La sanción de 1.200.000 € que la Agencia Española de Protección de Datos ha impuesto a Facebook por infracción de la normativa en materia de protección de datos genera un interesantísimo debate sobre diversos aspectos relacionados con la evolución del Derecho y las Nuevas Tenologías.  En el sitio web Confilegal podemos acceder a un análisis de la actividad de Google que, desde su punto de vista, genera la imposición de la sanción: https://confilegal.com

¿Cuál de las actividades señaladas en dicho artículo consideras más grave y cuál es tu opinión sobre la sanción impuesta por esta actividad en concreto?

 

La creciente exigencia de protección de los datos personales y en particular de los datos sensibles es a la base del procedimiento de la AEPD contra Facebook.

Se aborda asi la delgada cuestión de la adquisición y de la retención  de datos de las redes sociales  que, como sabemos, obtienen grandes beneficios  económicos gracias a los datos que recogen y venden a  empresas comerciales.  En relación a dicha cuestión hay que ponerse dos preguntas preliminares: 1) ¿a que condición se pueden recoger/ tratar guardar / utilizar los datos personales? 2)  Puede la legislación española a protección de la privacidad aplicarse hacia empresas que no tienen ni presencia física ni domicilio social en el Pais?
Este ultimo aspecto no es objeto de nuestra  investigación, pero queda claro que el defecto de jurisdicción  podría ser impugnado por la sociedad Facebook ( aunque el legislador esta’ tratando de solucionar definitivamente el problema. Piénsese a los principios establecidos por el anteproyecto sobre la “google tax”).

La primera pregunta, en vez, merece de ser abordada en consideración de las sanciones impuestas a Facebook por la AED.

La agencia ha cuestionado a la sociedad de Zuckerberg tres infraciones especificas de la ley de protección de datos:

• Los usurarios no han sido informados del uso de los datos recabados. Se hace en particular referencia a datos sensibles ( sexo, opiniones políticas, creencias, las convicciones religiosas o filosóficas, la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos. física, datos relativos a la salud, etc)
• En segundo lugar para los usuarios es muy difícil conocer de manera clara y exhaustiva la política de privacidad de Facebook, ya que es genérica, no es detallada y se encuentra en diferentes enlaces. Estas circunstancias determinan que quien se escribe en Facebook no es consciente de la recogida, del almacenamiento, del tratamiento y de la utilización de los datos;
• En tercer lugar en fb se encuentra un sistema de almacenamiento que no elimina los datos recocidos en su totalitad ( aunque un usuario haya borrado su cuenta): se ha comprobado que fb guarda y trata las informaciones para mucho tiempo aunque no sean útiles para las finalidades que ha determinado la recogida. Es esta también una violación del “derecho al olvido”.

Dicho esto en todas las infracciones se encuentra una violación de los principios generales de buena fe, aunque  en el LOPD la primera es tipificada como muy grave, mientras las otras como graves.

Estoy de acuerdo con esta evaluación:  por la ley de protección de los datos los usuarios tienen derecho a ser informados de forma clara acerca del uso y la finalidad de los datos adquiridos. Ademas  el articulo  9 del reglamento UE 2016/679 incluye dichos datos en una categoría especial que determina, como regla general, una prohibición al tratamiento de los mismo.

No obstante el legislador se  preocupa de disciplinar la condiciones que permiten de tratar en forma excepcional también estos datos. En particular gracias al consentimiento del interesado, consentimiento que debe referirse “a los fines especificados” indicados en la solicitud.

El tratamiento pues debe ser finalizado al cumplimiento de obligaciones, al ejercicio de derechos del responsable de tratamiento o del interesado en especificas materias o para proteger intereses vitales del interesado o ser efectuado por una fundación o una asociación sin animo de lucro.

En el caso especifico no se ha demostrado que los datos utilizados por Facebook  permiten de identificar de manera univoca a una persona, sino se sabe que dicha red social con animo de lucro ha conseguido finalidades comerciales con los datos, también a través de la publicidad.

Cuanto antes mencionado es sin duda una violación muy grave de los principios a la base de la legislación a protección de los datos personales ( LOPD): a)  los datos sensibles tienen naturaleza fortalecida; b) el consentimiento adquirido por Facebook es genérico y no es relacionado a finalidades especificas; c) los datos son utilizados para finalidades que quedan prohibidas; d) se utilizan datos sensibles con animo lucrativo.

Pues en conclusión, en virtud de estas consideraciones y de las infracciones explicadas en el articulo, considero proporcionada y apropiada la sanción impuesta a Facebook.

PREGUNTA DE   Susana B Checa Prieto

–  Desde tu punto de vista ¿cuál es la forma idónea de mejorar el tratamiento de datos que realiza Facebook? ¿es una sanción el método ideal?

Sus preguntas abordan un tema de debate muy complicado donde se requiere de analizar si el sistema de protección de datos es adecuado y  no hay una respuesta univoca.  Preliminarmente considero pero que una solución tiene que ser encontrada a nivel comunitario. Para garantizar los usuarios tendría que ser prohibido de forma absoluta y como regla general que – sin consentimiento especifico para finalidades expresas –  la red social fb pueda guardar los datos de los mismos usuarios ( gustos personales que pueden dar beneficios comerciales). Sabemos que hay muchas herramientas jurídicos que permiten de proteger la parte negocial débil (me refiero al consumidor hacia empresa/ profesional o al subcontratista hacia el empresa ) y este mismo método puede tener aplicación también en la red social: ¿no es Facebook un profesional que opera en el mercado gracias a un usuario?

Pues tiene que ser garantizado a nivel normativo un derecho a la información especifico en favor del usurario de la red social  y también un derecho a la indemnización en relación a los  daños.

Diferente  es el problema si la sanción económica es adecuada.

Es sin duda necesaria, pero no suficiente. Creo se podría aplicar también una sanción directa ( también con el cierre de la pagina si fb no quiere respectar el derecho a la información) y sobre todo el método de las astreintes.

Sabemos que las astreintes son sanciones indirectas para que  se aplica el relación al tiempo transcurrido: si Facebook sigue reteniendo y guardando datos que no ha adquirido con un consentimiento especifico se aplicara’ una sanción mayor por cada días de retraso.

PREGUNTA DE Susana B Checa Prieto

Tu opinión sobre la posibilidad de llegar a cerrar estas redes sociales en casos concretos es compartida por parte de la doctrina. Sin embargo, a mí me genera la siguiente duda ¿no se pondrían los propios usuarios en contra de los reguladores en el caso de que la sanción por hacer un mal tratamiento de su información por parte de estas empresas fuera dejarles sin el servicio que están dando? Me gustaría conocer vuestra opinión sobre este tema.

Sé que suena muy mal contestar a una pregunta con otra pregunta, pero me permita de introducir en esta manera mi razonamiento: ¿si, durante un  partido de futbol, el arbitro expulsa un jugador por una falta muy grave, los aficionados consideran responsable el arbitro o el jugador?
La respuesta es depende.

No obstante, si la sanción  es considerada exacta y proporcionada creo que la mayoria de los aficionados entenderán la decisión que ha tomado el arbitro.

En otro comentario he tratado de proporcionar solo una de las posibles soluciones alternativas y, premiso que considero mejor el método de las astreintes, mi idea es que una escala gradual de sanciones sea siempre adecuada.

En un sistema donde los usuarios tienen un especifico derecho a la información, son los primeros a ser informados y se dan cuenta de las importancia de los datos que entregan a Facebook, serán los primeros a pretender seriedad y respecto de la reglas.

Pues la posibilidad – icomo extrema ratio! – de un bloqueo temporal de algunas paginas ( no todas) con la explicación standard en la misma pagina de la regla violada puede ser un medio que los usuarios pueden compartir.

Tambien, en un sistema de este tipo, no creo que Facebook tenga el interés a seguir violando la reglas sobre el tratamiento de datos: 1) el riesgo es de perder centralidad y de ser considerada una red social / empresa no seria y no profesional que no protege los usuarios; 2) con un bloqueo temporal si pierde  parte de las inversiones del mercado publicitario, es decir dinero.

Pues información de los usuarios, reglas exactas y sistema gradual de sanciones pueden ser una respuesta: no hay que olvidar que en sistema de competencia policéntrico hay muchas y diferentes redes sociales con “servicios” iguales/parecidos  y Facebook no quiere ser sustituida por otras plataformas.

Dicho esto, con su observación me hace entender que, con un bloqueo aunque temporal, los usurarios también  serian perjudicados.

Es efectivamente  una circunstancia   indiscutible, pero considero peor  la alternativa de dejar Facebook libre de aprovecharse de los datos personales sin respecto de la normativa sobre la privacidad aplicada a todas las empresas.  En este sentido, como ya dije,  un remedio podría ser reconocer también un derecho a la indemnización  a favor de los usuarios con el mismo sistema utilizado a nivel comunitario por el retraso de vuelos.

Me refiero al reglamento ce n. 261/2004 con el que se reconoce una indemnización  – indicado y calculado en base a la distancia del viaje – a los pasajeros que viajan en Europa si el vuelo tiene un retraso de al menos 3 horas   ( o es cancelado)

Bueno: si un usurario no puede utilizar su pagina para 1 una semana podría conseguir el derecho a X,  si las semanas son 2 dos X + Y, etc etc.

Susana B Checa Prieto Profesor Director: ¿Y qué te parecería el negar a esa empresa incumplidora la posibilidad de tener publicidad en su sitio web? Es algo que se hace en el área de delitos contra la propiedad intelectual siguiendo el principio del “follow de money”. ¿Crees viable que ocurriera en este ámbito también?  La indemnización al usuario desde luego sería consecuencia natural del incumplimiento de cualquier compañía con la que firmaras un contrato a cambio de un servicio pero ¿qué tipo de relación contractual es la que establecen los usuarios que utilizan la red social con Facebook?

La aplicación del principio “follow de money” es sin duda excelente para conseguir  el  respecto de la normativa sobre la protección de los datos personales. Estoy totalmente de acuerdo con el método que Usted ha propuesto, ya que considerado muy eficaz  y se configura como sanción indirecta sobre el modelo de las astreintes ( categoría que de las que ya he escrito en general).

Tengo pero una duda procedimental: ¿puede un Estado intervenir en una transacción negocial entre dos empresa ( fb y la empresa que pide publicidad   ) que tienen su domicilio social en otro Estado ( y también en otro Continente)? ¿A que titulo hay jurisdicción y hasta que se puede delimitar el poder de intervención de un estado?  El problema es que Facebook y el otra parte negocial pueden ignorar también el orden sancionatorio del Estado sin ninguna consecuencia.

Pues  considero que sea siempre necesario establecer una escala gradual de sanciones con naturaleza diferente: a) sanción económica directa; b) bloqueo de la publicidad; c) en caso de inobservancia de esta ultima sanción,  bloqueo temporal en el estado interesado.

Cuanto al tipo de relación entre Facebook y los usuarios quiero considerar aquella calificación que la doctrina europea ha definido “contacto social” con la que, al momento de la inscripción en Facebook, se crea en cada usuario una expectativa  de protección ( también de los datos personales) según los principios generales de buena fe.

La evaluación de los intereses en juego y de la operación económica real llevada a cabo permite reconocer que el acuerdo entre la red social y el usuario propone una regulación mediante la cual el usuario, para acceder a la plataforma, tiene derecho a la privacidad y al control de los datos personales, lo que no permite a la red social “recopilar, utilizar y compartir sus datos” sin consentimiento expreso. Entre el operador del sitio de la red social y el usuario se concluye un verdadero acuerdo de intercambio ya no solo “de hecho” o económico, sino más bien un contrato de intercambio juridico. Esta conclusión nos lleva a dudar seriamente de la afirmación de que la red social no está obligada a proporcionar el servicio, ni debe garantizar el correcto funcionamiento de la plataforma, ya que estos servicios constituyen la consideración de la licencia otorgada por el usuario.

Para comprender esta operación económica, la pregunta central sobre el rol del consentimiento en el momento del registro en la red social se considera como la aceptación de la propuesta del contrato social o como una simple autorización para el procesamiento de datos personales. La primera solución se basa en diferentes motivaciones también a través del análisis de los recientes “Reglamentos sobre datos” de las redes sociales más difundidas y su comparación con el Reg. 679/2016 que mejora otras condiciones de legalidad del tratamiento distintas del consentimiento para permitir la libre circulación de datos en la Unión y su transferencia a terceros países respetando su derecho a la protección.

Un saludo,

Ernesto