Asociación de Internautas

Logo 1

Sobre las cuatro demandas de"consentimiento forzado" contra Google, Instagram, WhatsApp y Facebook

Sobre las cuatro demandas de"consentimiento forzado" contra Google, Instagram, WhatsApp y Facebook


Al día siguiente de la entrada en vigor del RGPD nos enterábamos de que Max Schrems, un joven austriaco, ha denunciado ante la CNIL a Facebook y Google primero, extendiéndolo después a Instagram y Whatsapp, por incumplir la nueva normativa y en especial por obligar a los usuarios a aceptar todos los términos de las políticas de privacidad en un solo bloque, y para diferentes finalidades y diferentes bases legales, a riesgo de no prestarles el servicio.


La lectura de esas cuatro demandas nos dejó una primera duda, y es si se podría exigir algo por el incumplimiento de una norma mientras esta carecía de carácter vinculante. Es decir, si el concepto de “negligencia” se interpretaría de forma amplia (incluso con carácter retroactivo) para aplicarle, a esas horas de incumplimiento, sanciones multimillonarias como las que se exigían. Si el concepto de “proporcionalidad” que reitera el RGPD sirve para algo, lo más probable es que este motivo no prospere tal y como se pretende.

Una segunda duda, es qué implica en realidad el no aceptar los términos y condiciones que Google exige por ejemplo para activar su sistema operativo Android en un dispositivo móvil, bajo riesgo de no poder usarlo. Como es sabido existen otros sistemas operativos: Amazon Fire, Ubuntu Touch, Tizen, Sailfish OS, Windows 10 Mobile, etc., y para los desarrolladores de software (también para Google) un modelo abierto a diversos fabricantes de dispositivos es un factor clave de éxito. Precisamente, Huawei, la marca que se menciona en la demanda contra Google, anunciaba en abril que desarrollando su propio sistema para que puedan usarse sus productos sin Android. Así que serían empresas como Apple o Blackberry las que incurriesen en realidad en esa restricción de mercado que se denuncia.

Se argumenta por otra parte que la posición dominante de los denunciados no permite un consentimiento libre del interesado, y que se ve forzado a aceptar sus condiciones si quiere usar sus productos. En el eterno debate entre software libre y privado, la pregunta que nos surge es la misma, qué diferencia hay por ejemplo con Apple, que no ha sido denunciada. Es más, Android ha tenido éxito precisamente entre los desarrolladores, a diferencia de Apple, por su compatibilidad y opciones de interoperabilidad.

Sobre Facebook se denuncia además, al igual que ocurre en Whatsapp , Instagram , que a través de las cuentas de los usuarios o los perfiles se procesa información de carácter sensible que, en ocasiones, ni siquiera la “entrega” el interesado, y cuyo destino tampoco se aclara en los términos legales de uso y privacidad. O que se está recabando un consentimiento escondido y forzado entre esos términos, pretendiendo supuestos deberes legales como base, con simple fin de “ayudar a descubrir contenido, productos y servicios que pueden interesarle: le mostramos anuncios, ofertas y otro contenido patrocinado para ayudarlo a descubrir contenido, productos y servicios que ofrecen las numerosas empresas y organizaciones que usan Facebook y otros productos de Facebook”, lo que por supuesto sí sería contrario a la norma.

aunque por esto ya fue sancionado por la AEPD española en marzo de 2018, y llevó a una primera modificación fuerte de las políticas de privacidad, en abril de 2018 anunciando por ejemplo que se solicitaba al usuario revisar la información sobre la publicidad y elegir si quiere o no que se utilicen sus datos personales para mostrarle anuncios, especialmente en relación con datos sensibles: "Si has elegido compartir en tu perfil información relacionada con política, religión o relaciones, te pediremos que elijas si quieres seguir compartiéndola".

 

Además, tras la entrada en vigor del RGPD, el 28 de mayo anunciaba medidas adicionales para reforzar el cumplimiento eficiente de las normas, por lo que esta demanda podría perder su objeto, incluso por no poder acreditarse siquiera daño o perjuicio alguno.

La concreta determinación de las bases legales del tratamiento o del hecho excepcionado es, desde luego, condición indispensable para que cualquier ISP hoy cumpla el RGPD, pero en general la queja que más se ha oído es que la única opción para el usuario sea aceptar los nuevos términos y la política de privacidad o eliminar la cuenta. Y debe ser tomada con precaución, pues si no aceptas el tratamiento de datos personales en una red social o servicio de mensajería, es imposible usarlos para nada. Lo que debe ser inflexible, eso sí, es que solo se usen los datos estrictamente necesarios, y poder negarte al resto de tratamientos. Por ejemplo, no me pidas una muestra de ADN para poder instalar Whatsapp o Instagram en mi móvil.

En las denuncias también se señalaba que “el consentimiento solo puede ser un motivo legal para el tratamiento si a los interesados ??se les ofrece una opción genuina y realista para aceptar o rechazar los términos de un servicio, sin que ello les suponga algún perjuicio”. Pero como se ha dicho, eso debe ser entendido en el contexto de “ser necesario” para que el servicio pueda ser prestado (por ejemplo, necesito acceso a tu geolocalización, porque me pides que te ofrezca la ruta más rápida y una lista de restaurantes cerca de ti).

El RGPD mantiene ese tradicional “principio de calidad de los datos”, y que no se exijan más datos de los estrictamente necesarios para la concreta finalidad del servicio en cuestión, pero en este caso, las demandas no se entran en detalles para determinar qué datos de más se recaban, que no sean necesarios para el servicio solicitado por el usuario.

Y respecto a la forma de comprender ese típico all or nothing, si bien sería deseable una fragmentación de los servicios, y no la oferta en bloque, lo cierto es que tampoco afecta a la protección de los datos en tanto éstos sean tratados para la concreta finalidad de cada parte del servicio (si es que se utilizan), que se supone que si está clara. Es decir, si no pido sugerencias de ruta, no pueden usar mi geolocalización. El art. 14 del RGPD dice que “Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente”, pero también dice que no es preciso dar esa información cuando “el interesado ya disponga de la información”. Lo que pueda descubrirse en una investigación a fondo, siempre es un misterio (p.ej. Facebook Analytica), pues sí es cierto que en el responsable del tratamiento el que debe demostrar que cumple las normas (carga de la prueba).

En definitiva, estas reclamaciones han pedido que sea investigado: (1) qué operaciones de tratamiento de datos personales se realizan por el responsable; (2) para qué finalidades se realizan; (3) sobre qué bases jurídicas se produce cada operación de tratamiento específica, y (4) si se conserva una copia o registro de actividades. Pero tras las sanciones más recientes, es posible que la indemnización millonaria que se ha pedido, no llegue a ninguna parte… ¿o sí? Porque por ejemplo Francia ya prohibió a WhatsApp que cediese a Facebook datos de sus usuarios, en diciembre de 2017 y si se consta que ha desobedecido y a pesar de la entrada en vigor del RGPD, estas denuncias sí podrían significar una importante y ejemplificadora sanción.

Informe de Ofelia Tejerina - Defensor del Internauta de la Asociación de Internautas-.