El “derecho de acceso” permite conocer a los usuarios la identidad de terceras empresas que han recibido nuestros datos personales, a quienes podremos dirigirnos para que en su caso cancelen nuestros datos.
El escándalo de Cambridge Analytica ha destapado la recopilación de datos que realizan las redes sociales, detalles que se desconocían del uso que se les daba y la cesión que hacen de ellos a terceros. En el caso de Facebook, recolectando información muy detallada en sus perfiles y el uso que hacen de la misma, por ejemplo, vendiendo esos datos a terceros o permitiéndoles acceder a ellos para que puedan ser usados con fines comerciales, publicitarios o generadores de opinión, dirigiendo anuncios, información o contenidos a personas a quienes probablemente les interese lo que se ofrece o, lo que es peor, para interferir sobre su opinión.
Mark Zuckerber, fundador de Facebook, fue rotundo con una sola frase: “la era de la privacidad ha muerto”. No obstante, aun teniendo en cuenta que toda esta cesión de datos se ha hecho de manera consentida por todas las personas que usan la red social, existen mecanismos de defensa jurídica que podremos utilizar, aunque no se presenta como tarea fácil. ¿Hasta dónde pueden llegar los datos personales? Hasta el infinito.
Aunque pareciese sencillo pensar que, una vez eliminada nuestra cuenta de Facebook el problema ya se habría resuelto, la realidad nos indica que es justo lo contrario, puesto que el consentimiento que dimos al abrir nuestro perfil permitió a Facebook ceder nuestros datos a otros muchos terceros a los que nos tendremos que dirigir para que, a su vez, también procedan a cancelarlos.
Con la normativa actual en la mano, Legálitas considera que un afectado puede pedir a Facebook que le informe sobre a quién se han cedido sus datos personales; esto se llama derecho de acceso, y obliga al responsable del fichero (Facebook, en este caso) a que informe, entre otros extremos, sobre quiénes han sido los destinatarios de los datos personales (arts. 5.1.a y 15 de la LOPD; y 13.1.e y 15.1.c del nuevo Reglamento comunitario sobre protección de datos personales –Reglamento (UE) 2016/679 o RGPD–).
Si Facebook no contesta o contesta de forma inadecuada, puede solicitarse la tutela de la Agencia Española de Protección de Datos, que instará, bajo pena de multa económica, a que se atiendan de forma correcta los derechos de los afectados. Por otro lado, si un usuario de Facebook pide darse de baja, no solo Facebook estaría obligado a la cancelación del registro, sino también todos aquellos cesionarios de los datos personales del usuario afectado (art. 16.4 LOPD y 17.2 RGPD).
Cuestión distinta, consideramos en Legálitas, es la aplicabilidad de estas medidas: piénsese que Facebook tiene su sede en Estados Unidos, muy lejos del ámbito de actuación territorial de las autoridades españolas o de otros países de la Unión Europea.
¿Realmente usaron datos personales?
En el caso que ha suscitado esta última polémica, la cuestión surge por la orientación de mensajes, publicidad o contenidos digitales que llegan a los usuarios de Facebook (adviértase que en Bélgica ya se han resuelto procedimientos contra Facebook por tratamiento de datos de no usuarios) orientados a que se posicione a favor o en contra de una determinada ideología, a partir de la actividad del usuario en la red social: contenidos que promueve ese usuario, likes, nivel económico, zona geográfica, información laboral, imágenes, opiniones, etc.
Si esa información está desligada de información que permita identificarle, en realidad, desde Legálitas consideran que no estaríamos ante un tratamiento de datos personales propiamente dicho (no al menos por Cambridge Analytica, sí por parte de Facebook).
Es de entender que Cambridge Analytica sí ha accedido a información que puede ser considerada como dato personal, lo que precisamente habría generado la alarma social de la noticia. Además, parece que el usuario no estaba informado de esa específica finalidad, lo cual no tendría cabida a la luz del nuevo Reglamento Europeo de Protección de Datos (RGPD), ni por la forma ni por el contenido.
¿Qué datos personales recopila Facebook?
Al crearte una cuenta en la red social rellenamos datos básicos para realizar el perfil como el nombre completo, fecha de nacimiento, sexo, email y teléfono móvil. Para completar la cuenta se pueden seguir añadiendo datos como la foto de perfil, el lugar de residencia y de nacimiento, las creencias religiosas, la ideología política, idiomas, el interés por hombres o mujeres, los trabajos pasados y actuales, dónde se realizaron los estudios, aptitudes y habilidades profesionales, situación sentimental y los propios amigos que tenemos en Facebook.
Además, se puede crear una red con otros perfiles de familiares para obtener un tejido social cercano, comunicar cambios importantes en la vida de una persona, o lo más básico, subir miles de fotos, todas ellas con información adicional (personas que aparecen, dónde y cuándo se tomó la imagen, etc.) que se pueden agrupar en álbumes.
Por otro lado, la red social hace un seguimiento de toda la actividad que tiene un perfil dentro y fuera de su plataforma: direcciones IPs, posición geográfica y toda la actividad realizada (likes, comentarios, fotos que te han etiquetado, contenido más publicado, etc.).
Facebook permite a las aplicaciones y servicios de terceros usar tu perfil previa autorización (por ejemplo, un juego que te pide hacer login con la red social para guardar tu sesión), pero en muchas ocasiones sin informar con suficientes detalles de a qué datos se va a acceder o con qué específica finalidad; desde luego, no con la de crear un determinado estado de opinión, que es lo que ha significado el último escándalo conocido.
¿Cómo eliminar mi cuenta de Facebook?
Si quieres dejar de tener un perfil en la red social hay dos opciones: desactivar (cierre por un tiempo) o eliminar definitivamente tu perfil. Si la opción que has elegido es la segunda, lo primero que debes hacer es descargar una copia de toda la información que has ido almacenando en la plataforma desde que entraste en ella. Después, habrá que acceder a una pestaña de dentro de la red social y pulsar a “eliminar mi cuenta”, hay que leerse todas las condiciones que conlleva esta eliminación.
La compañía avisa de que puede tardar 90 días en eliminar toda la información que tiene sobre el perfil borrado, siendo muy importante el no acceso a Facebook durante ese tiempo porque si no la red lo interpreta como un arrepentimiento y dejaría el proceso de eliminación. Después de esos días, solo quedará algún dato como mensaje que enviaste a amigos, ya que estos no pueden ser eliminados.