La AEPD acaba de sancionar a Facebook con una multa de 1,2 millones de euros por recoger datos sensibles de su navegación sin proporcionar a los usuarios una información adecuada y clara, incluso de personas que no son usuarias de la plataforma. Esto se da en un momento como el actual en el que el nuevo Reglamento Europeo de Protección de Datos (RGPD), de aplicación obligatoria a partir de mayo de 2018, requiere a todas las organizaciones y empresas, sean grandes o pequeñas, a realizar análisis de riesgos para comprobar si tratan datos personales sensibles.
La compra de Whatsapp por parte del gigante Facebook en 2014, ya suscitó recelos a la Agencia Española de Protección de Datos y a otras tantas autoridades europeas de protección de datos, debido al gran número de datos sensibles que almacenaba la aplicación de mensajería instantánea. La Autoridad Canadiense y la Holandesa consiguieron obtener una cierta colaboración de Whatsapp en la investigación de la gestión de los mensajes y la verificación de las cuentas.
Anteriormente, en 2009, la Comisaria de Privacidad Canadiense, pionera en el ámbito de la protección de datos, se enfrentó a la red social Facebook y la amenazó con llevarle ante los tribunales debido a su política de privacidad, por considerar que violaba la legislación canadiense de protección de datos. Le otorgó un plazo para resolver aspectos sobre la forma cómo se recogen, distribuyen y almacenan los datos personales de los usuarios; le requirió más transparencia acerca de lo que sucede cuando un usuario se da de baja en la aplicación; solicitó una clarificación de los motivos que le llevaban a mantener los perfiles de usuarios difuntos y rechazó que los usuarios que solicitaban darse de baja, pudieran ser identificados de forma indefinida, o de mantener los correos electrónicos de aquellos que sólo estaban invitados a registrarse. La Comisaria consideró que faltaban mecanismos para evitar el acceso no autorizado a los datos personales de terceros por quienes, sin ser el propio Facebook, desarrollaban aplicaciones en su plataforma (p.ej. desarrolladores de juegos o de cuestionarios). La Comisiaria Canadiense insistió en que esta red social debía concienciar a los usuarios de los riesgos que conlleva de etiquetar a terceras personas sin su consentimiento, e instó a aquellos que se registraban a leer las Condiciones de Uso y a activar las opciones de privacidad.
Con la entrada en vigor del nuevo RGPD, las multas de la Agencia Española de Protección de Datos serán muy superiores a las actuales, porque esta norma exige a las entidades públicas y privadas un alto grado de transparencia en el tratamiento de los datos personales de los ciudadanos/usuarios.
Debido al constante desarrollo tecnológico, lo que más ha estado preocupando a las autoridades de protección de datos, es si el usuario es suficientemente consciente del grado de información personal que, en este caso, tiene y trata Facebook y de cómo la utiliza, responsabilizando a la red social de demostrar que el consentimiento de sus usuarios es auténtico.
Tanto es así que nos preguntamos si no estará el nuevo RGPD en el camino de pasar de una privacidad basada en el mero consentimiento a una privacidad basada en la responsabilidad o, más bien, a una privacidad basada en la transparencia. Estamos asistiendo a la evolución de la concepción de la privacidad, una privacidad dinámica que todavía tiene su pie en el consentimiento pero que se va apoyando cada vez más en la responsabilidad. Una responsabilidad que, básicamente, significa transparencia.
Ahora bien, la efectividad de esta ley supraestatal dependerá en gran parte de su capacidad de generar riesgos altos para quien la desobedezca y para quien no la tenga en cuenta.
¿Hasta qué punto aceptarán Google, Amazon, Facebook, etc. el nuevo Reglamento Europeo de Protección de Datos? ¿Asumirán el riesgo de perder la confianza de los más de 500 millones de usuarios europeos? ¿Asumirán el riesgo de verse sancionados con las elevadas multas que el RGPD impone ante su incumplimiento?
Esther Mitjans
Asesora Legal de DIGITAL LEX
Ex Directora de la Autoritat Catalana de Protecció de Dades de Catalunya. Profesora de Derecho Constitucional de la Universidad de Barcelona.