Privacidad en Redes Sociales (TERCERA PARTE)

Presentamos la tercera y última entrega de ésta serie de artículos relacionados con la privacidad en redes sociales. En ésta ocasión comentaremos el impacto de las redes sociales en México según la Asociación Mexicana de Internet (AMIPCI), comentaremos las políticas de uso de Facebook y haremos algunas reflexiones como conclusión de todo lo comentado.

–          Estudio AMIPCI en materia de redes sociales.

De conformidad con el 10° Estudio sobre Hábitos de los Usuarios de Internet en México, elaborado por la AMIPCI, ya somos más de 50 millones de usuarios de Internet en nuestro país, en donde el 24% son personas de 13 a 18 años. La puerta principal de entrada de los usuarios a Internet sigue siendo el uso del correo electrónico, pero no perdamos de vista que el tercer lugar lo ocupa el uso de una red social. Por otra parte el uso de redes sociales desbancó éste año a la búsqueda de información en cuanto al uso de Internet.  Los datos más duros: 9 de cada 10 internautas acceden a una red social.

–          Análisis de avisos de privacidad.

A continuación señalamos algunos aspectos importantes en materia de privacidad respecto de las principales redes sociales:

FACEBOOK

En un inicio, Facebook era más cuidadoso en la forma en la que compartía información, sin embargo, está comprobado que con el tiempo, discrimina menos la información que hace pública.

Y es que Facebook hoy por hoy se encuentra bajo una fuerte presión. El 18 de mayo de 2012 Facebook salió a la bolsa. La salida a bolsa de Facebook fue considerada por muchos como un desastre. Ajustes en las previsiones iniciales de la compañía, problemas a la hora de comprar acciones, incidencias con los bancos encargados de colocar sus acciones, etc. Las acciones de Facebook cayeron en bolsa en las primeras semanas y tardaron meses en recuperarse.

Hace unos años se sabía que Google ganaba alrededor de 7 dólares anuales por usuario, mientras que Facebook ganaba alrededor de 3. En el momento en que FB sale a la bolsa, la presión de los accionistas para generar mayores ganancias pesó en los hombros de sus creadores.

La diferencia entre estas plataformas es que a Google le damos datos tales como preferencias, navegación y alguna otra información relacionada. Sin embargo, a FB le decimos quienes somos, generalmente donde vivimos, con quién estamos casados, nombres de nuestros hijos y fotografías de todos ellos. Quienes son mis amigos y una serie de información de la que se pueden derivar cualquier cantidad de datos de cada uno de nosotros. Definitivamente una mina de oro para las empresas de mercadotecnia.

Sigue sobre la mesa el proyecto de que FB pague a sus usuarios una cantidad de dinero por autorizar la transferencia de sus datos a empresas dedicadas al marketing dirigido, el cual es un tema de mucha discusión.

Políticas de Facebook:

1. Al revisar el Aviso de privacidad lo primero que salta a la vista es que está redactado por españoles, lo que hace suponer que se elaboró con base en la Ley de Protección de Datos Personales de aquel país y no en la mexicana. Tan es así que la política contemple el cumplimiento de las políticas Safe Harbour creadas por la Federal Trade Comission, en relación con los datos compartidos con la Unión Europea.

2. De entrada, las políticas de Facebook dan el mismo tratamiento a cualquier tipo de dato personal que se agregue a la plataforma en forma ya sea por ti o por terceros, misma que por default es pública.

En materia de datos personales en México, la ley establece claramente que dichos datos serán todos aquellos que afecten la esfera más íntima de su titular, den lugar a discriminación o puedan causar un riesgo grave. En lo particular, mis datos de salud, mi origen racial o étnico, mi afiliación sindical o religiosa o mis preferencias sexuales no son datos de carácter sensibles, me interesa más que la gente no sepa el lugar en donde vivo, dato que Facebook tiene al hacer uso de sistemas GPS, plug-ins y cookies, los cuales podrían causar un daño que afecta mi esfera más íntima.

3. Refiere la política que cuando se hace uso del término “información pública”, se refiere a la información que el usuario decide hacer pública, así como la información que está siempre disponible públicamente.

Entiendo la dualidad de la responsabilidad en el subir información que no quiera que sea pública, sin embargo, el hecho de que el tratamiento por default sea pública, es decir, hacer uso de un sistema de opt-out al tratarse de una gran cantidad de datos que en su conjunto sin duda deben ser considerados sensibles, coloca al titular de los datos en una gran desventaja, por el interés comercial de la plataforma. Por eso los Lineamientos del Aviso de Privacidad del 17 de enero de 2013, exige que el Responsable informe al Titular sobre el mecanismo implementado para que éste último manifieste su negativa para el tratamiento de sus datos personales en relación a las finalidades que no nos necesarias para la relación jurídica entre el responsable y el titular (Art. 24 Fc. V y 25). La buena práctica en éste sentido es implementar la inclusión de casillas u opciones de marcado en el propio aviso de privacidad que den la oportunidad de optar por el tratamiento (Opt-in) antes de hacer uso de la plataforma.

Lo anterior lo exige tanto el artículo 24 del Reglamento y 10 de los Lineamientos del Aviso de Privacidad, el cual establece que no se deberá incluir textos o formatos que induzcan al titular a elegir una opción en específico y que, en el caso de casillas para que el titular otorgue su consentimiento, no se deberán marcar previamente.

No sé si alguno de ustedes ha abierto una cuenta de FB recientemente, pero cuando yo abrí la mía, de ninguna manera se me dio la opción de hacerlo. Lo cierto es que si he recibido notificaciones por parte de FB en el cual se me invita a hacerlo. Yo en lo particular si me he tomado el tiempo de restringir mi información, sin embargo, el sistema todavía es poco amigable y en muchas ocasiones los cambios no se aplican inmediatamente o simplemente no se aplican.

4. Muchas de las notas explicativas de funcionalidades adicionales (Apis) de Facebook aún se encuentran en inglés.

Ésta situación claramente vulnera la regulación mexicana en la materia, toda vez que la misma exige que el aviso de privacidad sea redactado en español. (Art. 24 del Reglamento y 10 de los Lineamientos del Aviso de Privacidad).

5. En materia de tratamiento, la política establece que harán uso de la información para presar los servicios que ofrecen al usuario principal, otros usuarios, sus socios, anunciantes, desarrolladores de juegos, aplicaciones y sitios web. Asimismo, para proteger los derechos de Facebook y otros, para comprender la eficacia de anuncios.

En éste punto la política no es clara al señalar “y otros”, lo cual vulnera el artículo 24 del Reglamento de la LFPDPPP y 10 de los Lineamientos del Aviso de Privacidad, el cual señala que el aviso de privacidad no debe usar frases inexactas, ambiguas o vagas.

Por otra parte, la posibilidad de transferencias para efectos de prospección comercial queda muy abierta, sin que se señale ni se agrupe a las empresas de éste sector. Al respecto es sabido que las redes sociales comparten una gran cantidad de información con empresas de éste ramo.

6. En materia de transferencias la política establece que únicamente compartirá información, previa autorización,  cuando se haya advertido en la política o los datos sean disociados.

Ésta disposición también viola la ley, ya que en caso de llevar a cabo transferencias no anunciadas en el aviso de privacidad, se deberá informar previamente a los titulares de los datos personales, y la política en éste caso no establece el mecanismo en que se llevará a cabo dicha notificación.

7. En materia de eliminación de la información, se establece que la información será conservada, a menos que se elimine la cuenta.

Es sabido que FB hace borrados lógicos de la información y no físicos. Tal es el caso de la reciente sanción que la Comisión Europea impuso a FB por llevar a cabo el borrado lógico de un titular que eliminó su cuenta y al reabrirla, toda la información volvió a aparecer.

Conclusiones.

Cualquier cosa que es digitalizada, hoy por hoy, no es privada.

1. En materia de Datos Personales y redes sociales, debe prevalecer el opt-in y no el opt-out, ya que los usuarios rara vez revisan las políticas de privacidad de éstos portales.
2. Se deben establecer mecanismos para que los usuarios conozcan el aviso de privacidad en forma distinta a la lectura de un documento extenso y complicado.
3. En México la situación del IFAI se debe aclarar pronto para garantizar la seguridad jurídica de todos los involucrados en el tratamiento de datos (La PROFECO por su parte, cuenta con alrededor de 350 verificadores, 100 de los cuales están destinados a la verificación de gaseras y gasolineras, las cuales deben ser verificadas dos veces al año. Hace 5 años, habían alrededor de 8,100 gasolineras en México. Por lo que la PROFECO cuenta con 250 verificadores para hacerse cargo de todos los temas relacionados con su Ley. Sería materialmente imposible hacerlos especialistas en temas de protección de datos personales).
4. La Secretaría de Protección de Datos del IFAI cuenta con alrededor de 100 empleados, de los cuales 30 ó 40 son verificadores. Son 5 millones de unidades económicas las que tienen que cumplir con la ley. Hoy el IFAI está trabajando en un estudio para determinar si puede con el tema de protección de datos personales. Dicho estudio se debe dar no desde el punto de vista jurídico, sino administrativo y organizacional. Desafortunadamente hoy están más preocupados por sacar adelante los temas de transparencia y protección de datos en manos de entidades públicas (Ley Nacional de Transparencia). Su dicho es que buscan darle la misma importancia a los datos personales en posesión del gobierno, a aquellos en posesión de los privados.
5. La mejor opción sería crear la agencia mexicana de protección de datos personales (Se discute si es económicamente viable. Lo cierto es que el IFAI ha impuesto alrededor de 22 multas por un monto de $66’661,005 y hoy los nuevos comisionados tienen 150 asuntos sin resolver, más los que se acumulan día a día en que le dan más importancia al tema de transparencia).
6. Las redes sociales hoy son una herramienta muy útil para la verificación de la identidad de usuarios en diferentes aplicaciones y plataformas, lo que las hace una herramienta eficiente en la comprobación de usuarios en la red, lo cual implica una ventaja.
7. No somos partidario de la sobre regulación en Internet, sin embargo, estamos de acuerdo en exigir probados sistemas de seguridad de información a éstas plataformas.
8. Debemos de entender también que existe una doble responsabilidad en el tema, toda vez que si no queremos que nuestra información pueda ser mal utilizada, simplemente no la subamos a Internet.
9. Los usuarios confiamos de buena fe y ciegamente en las redes sociales y por eso les damos nuestros datos, sin embargo ¿Realmente son empresas que honran la protección de los datos personales de sus usuarios?