El pasado 10 de abril, el Congreso de los Estados Unidos interrogó a Mark Zuckerberg por la filtración masiva de datos personales a la empresa Cambridge Analytica, que afectó a un total de 87 millones de usuarios, influyendo en el voto de los estadounidenses a favor de Donald Trump en 2016. En dicha citación, el Senador Richard Durbin le preguntó al creador de Facebook “¿Se sentiría cómodo compartiendo con nosotros el nombre del hotel en el que se hospedó esta noche?”, a lo cual Zuckerberg, quien se mostró muy sorprendido e incómodo a la vez respondió con un rotundo “no”. También, el legislador quiso conocer los nombres de las personas con que se había enviado mensajes esa semana, a lo que el empresario contestó “No, Senador, probablemente no elegiría hacer eso público aquí”. El público presente en el Senado emitió una risa generalizada, ya que, esto deja en claro lo que ha hecho la red social durante todo este tiempo: conocer todo, pero absolutamente todo, sobre sus usuarios.
Luego de estas preguntas, el Senador sentenció diciendo: “Creo que de esto se trata todo”. No cabe duda de que vamos por Internet dejando una enorme huella de información que facilita identificarnos. El problema radica en que, para la gran mayoría, estar conectado a Internet es algo natural, la interacción en redes sociales es parte del día a día en esta época y, sin embargo, nadie se pregunta ¿hasta qué punto están invadiendo nuestra privacidad? A raíz de la filtración masiva de datos personales por parte de la red social se ha generado una gran alarma entre sus usuarios y ha dejado muchas dudas.
¿Qué datos personales recopila Facebook?
Para crear una cuenta en Facebook se debe completar un formulario con datos de carácter general, tales como nombres, apellidos, fecha de nacimiento, nacionalidad, sexo, teléfono móvil, correo electrónico, entre otros. Para completar el perfil se puede seguir añadiendo más información, tales como las aficiones, intereses, convicciones políticas, creencias religiosas, profesión, puestos de trabajo, situación sentimental. Asimismo, se puede crear una red con otras cuentas de familiares para obtener un tejido social cercano.
Por otro lado, la plataforma hace un seguimiento de toda la actividad que tiene un perfil dentro y fuera de su red: direcciones IP, posición geográfica y toda la actividad realizada –“likes”, estados de ánimo, comentarios, fotos y videos etiquetados, contenido más publicado, material audiovisual visto, tiempo de estadía en la red social, entre otras actividades.
El problema radica en que Facebook permite a las aplicaciones y servicios de terceros usar los perfiles, previa autorización, pero en muchas ocasiones sin informar con suficiente detalle a qué datos se va a acceder o con qué finalidad específica, lo que puede conllevar a escándalos como el de Cambridge Analytica.
¿Cómo saber qué tratamiento está dando a mis datos personales una red social?
La normativa peruana otorga a las personas naturales el derecho de acceso, por lo que un usuario de Facebook podrá solicitar la siguiente información respecto a aquellos datos que están siendo tratados por parte de la red social: 1) a quiénes se ha transferido su información personal y 2) a quiénes han sido los destinatarios de dichos datos. Mediante este derecho, las personas pueden obtener del responsable del tratamiento, la confirmación sobre cómo es que se están tratando sus datos personales.
En otros términos, la red social, como titular de bancos de datos personales, deberá proporcionar determinada información como el origen de los datos, las finalidades que se le está dando a dicha información, las categorías de datos que están siendo tratados y los destinatarios a los que se comunicaron, el plazo previsto de conservación de los datos, la existencia de decisiones automatizadas –incluida la elaboración de perfiles–, y las consecuencias previstas de dicho tratamiento para el interesado. En tal sentido, Facebook, en su calidad de responsable, deberá establecer un mecanismo que facilite el ejercicio de los denominados derechos ARCO (Acceso – Rectificación – Cancelación y Oposición) de forma gratuita.
El titular del banco de datos deberá responder dichas solicitudes, a más tardar, en el plazo de 20 días hábiles. En caso de que el usuario no reciba respuesta o su derecho no sea debidamente atendido, podrá acudir a la tutela de la autoridad de control, en nuestro caso, la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, órgano adscrito al Ministerio de Justicia.
¿Es posible revisar las políticas de privacidad a las que accedí en Facebook?
En virtud del principio de información, el cual se encuentra tipificado en la Ley de Protección de Datos Personales, el titular de una red social siempre debe mostrar, de una forma accesible para los usuarios, la política de privacidad correspondiente, así como los términos y condiciones, donde se les informe sobre los tratamientos de datos y finalidades asociadas. Igualmente, Facebook deberá mantener informado al usuario sobre los cambios sustanciales en dichas políticas y lo que implica aceptarlos o no.
En otras palabras, Facebook deberá comunicar a los titulares de datos personales, de manera clara, expresa e indubitable y con lenguaje sencillo, cuando menos lo siguiente:
- La identidad y domicilio o dirección del titular del banco de datos personales o del responsable del tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos.
- La finalidad o finalidades del tratamiento a las que sus datos serán sometidos.
- La identidad de los que son o pueden ser sus destinatarios, de ser el caso.
- La existencia del banco de datos personales en que se almacenarán, cuando corresponda.
- El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, cuando sea el caso.
- Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo.
- En su caso, la transferencia nacional e internacional de datos que se efectúen.
¿Qué puedo hacer un ciudadano si se quiere oponer a un tratamiento que Facebook le hace a sus datos personales?
Un ciudadano puede solicitar la cancelación de sus datos, así como oponerse a ciertos tratamientos que el responsable del banco de datos realiza. En caso el usuario quisiera cancelar los datos almacenados en una red social, éste deberá ejercer su derecho de cancelación, que es la acción o medida que en la Ley se describe como supresión, cuando se refiere a datos personales, que consiste en eliminar o suprimir los datos personales de un banco de datos. El titular del banco de datos deberá responder dicha solicitud, a más tardar, en el plazo de 10 días hábiles.
Por otro lado, en caso el usuario sólo se quiera oponer a ciertos tratamientos, éste deberá de ejercer su derecho de oposición, que reconoce a los ciudadanos la facultad de defender su privacidad controlando por sí mismo el uso que se hace de sus datos personales, y en particular, el derecho a que no se lleve a cabo el tratamiento de éstos o se cese el mismo cuando no sea necesario su consentimiento para el tratamiento, por la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, y siempre que una Ley no disponga lo contrario. Por ejemplo, si un usuario autorizó que le enviarán publicidad a su correo electrónico, posteriormente, podrá revocar dicho consentimiento. (El responsable deberá responder dicha solicitud, a más tardar, en el plazo de 10 días hábiles.
En el supuesto de que el usuario no reciba respuesta o no su derechos no sea debidamente atendido en el plazo estipulado, podrá acudir a la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, órgano adscrito al Ministerio de Justicia.
¿Facebook puede ser sancionado por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales?
La Dirección podría sancionar a Facebook en caso no atienda los derechos ARCO de sus usuarios tal como lo hizo con Google[1]en su momento a quienes sancionaron con una multa ascendente a 65 UIT y le ordenaron suprimir los datos personales de toda información o noticia relacionada con la denuncia penal. En dicha resolución, la Autoridad consideró que Google estaba obligado a respetar las leyes peruanas, incluso siendo empresa extranjera porque trataba datos personales de peruanos y era accesible desde el país.
¿Podría un usuario de Facebook solicitar alguna indemnización por el mal uso de sus datos personales?
El artículo 25° de la Ley de Protección de Datos Personales establece que el titular de datos personales que sea afectado a consecuencia del incumplimiento de la presente Ley por el titular o por el encargado de tratamiento de datos personales o por terceros, tiene derecho a obtener la indemnización correspondiente, conforme a ley.
[1] En el 2009, un ciudadano peruano fue acusado públicamente de haber cometido un delito contra el pudor público. El hecho no tardó en aparecer en diversos medios de comunicación nacionales. Sin embargo, años después, el acusado fue absuelto del delito. No obstante, la noticia aún continuaba en los motores de búsqueda de Google. El ciudadano solicitó la eliminación de dicha información; sin embargo, el pedido resultó inútil por lo que envió una solicitud online a dicha empresa para que retiraran el contenido de su página de búsquedas. La empresa le contestó que la solicitud de retiro de contenido debía de enviarse individualmente a las páginas web que contienen la información y no hacia ellos. Frente a esta respuesta, el ciudadano se dirigió a la Dirección General de Protección de Datos amparándose en nuestra Ley de Protección de Datos Personales para cuestionar la negativa de la empresa. La Autoridad recibió el reclamo y procedió a notificar a Google Perú y a Google Inc. Esta entidad consideró que Google estaba obligado a respetar las leyes peruanas, incluso siendo empresa extranjera porque trataba datos personales de peruanos y era accesible desde el país. Por esto, la Dirección resolvió en diciembre de 2015 que Google había obstaculizado en forma sistemática el ejercicio de los derechos del titular de datos personales y se había negado a respetar el derecho de cancelación de datos del ciudadano peruano.
