¿Lo que ocurre en Facebook se queda en Facebook?
Las redes sociales, con Facebook a la cabeza, han revolucionado la forma de entender y usar Internet, generando así nuevas incógnitas algunas de las cuales tienen una difícil solución (en particular aquellas relacionadas con la privacidad y la protección de datos).
A través de este artículo plantearemos algunas de estas incógnitas a las que intentaremos dar respuesta, mientras la Agencia Española de Protección de Datos nos brinda sus propias recomendaciones:
Supuesto de hecho nº 1: El Muro
Una Empresa (X) crea un usuario de Facebook, abriendo la posibilidad de que los usuarios de Facebook manifiesten sus gustos, pongan sus comentarios, fotos, vídeos… y puedan recibir novedades de X a modo de alertas o mensajes dentro de la propia red.
¿Se convierte X en “Responsable del Fichero”?
Una empresa se convierte en Responsable de un Fichero cuando decide la finalidad, contenido y uso de un fichero que contiene datos de carácter personal. Aunque X puede decidir sobre la finalidad y uso que va a hacer de los datos de los usuarios de Facebook, lo cierto es que no tiene capacidad de decisión sobre el contenido del fichero, puesto que está sujeto a las limitaciones impuestas por Facebook en su propia red.
Tampoco parece claro que el muro de X pueda considerarse como un conjunto organizado de datos personales que permite el acceso a los datos con arreglo a criterios determinados (que es la definición de “Fichero” que ofrece la normativa)
Por lo tanto, y sin perjuicio de que la AEPD opine de forma distinta en un futuro cercano, X no será responsable de los datos contenidos en Facebook mientras no extraiga de la red social los datos personales de los usuarios de la misma.
Supuesto de hecho nº 2: Facebook Connect
La trama se complica. En este caso, Facebook y X quieren que los datos de sus respectivos ficheros sean mostrados en sus propios servicios online; es decir, si el usuario tiene un perfil en Facebook, su nombre y su foto aparecen en algún servicio online propio de X (juegos, aplicaciones)… y la actividad del usuario de X se publica automáticamente (y siempre que el usuario lo permita) en su muro de Facebook.
¿Se trata de una cesión de datos mutua?
Ciertamente, los datos del usuario en Facebook aparecen publicados en el servicio de X, y viceversa; sin embargo, X no puede almacenar ni usar estos datos, más allá del uso que les da el propio usuario. Podríamos decir que Facebook y la X ponen al alcance del usuario 2 herramientas distintas, que el usuario decide interconectar entre sí.
En cualquier caso, el procedimiento de Connect es bastante claro para el usuario, de forma que es quien decide y consiente interconectar ambas plataformas.
Supuesto de hecho nº 3: Facebook Apps
El más difícil todavía. En este caso, X desarrolla una aplicación bajo los estándares de programación de Facebook. Por debajo de esta aplicación puede correr una base de datos externa gestionada por X.
Es, quizá, el supuesto más dudoso, dado que la propia Política de Privacidad de Facebook establece que Facebook no es responsable de dicha aplicación.
Sin embargo, la base de datos externa de X sólo recibe un código asignado por Facebook, y sólo vinculable a un usuario a través de la red social; es decir, con dicho código, X no podría identificar a los afectados más que a través de su página en Facebook, y volveríamos al supuesto de hecho nº 1: Los datos identificativos sólo serán responsabilidad de X en el momento en que los extraiga de la red social y los utilice para sus propios fines.
En conclusión, y mientras la AEPD no diga lo contrario, lo que ocurre en Facebook, se queda en Facebook, y las empresas que “operan” a través de la red social serán meros usuarios de la misma hasta que decidan crear un fichero propio y usarlo con sus propios fines.
Pero… ¿qué sucedería si la Agencia entendiese que X es responsable de los datos que hay en Facebook?
Facebook, se convertiría en un prestador de servicios de alojamiento, ubicado fuera del Espacio Económico Europeo y no adherido al Acuerdo de Puerto Seguro, lo que implica una transferencia internacional de datos que debe ser notificada a la AEPD, y autorizada por su Director, previa aportación de contrato firmado con Facebook con arreglo a las cláusulas tipo de la Decisión 2010/87/UE, de 5 de febrero de 2010. Esperemos que Artemi se apiade de nosotros.
José Carlos Moratilla
Consultor Legal
Áudea Seguridad de la Infomación.