerberg ha aplicado el RGPD de manera bastante estricta, según los analistas. No obstante, su sistema no es perfecto.

¿Procesador o controlador de datos?

Antes de ver cómo se ha adaptado Faceboook a la normativa, es importante distinguir entre el procesador de datos y el controlador de datos:

• El controlador de datos es quién decide cómo y con qué objetivo será tratada la información.
• Por su parte, el procesador de datos actúa en nombre del controlador. Por ejemplo, un proveedor de almacenamiento online, un call center o cualquier servicio externo se consideraría procesador de datos. Estos tienen la responsabilidad de tratar los datos de forma segura y conforme a la legalidad, siguiendo las directrices del controlador de datos.

El caso de Facebook, este no siempre actúa como controlador de datos. En ocasiones, cuando Facebook realiza el tratamiento de la información en nombre de un anunciante, el controlador es este último, mientras que Facebook se limita a ser el procesador de los datos.

Estos son los servicios en los que Facebook es únicamente el procesador:

• Anuncios con audiencias personalizadas creadas a partir de archivos de datos.
• Herramienta de medición y estadísticas.
• Workplace Premium de Facebook.

¿Cómo se ha adaptado Facebook al RGPD?

Desde 2018, Facebook ha hecho un esfuerzo para que los usuarios puedan entender mejor qué sabe la empresa sobre ellos y para qué utiliza esa información personal. Específicamente, Facebook ha implementado una serie de medidas:

• Consentimiento expreso para el uso de datos con la finalidad de ofrecer anuncios personalizados.
• Consentimiento expreso para compartir información sensible, como el estado civil o las creencias religiosas. Aun con el consentimiento del usuario, los anunciantes no pueden personalizar los anuncios en base a esta información.
• Posibilidad de bloquear el seguimiento de navegación en sitios web que incorporan el píxel de conversión, botón Me gusta o publicidad de Audience Network.
• Consentimiento parental para compartir la información sensible de usuarios menores de edad. También se requiere un permiso para recibir publicidad personalizada.
• Nuevo sistema de reconocimiento facial para evitar la usurpación de la identidad.

El consentimiento en Facebook, ¿realmente tenemos opción?

Las medidas de Facebook para mejorar su transparencia distan de ser perfectas.

Según los analistas, el diseño de la plataforma facilita la aprobación del consentimiento mientras que dificulta la configuración de los términos de privacidad y otras acciones importantes, como eliminar la cuenta.

Por ejemplo, cuando tienes que dar tu consentimiento sobre información sensible, Facebook en todo momento te permite hacer clic en un prominente botón de “Aceptar y continuar”. Si, por el contrario, deseas configurar tu información, tendrás que encontrar un texto gris con enlace que pasa totalmente desapercibido. Una vez haces clic, Facebook trata de disuadirte para que no modifiques tus preferencias.

Algunos legisladores consideran que Facebook utiliza estrategias de “consentimiento forzado” que chocan con el RGPD.

Otro ejemplo es la utilización de datos de navegación del usuario. Si bien es posible desactivar el seguimiento para su uso en publicidad personalizada, Facebook utiliza esa información para personalizar tu tablón de noticias (o feed) y optimizar otras partes de su servicio.

A pesar de estos trucos, Facebook es una de las empresas que mejor se ha adaptado al nuevo reglamento. Hay que tener en cuenta que su negocio se basa en el tratamiento de información privada, por lo que los requisitos de privacidad y transparencia deben ser los más altos.

Por último, si te anuncias en Facebook con audiencias personalizas, asegúrate de cumplir con los requisitos del RGPD.