Los datos públicos o privados deben estar protegidos, dicen las autoridades europeas. Facebook, Clubhouse y LinkedIn aseveran que las filtraciones de datos recientes involucraron información de perfiles de usuarios públicos, no de violaciones de seguridad. En la Unión Europea, donde las leyes de privacidad exigen que las empresas protejan incluso los datos personales disponibles públicamente, es posible que esa distinción no los exima de responsabilidad.
El comisionado de protección de datos irlandés abrió una investigación sobre la filtración de datos de Facebook, por la que se publicó online información sobre 533 millones de usuarios. La autoridad italiana de privacidad ha iniciado una investigación de una filtración de LinkedIn, en la que se pusieron a la venta datos sobre miembros de la red social profesional. La información sobre 1,3 millones de usuarios de Clubhouse se desveló online y, según informes de las autoridades alemanas, “el regulador de protección de datos alemán con sede en Hamburgo envió preguntas a Clubhouse en febrero pasado, pidiendo detalles sobre cómo protege los datos de sus usuarios".
Es decir: las fugas de datos en las redes sociales atraen el escrutinio de los reguladores europeos y las leyes de privacidad europeas exigen que las empresas protejan incluso los datos personales disponibles públicamente.
En su respuesta, Facebook Inc., Clubhouse y LinkedIn de Microsoft Corp. han enfatizado que las filtraciones de datos reportadas recientemente, involucraron información de perfiles de usuarios públicos, no de violaciones de seguridad. Pero (un gran…, PERO), en la Unión Europea, donde las leyes de privacidad requieren que las empresas protejan, incluso los datos personales disponibles públicamente, es posible que esa distinción no les exima de responsabilidad jurídica.
Facebook, se defiende, diciendo que la filtración de 533 millones de datos de usuarios no fue un truco, afirmando que hackers extrajeron la información de los perfiles, antes de septiembre de 2019, y cuando la compañía arregló una función para evitar tal tipo de robo, después de descubrir el incidente. Sieeeeeeeempre después del delito, Facebook…
LinkedIn y Clubhouse hicieron comentarios similares. Al revelar que había investigado un informe sobre que los datos de usuarios se habían publicado online para su venta, LinkedIn dijo que el incidente involucró datos de perfil visibles públicamente y "no fue una violación de datos de LinkedIn". Por su parte, Clubhouse respondió en Twitter a un informe de que los datos del usuario se habían publicado online, diciendo que no había habido una infracción y que solo se había publicado información de perfil público.
Las autoridades de los países europeos investigan a las redes sociales
El comisionado de protección de datos irlandés abrió una investigación sobre la filtración de datos de Facebook, citando posibles infracciones de una o más disposiciones en el Regulador General de Protección de Datos -más conocida como GDPR- de 2018, de la Unión Europea. La autoridad italiana de privacidad inició una investigación de la filtración de LinkedIn este mes y advirtió que los datos personales extraídos de los perfiles de los usuarios podrían usarse para fraude online o robo de identidad.
El hecho de que los datos públicos estuvieran disponibles en perfiles públicos no aísla a las empresas de las normas europeas de protección de datos. Los reguladores europeos se centrarán en cómo las empresas manejan los datos. No se trata simplemente de si es público o privado. Se trata de si existen salvaguardias en torno al procesamiento y uso [de los datos], según queda claro en la Ley de Protección de Datos europea de 2018 o GDPR.
Cuando se le preguntó sobre la investigación del regulador irlandés, Facebook dijo que la compañía está en contacto con el regulador y está trabajando para que se eliminen los datos del foro online donde los "actores maliciosos" los publicaron.
El robo de datos ocurrió sin pasar por alto la configuración de privacidad o las medidas de seguridad de Facebook, dijo. LinkedIn se refirió a una declaración emitida por la compañía que señala que tal robo de datos viola sus términos de servicio. Clubhouse no respondió a una solicitud de comentarios sobre informes recientes de los medios de comunicación de que se publicaron online datos de 1.3 millones de usuarios.
En Francia, las autoridades de privacidad están evaluando si el GDPR se aplica a la plataforma de redes sociales (solo audio) Clubhouse, a pesar de que no tiene una oficina en la UE, y dijeron que tomarían más medidas si concluyen que sí aplica. El regulador de protección de datos en Hamburgo, Alemania, dijo que envió un cuestionario a Clubhouse en febrero pidiendo detalles sobre cómo protege los datos de los usuarios y, según su familia, el regulador tiene barba de dos meses, porque aún sigue esperando la respuesta de la red social.
Según el RGPD (GDPR), “incluso si se puede acceder a los datos personales en un perfil de redes sociales, una empresa o persona (de las redes sociales) debe obtener el permiso de las personas para extraer sus datos. Necesita justificación para cualquier procesamiento, ya sea información disponible públicamente u otras fuentes de datos”. Es la ley.
El GDPR requiere que las empresas implementen medidas de seguridad que protejan los datos personales y creen salvaguardas que eviten la exposición de los datos. Los reguladores europeos tienen el poder de multar a las empresas que violen las reglas, hasta el 4% de los ingresos globales o 20 millones de euros (23,9 millones de dólares): lo que sea mayor. También podrían ordenar a las empresas/RRSS que cambien la forma en que recopilan y procesan los datos, si descubren que sus prácticas infringen la ley.
En el caso de Facebook, algunos expertos en privacidad dicen que no está claro si los usuarios sabían que se podían buscar datos como sus números de teléfono y vincularlos a sus cuentas. Inti De Ceukelaire, un investigador de ciberseguridad con sede en Bélgica, concluyó que las declaraciones de la compañía "sobre que los datos afectados ya eran públicos, llevaban a confusión, porque algunos usuarios optaron por hacer que sus números de teléfono fueran privados al compartirlos con Facebook". Y es un libro de Roger McNamee, uno de los primeros mentores de Mark Zuckerberg e inversor en Facebook, el que critica a la red social por actuar primero y pedir perdón después, sin resolver el problema.
Algunos de esos números de teléfono todavía se podían buscar a través de una función de importación de contactos de Facebook. Facebook dijo en una publicación de su blog del 6 de abril (2021), que “actualizó la función en 2019, para evitar que las personas usen software que podría cargar grandes conjuntos de números de teléfono”. Zucked significa, en el argot de las redes sociales… To be banned from Facebook for posting controversial or offensive things.
La conclusión del regulador europeo es que “el mensaje transmitido por Facebook y otras empresas de medios sociales es que los usuarios de las redes sociales no deben esperar que los datos de sus perfiles públicos se gestionen con cuidado". Llegarán a la conclusión de que "la única privacidad que tienes es si te guardas [tus datos] para ti".
Jorge Díaz Cardiel, Socio Director de Advice Strategic Consultants. Autor de “Digitalización y Éxito Empresarial”, “Digitalización, productividad y competividad: empresas más exitosas gracias a la transformación digital”, “Inteligencia Artificial, Internet de las Cosas, Big Data y Éxito Empresarial.