PUBLICIDAD
PUBLICIDAD

La prescripción de los hechos salva a Facebook de una sanción de la AEPD en el caso ‘Cambridge Analytica’

Pese a la alarma social generada por esta cesión de datos del gigante norteamericano a un tercero, el regulador español archiva el asunto y lo deja sin sanciónDesde hace años la AEPD que dirige Mar España está muy pendiente de los movimientos de grandes empresas como Facebook o Google.
|

La Agencia Española de Protección de Datos (AEPD) archivó hace unos días el procedimiento abierto a Facebook por su cesión de datos a la consultora ‘Cambridge Analytica’, una operación de la que se supo que tuvo lugar en el 2015 y que llegó a afectar a 50 millones de perfiles de dicha red social.

Según marca la normativa española, los hechos sucedidos en ese 2015  habrían prescrito una vez puesto en marcha el expediente correspondiente. En el caso de faltas graves la prescripción está basada en dos años desde que se cometió dicha infracción.

PUBLICIDAD
PUBLICIDAD

Pese a que la alarma social fue notable en estos últimos dos años y la existencia de ciudadanos españoles afectados, el asunto se ha archivado por parte de la AEPD.

Varios expertos en privacidad dan su análisis sobre este asunto. En Reino Unido, su organismo regulador, el ICO, sancionó con 500.000 libras a Facebook por una violación de las leyes de protección de datos personales.

El archivo del asunto se ha conocido en redes sociales ya que ha sido escasa la publicidad hecha por el regulador del fallo. Facebook habría reconocido ante la AEPD que 44 personas en España se instalaron la aplicación conflictiva, y que existen otras 136.985 que, pese a no haberse instalado la aplicación, tenían amigos que sí lo hicieron y su configuración de seguridad permitió el acceso de la aplicación a sus datos.

PUBLICIDAD

El pasado mes de septiembre la AEPD ratificó la sanción de 600.000 euros interpuesta a WhatsApp y Facebook en marzo de este año tras desestimar los recursos presentados por cada empresa. Pese a ser entidades de la misma matriz, presentaron recursos por separado.

PUBLICIDAD

Un año antes la AEPD sancionó a Facebook con 1,2 millones de euros por la vulneración constatada de la normativa sobre datos personales de los usuarios. Desde la AEPD se comprobó que dicha la red social recopila, almacena y utiliza información de los usuarios para fines de publicidad sin haber obtenido la previa autorización para ello.

PUBLICIDAD

Otro enfoque a la resolución, como datos especialmente protegidos

Para Francisco Gónzalez-Calero, Lead Advisor servicios DPD de la consultora Govertis, “si es cierto que como destaca la resolución de la AEPD, Facebook en calidad de responsable del fichero ha implementado mejoras a raíz de los hechos en su política de privacidad de usuarios y terceros que desarrollan aplicaciones, también es cierto que debía haber previsto ya en 2013 mecanismos para evitar eventos como este supuesto”.

A su juicio hay que tener en cuenta que “la LOPD, normativa de referencia en ese momento, ya obligaba a solicitar el consentimiento expreso para comunicar los datos a terceros (artículo 6 y 11 de la LOPD) y una de las características del consentimiento es que sea informado. Para que esto se cumpla se debe facilitar información, en este caso conforme al artículo 5 de la LOPD sobre las finalidades y usos del tratamiento, cosa que no ocurrió”.

Gónzalez-Calero señala que “la resolución de archivo de la AEPD no se habría producido si se hubiera enfocado el procedimiento no desde la óptica de la vulneración de los artículos 6 y 11 de la LOPD, sino desde la perspectiva de datos especialmente protegidos, como así debería haber sido”.

Y recuerda que “no hay que olvidar que el uso de la aplicación “thisisyourdigitallife” que destapó los hechos fue la realización de encuestas que influyeron en la opinión de electores, lo que supone el presunto tratamiento de datos de ideología”.

El artículo 7.2 de la LOPD indica que solo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

PUBLICIDAD

Y es mas, “el apartado 4 del artículo 7 prohibía la creación de ficheros con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. También es una vía que podía haber explorado la AEPD a raíz de las noticias que tenemos del caso”, explica.

Para este experto en privacidad, “de haber optado por la vía del tratamiento de datos especialmente protegidos, de confirmarse los hechos, la infracción habría sido considerada como muy grave, con un periodo de prescripción de 3 años, por lo que no habría prescrito hasta diciembre de 2018 puesto que se podría haber amparado la sanción en el artículo 44.4.b): “tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7 “.

El fallo hace relación a los nuevos criterios de privacidad del Reglamento General de Protección de Datos (RGPD), ya operativos desde el 25 de mayo del 2018, con sanciones más duras que las actuales de la LOPD. También nuestro interlocutor cree que las dos asociaciones de consumidores que llevaron el caso hasta la AEPD podrían recurrir ante la propia Agencia, con un recurso de reposición.

Una reapertura del caso quizás podría analizar este asunto desde otra perspectiva, como “si se ha intentado influir en aspectos de ideología política, si debería tratarse como contrato de categoría especial o dato especialmente protegido”.

Sobre la posibilidad de que los afectados puedan ejercer acciones judiciales, cree que en la LOPD no está muy claro y también la prescripción ya ha pasado. “En el caso que el asunto se hubiera producido con el RGPD en marcha podrían haberse resarcido por daños y perjuicios”.

Resolución que ya abre las puertas al RGPD

Por su parte, Noemí Brito, socia del área de Tecnología, Innovación y Economía Digital de Ceca Magán Abogados, señal que “sin perjuicio de la decisión final de archivo en este caso por parte de la AEPD, sobre la base de la prescripción de los hechos contra Facebook y Cambridge Analytica, por vulneración de los artículos 6 y 11 de la LOPD, así como por la imposibilidad de verificar, -dado el cese de actividad de Cambridge Analytica-, de que esta empresa dispone o ha dispuesto de datos de usuarios españoles, esta resolución es muy relevante en cuanto a las nuevas pautas de cumplimiento del RGPD que deberán considerar las redes, plataformas y servicios en línea que operen en nuestro país”.

Y señala que “se infiere de esta resolución que tales redes y servicios deberían considerar de forma especial, entre otras, las siguientes cuestiones: en primer lugar, en el diseño y desarrollo de los tratamientos de datos que proyecten y realicen, los principios de privacidad desde el diseño y por defecto, siendo muy útil y recomendable que cuenten con protocolos internos a estos efectos. Por ello, cualquier aplicación o API que se proyecte para compartir datos con terceros deberá cumplir de forma estricta con tales principios”.

Otro aspecto que habrá que tener en cuenta tiene que ver con “las políticas de uso y compartición con terceros de los datos personales de sus usuarios deberán ser más claras y transparentes, al igual que las de aquellos que usen los datos compartidos. Ya no bastan las referencias genéricas, puesto que es necesario esclarecer las finalidades específicas en consonancia con lo dispuesto por el RGPD”.

Por último, Brito señala que “en caso de permitir bajo determinadas condiciones legítimas la compartición de datos de sus usuarios con terceros, tales condiciones y normas deberán responder igualmente a los principios contenidos en el RGPD, existiendo además una suerte de obligación de control o deber de diligencia en la supervisión y control del cumplimiento de dichas condiciones y normas”.

A su juicio será difícil demostrar que haya ciudadanos afectados ante unos hechos donde la acción infractora cesó en diciembre del 2015.

Estos aspectos habrá que tenerlos en cuenta porque “de lo contrario, podría concurrir culpabilidad y responsabilidad objetiva de tales redes y servicios en línea, al margen de la propia responsabilidad en que pudieran incurrir las empresas que utilicen indebidamente los datos personales accedidos”.

Para esta experta, “en definitiva, las redes y servicios online deberán ser más proactivos en el cumplimiento normativo, incluso, respecto al control de aquellos terceros con lo que comparten datos de forma habitual lo que, a su vez, implica la necesidad de generar e implantar de forma efectiva nuevos protocolos, medidas y políticas adecuadas a estos fines que, además, puedan evidenciar tal proactividad”.

Fallo decepcionante

Desde la Asociación de Internautas, su presidente Victor Domingo, señala a este medio que el fallo ha dejado “mal sabor de boca”.

Reconoce que si hay 44 ciudadanos españoles que se han bajado esa aplicación y eso ha tenido su influencia sobre otros 140.000 que eran sus amigos “pone de manifiesto la falta de garantía de los usuarios en temas de privacidad”. Indica que si estas plataformas no se ajustan a la legalidad, los procedimientos de archivo tendrían que se más flexibles en situaciones como ésta.

Domingo advierte, además, de que “es raro que no sepamos que se ha hecho con ese tipo de datos que se han utilizado de forma fraudulenta”. En su opinión, hay una contradicción entre las políticas de privacidad y situaciones como esta y “hay que darse cuenta que la única entidad que puede velar por preservar la privacidad de los ciudadanos es la propia AEPD. Si es tan laxa a la hora de implantar medidas ante estas plataformas, nos vemos a merced de ellos”.

Nuestro interlocutor recuerda que este fallo del archivo se ha conocido en las rede sociales y no especialmente a través de la AEPD. “Estamos hablando de un tema que ha puesto patas arribas la privacidad en Facebook, que afectaba a ciudadanos españoles de alguna manera, ante el uso de una aplicación. Creo que ha perdido una oportunidad de darle un toque de atención a Facebook cuando este asunto se mira con lupa en toda Europa Occidental”.

Desde la Asociación  de Internautas se pone en duda el nuevo impuesto tecnológico para este tipo de empresas “si realmente ante situaciones como la descrita no se hace nada y se archiva un caso tan claro”.

Domingo recuerda que este era un caso anterior al RGPD y no se entiende cómo no ha habido una llamada de atención de la AEPD a Facebook por su comportamiento. “Habría que buscar alguna fórmula para que la gente afectada pudiera verse recompensada de alguna forma por la violación de esa privacidad”.

Esta asociación de la sociedad civil reitera que “la AEPD puso en marcha en su día de oficio un procedimiento investigador que se archiva por prescripción.  En el expediente se reconocen los hechos sancionables. Nosotros pensamos que una violación de la privacidad de esa categoría no debería prescribir. Sorprende que no haya habido ni un toque de atención y tampoco unas recomendaciones para el público en general sobre cómo evitar una mayor injerencia en nuestra privacidad por parte de Facebook”.