Nuevo litigio entre Schrems y Facebook

Nuevo litigio entre Schrems y Facebook

Facebook se enfrenta a un nuevo litigio contra el abogado Max Schrems tras un conjunto de preguntas remitidas por parte del Tribunal Supremo de Austria al TJUE. 

 

El abogado y activista austriaco Max Schrems protagoniza de nuevo los titulares tras aceptar el Tribunal Supremo de Austria su solicitud para remitir ciertas cuestiones clave sobre Facebook al TJUE. En este caso, la acusación central de Schrems se construye sobre el argumento de que Facebook viola los derechos de los usuarios bajo el RGPD en relación al consentimiento, y el hecho de que la empresa emplea el consentimiento como un contrato que les permite reproducir publicidad dirigida. Según algunos informes recientes, esta larga batalla entre Facebook y Max Schrems cuestiona las bases legales de Facebook para tratar los datos de sus usuarios europeos. 

Facebook ha estado tratando datos de sus usuarios bajo el RGPD sobre la base de contrato en lugar de consentimiento.  

 

Desde que el RGPD comenzó a aplicarse en 2018, Facebook ha mantenido la postura de que sus usuarios están sujetos a un contrato para recibir publicidad personalizada, en lugar de recabar consentimiento para tratar los datos con dicha finalidad. El RGPD establece los requisitos necesarios para un consentimiento válido, y este movimiento de Facebook se percibió como un intento de operar de manera paralela a estas normas y evitar la necesidad de obtener el consentimiento libre e informado de sus usuarios.  

 

Max Schrems afirmó que “Facebook ha intentado despojar a sus usuarios de muchos derechos que el RGPD les garantiza simplemente ‘reinterpretando’ el consentimiento como un contrato civil”. 

 

También se acusó a Facebook de no adherirse al principio de minimización de datos del RGPD. 

 

Se acusó a Facebook de recoger más datos de los necesarios, especialmente mediante el botón “Like”, presente en diversas páginas web, entre ellas Facebook.com. En consecuencia, se remitieron al TJUE cuestiones de esta naturaleza así como otras relacionadas al tratamiento de datos de categoría sensible por parte de Facebook (por ejemplo, afiliación política u orientación sexual) con finalidades de publicidad dirigida. Schrems considera que estas preguntas son cruciales: “Podría quedar prohibido para Facebook emplear los datos con finalidades de publicidad, incluso cuando cuenta con consentimiento válido. De la misma manera, podría tener que filtrar datos de categoría sensible como opiniones políticas o la orientación sexual“.

 

Max Schrems recibió 500 € como compensación por los daños derivados de las técnicas de obstrucción que Facebook empleó contra él.  

 

Facebook fue acusado de crear una “caza de los huevos de Pascua” cuando Max Schrems le solicitó acceso completo a sus datos. Conforme al Tribunal, Max Schrems no recibió sus datos primarios y tampoco información muy básica sobre el tratamiento, como la base legal sobre la que se tratan sus datos. Como resultado, se le ofreció una compensación simbólica de 500€ por los daños causados por las técnicas de obstrucción de información de Facebook. Ahora se han remitido varias cuestiones esenciales al TJUE por parte del Tribunal Superior de Justicia de Austria, en relación al presunto no cumplimiento del gigante tecnológico con el RGPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

cesión de datos entre Facebook y WhatsApp

El CEPD determina que se requiere más investigación sobre la cesión de datos entre Facebook y WhatsApp

La autoridad de control de Irlanda deberá realizar una investigación adicional antes de tomar la decisión final sobre el tratamiento de datos de usuarios de WhatsApp por parte de Facebook. 

 

El CEPD ha adoptado una decisión vinculante urgente conforme al artículo 66 del RGPD, por la cual solicita a la autoridad de control de Irlanda que lleve a cabo una investigación en lugar de tomar medidas finales, tras un reciente cambio en los Términos del Servicio y la Política de Privacidad de WhatsApp. La autoridad de control ha iniciado una serie de medidas provisionales frente a Facebook Irlanda y ha ordenado que la compañía deje de tratar datos de WhatsApp para finalidades propias. Sin embargo, el CEPD considera que se precisa una mayor investigación para arrojar claridad sobre las actividades de tratamiento en cuestión. 

 

El CEPD concluye que la situación no requiere medidas finales debido a que no se han cumplido las condiciones para demostrar la existencia de infracción o urgencia. 

 

Tras examinar las pruebas presentadas, el CEPD estableció que por ahora no es necesario que la autoridad de control defina medidas finales. Uno de los motivos que alega el CEPD es que existe una alta probabilidad de que los datos de los usuarios de WhatsApp ya estén siendo tratados por Facebook Irlanda sobre la base de corresponsabilidad, con la finalidad de integridad y seguridad de todas las compañías de Facebook, incluido Whatsapp. Sin embargo, el CEPD no es capaz de determinar con certeza qué operaciones están efectivamente teniendo lugar y de qué manera se desarrollan. Esta situación se deriva de ciertas ambigüedades en la información que WhatsApp ofrece a sus usuarios. En consecuencia, se requieren investigaciones adicionales sobre dichas condiciones antes de poder alcanzar decisiones finales, sobre todo dada la ausencia de indicaciones de infracciones evidentes o la necesidad de urgencia en esta materia. 

 

El CEPD indica que la autoridad de control de Irlanda deberá llevar a cabo una mayor investigación para determinar si Facebook Irlanda actúa como encargado o corresponsable con WhatsApp Irlanda.  

 

A pesar de que es probable que Facebook esté operando como corresponsable del tratamiento en relación a los datos de los usuarios de WhatsApp, el CEPD considera que esto aún debe clarificarse, y con dicho propósito insta a la autoridad de control de Irlanda a investigar en mayor detalle si se trata realmente de corresponsabilidad o de una relación responsable y encargado. La información con la que se cuenta actualmente es insuficiente para elaborar un juicio al respecto, pues no especifica cómo se tratan los datos entre las varias empresas de Facebook con finalidades de marketing. También se deberá arrojar luz sobre si existe una base legítima para dichas actividades bajo el RGPD.  

 

La decisión vinculante oficial se publicará en la página web del CEPD una vez que se haya evaluado esta situación de forma completa, para asegurar que se edita la información confidencial. Sin embargo, todas las autoridades de control involucradas y también Facebook Irlanda y WhatsApp Irlanda han sido ya informadas de la decisión del CEPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte . Infórmate aquí.

La filtración de datos

La filtración de datos de Facebook afecta a más de 500 millones de usuarios en todo el mundo

La filtración de datos de Facebook compromete información de más de 500 millones de usuarios y la hace pública sin ningún coste de acceso.

 

Facebook se ha visto recientemente implicado en una filtración masiva de datos que ha afectado a más de 500 millones de usuarios, como informaba Business Insider a principios de este mes. La información filtrada se obtuvo durante una brecha de seguridad que tuvo lugar hace dos años. Sin embargo, es ahora cuando alguien ha publicado todos estos datos en un foro de hackers del mercado negro online, sin coste ninguno. Se cree que esta información estaba anteriormente a la venta, pero que se ofrece ahora gratuitamente dado que habría perdido valor. Los datos se consiguieron a raíz de un fallo anterior a 2009, y afecta aproximadamente a 533 millones de usuarios de más de 100 países.  

 

Los datos personales filtrados no incluyen información de acceso a las cuentas, pero sí serían suficientes para resultar en suplantación o fraude. 

 

Entre los datos personales filtrados se incluyen las siguientes categorías: nombres completos, credenciales de identificación, localización, fechas de nacimiento, direcciones de email y número de teléfono. Ningún tipo de información financiera o de salud se ha visto afectada. Asimismo, se afirma que los datos de acceso no forman parte de la fuga, sin embargo, estos podrían potencialmente extraerse si se emplea como base la información que sí ha quedado a disposición del público. Los expertos de seguridad indican que esta situación podría dar lugar a suplantación de identidad y fraude. El Director de Gestión de Product de Facebook, Mike Clark, manifiesta que esta información no se obtuvo como resultado de un hackeo, sino mediante técnicas de scraping en la plataforma, similar a lo que le ocurrió a Facebook en 2016 con el escándalo de Cambridge Analytica.

 

La filtración de datos de Facebook publica en un foro información que se encontraba a la venta en enero. 

 

Estos datos ya se encontraban disponibles en enero, en un foro en el que un sujeto o una empresa anunciaban un bot automático que podía proporcionar ciertos datos de usuario de Facebook. En aquel momento se confirmó que los datos eran legítimos. Sin embargo, desde entonces ahora estos datos han sido publicados en un foro y puestos a disposición del público general sin coste ninguno. Esta información se descubrió a principios de mes por parte del jefe de tecnología de la firma de inteligencia de ciberdelitos Hudson Rock. 

Facebook informa de que la vulnerabilidad que dio lugar a las prácticas de scraping ya ha sido solucionada, y que la empresa no tiene intención de notificar a los sujetos afectados por la filtración. 

 

Facebook asegura que la vulnerabilidad de la plataforma que condujo a la brecha de 2019 ya ha sido solucionada, y en consecuencia no se ha notificado a los 533 millones de usuarios que fueron afectados por la misma, ni se pretende hacerlo. El portavoz de Facebook señaló que no estaban seguros de contar con control absoluto de los usuarios que tenían que ser notificados. También consideraron el hecho de que los usuarios no podrían hacer nada para solucionar este problema, y añade en su defensa que los datos ya eran públicos.  

 

Dr Bostjan Makarovic, Socio Gerente de Aphaia, destaca que: “Es importante comprender que, bajo el RGPD, las brechas de seguridad de tal envergadura deben notificarse a las autoridades de control, y, con una alta probabilidad, también a los sujetos afectados”.

 

¿Tus actividades de tratamiento de datos personales cumplen con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

 

La próxima actualización de iOS

La próxima actualización de iOS podría impactar de manera significativa en la publicidad dirigida de las apps gratuitas

La próxima actualización de iOS ha generado fricciones entre Apple y los gigantes de la publicidad como Facebook, cuyo mayor beneficio proviene de anuncios dirigidos 

 

La próxima actualización de iOS, anunciada por primera vez el pasado verano, forzará a los desarrolladores a solicitar de manera explícita permiso para acceder al identificador único del dispositivo, conocido como IDFA. Se espera que esta actualización se implemente a principios de primavera y se prevé un impacto significativo en la efectividad de la publicidad dirigida de los anuncios en los móviles.  Con el objetivo de personalizar los anuncios en los móviles conforme los gustos de los usuarios, los desarrolladores y otras partes de la industria normalmente acceden al identificador único de los dispositivos. Sin embargo, con el lanzamiento de la nueva aplicación, aparecerá un mensaje que solicitará permiso para conceder acceso a su IDFA. Se estima que alrededor de la mitad de los usuarios no otorgarán su permiso a tales efectos. 

 

La efectividad de la publicidad dirigida se basa en gran medida en el acceso al identificador personal, como el IDFA de los usuarios de Apple 

 

La publicidad dirigida necesita acceso a grandes cantidades de datos para funcionar, a fin de identificar aspectos como quién es más propicio de reaccionar a un determinado mensaje o cómo y cuándo lanzar un mensaje para que resulte en máximo impacto. Por este motive, para que los anuncios dirigidos sean realmente efectivos, el acceso a los datos a través del IDFA de los usuarios Apple es esencial y por tanto esta actualización afectará de manera negativa al sector.  

 

Facebook afirma que estos cambios resultarán en consecuencias directas para pequeñas empresas que dependan de la publicidad dirigida en apps gratuitas como la suya. 

 

Uno de los líderes de la industria cuyo beneficio proviene en gran parte de la publicidad dirigida se ha pronunciado de manera anticipada sobre esta actualización. En una publicación reciente, Facebook ha expresado su desacuerdo con el enfoque de Apple, indicando que Apple no ofrece ningún contexto sobre los beneficios de contar con anuncios dirigidos, y sugiriendo que esta nueva medida de Apple implica que dará lugar a tensiones entre la publicidad personalizada y la privacidad. Facebook señala que no son excluyentes y que ellos pueden ofrecer, y de hecho ofrecen, ambas. 

 

Facebook alerta de que estos cambios impactarán de manera muy significativa los ingresos de pequeñas empresas que emplean anuncios dirigidos en apps gratuitas para llegar a los clientes que de manera más probable se convertirán en futuro beneficio para sus negocios. Así por  tanto, Facebook tiene intención de cumplir con la medida y mostrará el mensaje que solicita consentimiento, pero también mostrará otro donde explicará los beneficios que para los usuarios presenta la publicidad dirigida.  

 

Algunos líderes de la industria están optando por desistir del acceso a cierto tipo de datos, eliminando así la necesidad de recabar consentimiento. 

 

Google también se ha manifestado sobre los cambios y cómo piensa afrontarlos una vez que sean definitivos. La compañía planea cesar en el uso de cualquier dato que caiga dentro de la categoría del marco de Transparencia en el Rastreo de Apps de Apple para las aplicaciones iOS, lo cal les eximiría de tener que mostrar este mensaje. En esencia, Google está renunciado al acceso a cantidades significativas de datos a fin de evitar la necesidad de recoger consentimiento.  

 

¿Cómo afectan a la publicidad dirigida las leyes de protección de datos y la era del consentimiento?

 

El RGPD define consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Así, el RGPD requiere de manera clara que el consentimiento sea inequívoco y otorgado mediante declaración o acción afirmativa. 

 

Las leyes de protección de datos como el RGPD y la CCPA han sido diseñadas para empoderar a los consumidores y ofrecerles un mayor control sobre sus datos personales. El RGPD en particular se construye en torno a un modelo “opt-in” de consentimiento, tal y como se explica en la definición del término, lo que implica que no se puede asumir que el interesado ha otorgado consentimiento simplemente por no oponerse. Los usuarios deben dar su consentimiento de manera clara e inequívoca y las empresas no pueden asumir que un interesado ha consentido un determinado tratamiento de datos a no ser que se le haya solicitado, de manera correcta, resultando en una clara acción afirmativa. Desde la perspectiva de Apple, esta actualización es acorde al RGPD, pues busca un consentimiento inequívoco de los usuarios para compartir un identificador único como lo es su IDFA. Dr Bostjan Makarovic, Socio Gerente de Aphaia, puntualiza que “La filosofía que hay detrás es similar a la del consentimiento de cookies en las páginas web, sólo que en el contexto de las apps iOS”. Sin embargo, no hay duda de que esta actualización afectará al modelo actual de publicidad, y no sólo a empresas como Facebook que generan gran parte de su beneficio mediante la habilidad de mostrar anuncios dirigidos a sus usuarios, sino también empresas mucho más pequeñas que buscan llegar a su audiencia a través de los anuncios dirigidos de la red social.  

 

¿Has implementado todas las medidas necesarias en cumplimiento de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.