Sanción a META por permitir el Data scraping
El pasado 28 de noviembre la Data Protection Commission (DPC), Autoridad de protección de datos irlandesa, anunciaba la imposición de una sanción al gigante tecnológico Meta (titular de la red social Facebook) de un total de 265 millones de euros, como resultado de una investigación que se inició en abril de 2021 que tenía como objetivo dilucidar cómo habían llegado hasta un foro de internet relacionado con piratería informática, entre mayo de 2018 y septiembre de 2019, los nombres, números de teléfono y direcciones de email de 533 millones de usuarios de la red social de más de 200 países.
En el proceso de investigación, la Autoridad irlandesa se evaluaron distintas herramientas utilizadas por la compañía sancionada; Facebook Contact Importer, Messenger Contact Importer, Instagram Contact Importer y Messenger Search. Estas herramientas fueron creadas para que los usuarios de la red social pudieran encontrar a otros usuarios conocidos por ellos introduciendo sus números de teléfono y/o sus direcciones de correo electrónico.
La investigación resolvió que la filtración de los datos personales de clientes no había sido el resultado de una acción de pirateo o brecha de seguridad al uso, entendida como la existencia de alguna vulnerabilidad en los sistemas de la entidad, sino que se habían obtenido mediante la técnica de “scraping”.
Esta técnica consiste en la recopilación automatizada de datos de cualquier fuente que permita hacer una consulta de datos almacenados en bases con acceso público en internet. De este modo, mediante la realización de consultas masivas de forma automatizada, se consigue replicar la información almacenada, estableciendo los criterios que interesen en cada caso, para su posterior explotación.
En este caso, empleando las herramientas puestas a disposición por Meta, se realizaban consultas de números de teléfono y correos electrónicos generados de forma aleatoria, hasta conseguir que alguno diese una respuesta positiva, relacionándolo con un usuario identificado de Facebook y pudiendo enlazarlo adicionalmente con otra información de su perfil de usuario.
De este modo, se generó una base de datos paralela con información de miles de usuarios de la plataforma, de forma que podían ser explotados con todo tipo de finalidades.
La decisión de la DPC determina que, al habilitar este tipo de consultas, Meta ha incumplido el Reglamento General de Protección de Datos (en adelante, “RGPD”), que impone a los responsables del tratamiento de los datos personales la obligación de establecer medidas técnicas y organizativas adecuadas para su protección.
En particular, la Autoridad de Protección de datos Irlandesa considera infringido el artículo 25.1 del RGPD, por no haberse adoptado medidas apropiadas para la aplicación de forma efectiva de dos principios generales de la normativa: (i) El principio de limitación de la finalidad, por permitir que se trataran datos personales a través de las herramientas de la entidad sancionada para fines ilegítimos e incompatibles con aquellos para los que fueron recabados y (ii) el principio de integridad y confidencialidad, toda vez que al introducir aleatoriamente números y texto en las Herramientas, estas permitían identificar a los usuarios titulares de los números de teléfono y las direcciones de correo electrónico.
Adicionalmente, considera que se ha producido una infracción del artículo 25.2 del RGPD, por no haber adoptado medidas técnicas y organizativas apropiadas para el cumplimiento del principio de minimización de datos. Es decir, que, por defecto, solo fueran objeto del tratamiento los datos personales mínimos necesarios para cada uno de los fines específicos.
Y ello, porque cuando los usuarios de la red social incluían sus números de teléfono y direcciones de correo electrónico en sus perfiles, los ajustes predeterminados de la plataforma relativos a la capacidad de búsqueda de usuarios estaban configurados por defecto para que cualquiera pudiera buscar a otros usuarios por medio de su número de teléfono o dirección de correo electrónico; habilitando, por tanto, que los datos personales de estos usuarios pudieran ser recopilados mediante la técnica de scraping, realizando consultas masivas.
En este sentido, la autoridad competente concluye que Meta debería haber tenido en cuenta diversas medidas técnicas y organizativas con el objetivo de evitar posibles daños causados a través de técnicas de data scraping, desde el diseño y por defecto.
Esta resolución supone una nueva perspectiva de análisis de esta técnica de extracción de información. Hasta la fecha, las sanciones habían sido dirigidas frente a las entidades que recopilan los datos sin contar con una legitimación adecuada (entre otros, los casos de Clearview o Equifax), pero ahora la sanción se dirige frente a la entidad cuyos datos son objeto de consulta, precisamente, por no haber hecho, a juicio de la DPC, esfuerzos suficientes para impedir estos usos no autorizados.
Esta interpretación supone un precedente muy relevante para todas aquellas entidades que permiten la consulta pública de información personal en sus webs, ya que todas ellas son susceptibles de ser sancionadas en el caso de que un usuario pueda extraer de forma masiva este tipo de información.
Quedamos a su disposición para cualquier duda o cuestión que pudiera surgir.
Reciba un cordial un saludo,
Área de Privacidad de ECIJA