Hoy se cumple el 40 aniversario de la firma del primer tratado internacional en materia de protección de datos: el Convenio No 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Este Convenio nació con la finalidad de garantizar a cualquier persona el respeto de sus derechos y libertades fundamentales, concretamente, su derecho a la vida privada respecto al tratamiento automatizado de sus datos. Es por ello, que este día, 28 de enero, se celebra el “Data Privacy Day”, cuyo propósito es crear conciencia y promover las mejores prácticas de privacidad y protección de datos.
Para ello, desde Áudea queremos aportar nuestro granito de arena repasando las novedades y las implicaciones que conlleva el uso de las redes sociales, las cuales, más que nunca, han cambiado nuestra forma de comunicarnos y de relacionarnos con nuestro entorno, todo ello a un coste: la privacidad.
Las redes sociales implican riesgos que, como usuarios, hemos decidido aceptar. Los usuarios y la red social celebran un contrato electrónico válido y vinculante cuando, tras haber facilitado los datos personales requeridos y el compromiso del desarrollador a tratar estos datos, el usuario manifiesta de forma expresa e inequívoca, aceptar la Política de Privacidad y los Términos y Condiciones de Uso de la plataforma, dándole acceso total a dicha red social. Estos documentos son cada vez más extensos y dificultan la tarea de mantenerse informado y actualizado de los cambios que se realizan: una nota publicada por el NY Times revela que un usuario promedio tardaría 76 días completos en leer todos los términos y condiciones de uso de los servicios digitales a los que accede y acepta utilizar. Por ejemplo, leer los términos y condiciones de Amazon en voz alta, ¡nos tomaría aproximadamente 9 horas!
Ante esta situación, nos preguntamos si estos términos están realmente pensados para ser leídos y aceptados con pleno conocimiento de las implicaciones en cuanto a privacidad. La información que publicamos y compartimos en redes sociales puede ser utilizada para definir perfiles de personalidad, afinidades políticas, contactos o localización, entre otros, permitiendo a estas empresas hacer perfiles sociológicos de grupos o de personas. Ejemplos de ello los podemos encontrar en la multa a Facebook de 5.000 millones de dólares por parte de la Comisión Federal de Comercio de Estados Unidos (FTC, por sus siglas en inglés) por haber violado las reglas de privacidad de sus usuarios en el caso Cambridge Analytica al ceder sus datos sin consentimiento.
Las condiciones de uso de las redes sociales forman parte de los pasos previos que los usuarios deben aceptar para hacer uso de sus servicios. Por ello, más de seis años después de que WhatsApp fuese adquirida por Facebook, la aplicación de mensajería finalmente aplicará uno de los objetivos iniciales de la adquisición: compartir los datos de los usuarios de WhatsApp con Facebook. A este respecto, WhatsApp ha comenzado a mostrar mensajes de aviso a los usuarios en los que se indican importantes cambios en los términos de uso y política de privacidad dirigidos a permitir a Facebook compartir y utilizar los datos de WhatsApp para el resto de sus servicios y propósitos. A raíz del revuelo generado, WhatsApp ha anunciado un retraso de la entrada en vigor de dichos cambios al 15 de mayo “debido a la divulgación de tanta información falsa que genera preocupación, queremos ayudar a las personas a conocer los hechos y comprender nuestros principios.”
Desde que WhatsApp fue adquirida por Facebook, ambas empresas comparten información entre ellas para mejorar los servicios a nivel técnico y obtener estadísticas de uso, aunque es importante mencionar que tanto el tipo como la cantidad que se comparte no es la misma cuando se trata de usuarios europeos, ya que en Europa aplica el Reglamento General de Protección de Datos.
Los cambios en la nueva Política de Privacidad para usuarios europeos, principalmente, consisten en detallar de forma más clara los datos que obtienen de los usuarios y de sus dispositivos al usar el servicio: horarios en los que se utiliza la aplicación, en qué momentos están “online” y cuándo no, los contactos con los que mantienen conversaciones los usuarios, cada cuánto actualizan la información, etc. WhatsApp no cambiará la información que guarda sobre los dispositivos, por lo que seguirá guardando la marca, batería, dirección IP, operador de telefonía, ubicación (cuando se comparte con los contactos o si la aplicación cuenta con el permiso para acceder a ella). También seguirá guardando un identificador asociado a los productos de Facebook para asociar la información de las cuentas de Facebook, WhatsApp e Instagram, en caso de que los usuarios tengan descargadas estas aplicaciones.
En concreto, se ha incorporado en diversos apartados que WhatsApp puede compartir información con empresas proveedoras de servicios de terceros (por ejemplo, si se realiza un pago a través de WhatsApp, ésta tendrá que dar algunos datos de los usuarios a la compañía que lo permite).
A pesar de todos los rumores suscitados y la desinformación en torno a la actualización de su Política de Privacidad, ésta no incluye que se puedan leer conversaciones privadas ni que se vaya a compartir mensajes con Facebook ni otras empresas, ya que la aplicación va a seguir usando el cifrado de extremo a extremo, por lo que no podrán leer las conversaciones ni escuchar las llamadas. Asimismo, en este nuevo documento se especifica que, por el momento, no tienen intención de mostrar publicidad en WhatsApp.
Otras de las redes sociales que ha adquirido relevancia a nivel internacional ha sido TikTok, una red social especializada en el intercambio de videos cortos, que registra millones de descargas y usuarios activos por mes, principalmente menores y adolescentes que, muchas veces no pueden distinguir entre una noticia falsa e información real (especialmente en momentos de interés general como cuando hay elecciones o la situación actual ocasionada por la pandemia del Covid-19). En este sentido, TikTok ha firmado el Código de Buenas prácticas en materia de desinformación de la Unión Europea, entre los que participan también empresas tecnológicas importantes del sector como Google, Facebook, Twitter, Microsoft o Mozilla para “evitar la propagación de desinformación online, la cooperación y la transparencia de la industria”.
En cuanto al tratamiento de datos de los menores, debe decirse que compañías como TikTok, como responsables del tratamiento, les corresponde garantizar el derecho de información, velar para que se cumplan los principios de calidad del dato y de finalidad, implantar medidas de seguridad apropiadas y siempre robustas, tratar datos con habilitación legal, etc. También deben los usuarios cumplir con principios importantes en cuanto a privacidad se refiere: obtener el consentimiento de aquellas terceras personas de quienes vuelcan información en su red social; respetar el principio de calidad, ya que tratan información de todo tipo sin ser conscientes del uso que puede darse a la misma. TikTok, en estos pocos años, ha cosechado numerosas críticas respecto al cumplimiento de protección de datos en los países que en los que opera. El uso masivo de esta app por parte de menores de edad (especialmente de menores de 14 años) que, conforme a la normativa española de protección de datos, con carácter general no pueden prestar su consentimiento válido sin contar previamente con el de sus padres, ha puesto el foco en los tratamientos que realiza sobre los menores. Así, la Comisión Federal de Comercio de EE.UU. (FTC, por sus siglas en inglés) ya sancionó a TikTok con más de 5 millones de dólares por el incumplimiento del Children’s Online Privacy Protection Act (COPPA) por recopilar datos personales de menores de forma ilegal sin el consentimiento de sus padres. A partir de estas polémicas y sanciones, TikTok ha ido mejorando sus mecanismos de control de la privacidad y la seguridad en el uso de su aplicación, en relación a los menores. En la actualidad es posible configurar una cuenta como privada y ha desarrollado el modo de seguridad familiar, mediante el cual los padres, madre o tutores pueden establecer un control de la actividad de la cuenta del menor. Igualmente cuenta con un sistema de gestión del tiempo de uso de la aplicación y un modo restringido que limita la aparición de contenidos que puedan resultar inadecuados para los menores.
Por ello, es importante que los usuarios lean de forma minuciosa y comprendan todos los tratamientos de sus datos personales que se realizan en las redes sociales antes de aceptarlos al igual que las empresas deben ser transparentes en la información que ofrecen sobre el tratamiento de los datos de sus usuarios, debiendo ser fácilmente accesible, fácil de entender mediante la utilización de un lenguaje sencillo y claro y de forma concisa.
Jorge Carranza
Departamento Legal
Áudea Seguridad de la Información