Autor: Lorea Roncal, asociada en ECIJA
Como bien sabemos el Reglamento General de Protección de Datos de la Unión Europea (RGPD), que entró en vigor en mayo de 2018, supuso la existencia de una norma común en toda la UE sobre la protección de datos personales, sin embargo, también trajo consigo importantes novedades, entre las que destacamos:
- Consentimiento explícito de los usuarios para determinadas finalidades.
- Comunicación a la AEPD de infracciones en materia de protección de los datos en un plazo máximo de 72 horas.
- En determinados supuestos, comunicación a los usuarios de tal infracción, cuando sus consecuencias les afecten.
- Se mantiene en catorce años la edad a partir de la cual el menor puede prestar su consentimiento.
- Obligación de informar a los usuarios de los datos de responsable de tratamiento, finalidad, plazo de guarda, derechos e información adicional, de forma concisa, transparente y fácil de entender
- El RGPD aplica a todas las empresas que traten datos de ciudadanos de la UE, aunque no estén registradas en un país europeo.
- DPO obligatorio en determinados supuestos
- Si compartes datos personales con otras empresas, has de asegurarte de que también cumplen el RGPD (por ejemplo, en el caso de proveedores de e-mailing o campañas de co-marketing).
Si bien en el presente únicamente nos centraremos en los cambios que trajo consigo el RGPD en las áreas de comunicación y marketing de las empresas y, cerrando el círculo, las consecuencias que implica el cumplimiento de tan aludida norma en el uso de RRSS.
Facebook, Instagram WhatsApp y Messenger
Estas RRSS; como otras y otros tantos dominios, actualizaron con motivo de la cita norma sus políticas de privacidad con la finalidad de adecuarse, así como de seguir prestando sus servicios en el territorio UE en los términos que venían haciendo hasta la fecha.
En 2018 con motivo de la obligatoriedad marcada por el RGPD, FB, entre otras, se dedicó a enviar notificaciones por medio de email a sus usuarios con la finalidad de obtener el consentimiento claro, expreso e inequívoco en los términos recogidos por el RGPD.
Si bien el consentimiento, en cumplimiento de norma, se ciñe a aquellas personas mayores de 14 años, siendo así que en el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores, cabe recalcar que es WhatsApp quien eleva esta edad a los 16, recogiendo en sus políticas de uso que Si resides en un país del Espacio Económico Europeo (incluida la Unión Europea) o en cualquier otro país o territorio que forme parte de él (denominados en conjunto Región europea), debes tener al menos 16 años de edad (o más, si así lo requiere la legislación de tu país) para registrarte y utilizar WhatsApp. https://faq.whatsapp.com/general/security-and-privacy/minimum-age-to-use-whatsapp/?lang=es ofreciendo si cabe una postura un poco mas garante que el resto de las redes, si podemos entenderlo así.
Twitter gestionó los cambios por medio de una posibilidad amplia de configuración de privacidad en cuenta. Esta RRSS permite, y como tal se recoge en su política política de privacidad, la configuración de no solo de acceso y comunicación pública del perfil, sino también de los accesos, lecturas, privacidad o publicidad de comentarios y tweets, entre otros.
Twitter permite, en esta configuración personalizar anuncios, personalizar dispositivos donde se ha iniciado sesión, Aplicaciones, preferencias y gustos según criterios de ubicación, entre otras.
Los cambios en esta RRSS no han sido, quizás, de tanta relevancia como los anteriores, si bien es importante remarcar que a fecha de hoy la política de uso de datos de LinkedIn ofrece la posibilidad de acceder a los datos de los usuarios desde puntos externos a esta plataforma, si bien ofrece la posibilidad de oposición y/o revocación de consentimiento pudiendo el usuario negarse a dicho acceso desde fuera de esta plataforma.
Cambios más destacados
Común a todas las mencionadas, y resumiendo los cambios más destacados que vinieron con el RGPD, son:
- Obtención del consentimiento expreso y manifiesto, en lenguaje claro y sencillo cuando el tratamiento es para determinadas finalidades (Comunicaciones comérciales, perfilados, etc).
- Obligación de informar, entre otros puntos como los plazos de guarda, de las cesiones y comunicaciones, de que los datos de usuarios se compartirán entre distintas plataformas, independientemente de que formen parte de un mismo grupo (Ejemplo FB y WhatsApp).
- La posibilidad de revocación de consentimiento, ejercicios del derecho de oposición, y sobre determinadas finalidades, no aprobando todas en bloque, como se hacía con anterioridad.
- La elevación de la edad de uso de aplicación de los 14 a los 16, como hemos comentado del caso de WhatsApp.
Si bien hemos querido presentar de manera somera las novedades en las políticas y condiciones de uso de las RRSS mentadas, queremos hacer de igual modo una reflexión sobre los peligros en materia de ciberseguridad, privacidad y riesgos que implica no solo el uso de RRSS sino del acceso a las mismas, iniciando sesiones desde distintos dispositivos y Apps, guardando tales datos de acceso, como son usser y password.
En el propio blog de la Agencia Española de Protección de Datos describe los riesgos de la privacidad en las condiciones de uso que indicamos, esto es la posibilidad que nos ofrecen determinados servicios o Webs, de ingresar en los mismo no por medio de usser y password ex novo, sino utilizando los propios datos de acceso de otras cuentas, o RRSS, como son Google, Instagram, TikTok, Twitter, Facebook, para ingresar en dominios como Aliexpress o Ebay entre muchos otros., de este modo se nos permite no tener que darnos de alta, ex novo como decimos, si no usar esas webs o Apps usando los datos de registro previos en otros dominios. Este servicio se basa en que un tercero independiente (como es una RRSS) es quien autentica al usuario ante las diferentes aplicaciones o sitios webs. Esto, a los ojos de cualquier usuario es una práctica que comporta riesgos en la privacidad del usuario, así como en la confidencialidad de nuestros datos.
La multitud de identidades digitales que tenemos hoy en día hace que sea cada vez más complicado recordar las contraseñas en los términos que cualquier reglamento, guías o recomendaciones de seguridad nos indican (número de caracteres mínimos, mayúsculas, minúsculas, números, caracteres extraños, etc.)
Este sistema de acceso se denomina Identidad Federada (Federated Identity Management) cuyo objeto es obtener una gestión de usuarios eficiente y la sincronización de datos identificativos, gestión de acceso y servicios de agrupación de identidades y accesos.
El uso de identidades federadas supone una serie de ventajas, y así lo indica la AEPD, estas son:
- Reducir el número de credenciales que usamos.
- Agilizar los procesos de registro.
- Menor riesgo de hackeo de credenciales de acceso afectadas por una brecha de seguridad dado que esas aplicaciones no guardarán nuestras contraseñas. Y en caso de verse afectada sólo sería necesario cambiar una contraseña.
El uso de la autenticación de Identidad federada debe contar con las garantías suficientes para no perder el control sobre nuestros datos personales. Por tanto, esta manera de proceder implica igualmente ciertos riesgos, como:
- Pérdida de control sobre los datos personales.
- Utilización de los datos para finalidades distintas de las consentidas por el usuario.
- Acceso de las RRSS a una mayor información sobre nuestro uso de las aplicaciones o datos comportamentales.
- En caso de perder el control sobre la cuenta de la red social (robo de credenciales), se pierde también el control del resto de servicios donde nos hemos registrado con esa cuenta, que podrían también verse comprometidos.
La propia AEPD, como otras entidades, dan recomendaciones sobre el uso racional y seguro de RRSS, aplicaciones y registros, si bien, en la ponderación de la comodidad del usuario y agilidad de acceso, frente al control, confidencialidad y privacidad de la información que damos o cuyo acceso facilitamos de manera más o menos informada, ha de prevalecer la privacidad el usuario, el secreto, la intimidad el uso racional de redes; sin embargo, estas cuestiones no son tema en boga hoy en día.
Buscamos la rapidez, la inmediatez y eso nos hace relegar a un segundo plano factores o principios como la racionalidad y la intimidad en la navegación que hagamos por las redes.
Sea por exceso de información, sea por la falta de claridad, esta manera de funcionar puede suponer la limitación en las libertades del usuario, las cuales, además, se dan con su propio consentimiento, eso sí, expreso, manifiesto, libre e informado.