El pasado 9 de diciembre nos levantábamos con la noticia de que las Autoridades de Protección de Datos de Bélgica, España, Francia, Hamburgo y Países Bajos, aunadas bajo el llamado Grupo de Contacto, instaban a Facebook a cumplir de forma inmediata con la sentencia del Tribunal de Primera Instancia de Bélgica.
Pero para entender un poco el contexto, debo primeramente detenerme en el contenido de dicha sentencia: ¿Qué era lo que ordenaba la sentencia que ha causado tanto revuelo?
Ésta instaba a Facebook Inc, Facebook Irlanda y Facebook Bélgica a cesar en el rastreo de los datos de los internautas que no eran usuarios de esta red social a través de cookies y plug-ins sociales.
Además, se pronunciaba de este modo sobre los siguientes aspectos:
- En primer lugar, el Tribunal indica que tanto la ley de protección de datos belga como sus tribunales tienen jurisdicción para actuar contra Facebook, dado que Facebook fundó Facebook Bélgica, realizando esta empresa local actividades en Bélgica para el grupo de Facebook y participando en la comercialización y venta de espacios publicitarios.
- En segundo lugar, el cumplimiento de la sentencia debe llevarse a cabo de manera urgente, puesto que son muchos los posibles afectados por el uso de los plug-ins sociales de Facebook instalados en miles de páginas web.
Por otro lado, indica que el uso de la cookie de Facebook “Datr” que proviene de la instalación de plug-ins sociales en sitios web de terceros (a través del uso de los botones de “Me gusta”), registra la dirección IP y un número de identificación único, lo cual se constituye como un tratamiento de datos personales.
Según indica Facebook, el uso de esta cookie está asociado a la necesidad de garantizar la seguridad de los logins en la red social: Gracias a la instalación de esta cookie en el ordenador de todos los usuarios, que aporta un número de identificación único, se comprueba en cada login si la cuenta de usuario está siendo utilizada de manera fraudulenta por un tercero.
La cuestión problemática radica en que Facebook, a través del uso de estas herramientas de seguimiento y análisis, se encuentra en una posición única, ya que de aquellos usuarios registrados en su plataforma, puede establecer muy fácilmente lazos entre su comportamiento en páginas web de terceros (qué páginas visita, durante cuánto tiempo) y su identidad real visible a través de su perfil.
Sin embargo la mayor gravedad deriva del hecho de que para aquellos internautas que no son usuarios ni se encuentran registrados en Facebook, ésta no obtiene el correspondiente consentimiento del afectado, así como tampoco puede ampararse en la existencia de un contrato o una obligación legal que le permita el tratamiento de sus datos.
Por todo ello, con respecto a aquellos internautas belgas que no forman parte de la red social, se insta a Facebook a dejar de colocar la cookie ‘datr’ cuando accedan a una página web del dominio facebook.com sin proporcionarles previamente información suficiente y adecuada sobre el hecho de que Facebook usa esa cookie, y sobre el modo en que Facebook utiliza dicha cookie a través de plug-ins sociales; y dejar de recoger la cookie ‘datr’ a través de plug-ins sociales situados en los sitios web de terceros.
Esta sentencia resulta de aplicación dentro del territorio belga, y es por ello que a raíz de su publicación, el mencionado Grupo de Contacto urge a Facebook al cumplimiento de estas disposiciones en todo el territorio de la UE.
No obstante, por su parte, la AEPD ya ha iniciado su propia investigación para dirimir las posibles responsabilidades existentes, y procurar las medidas que sean necesarias para salvaguardar, ante todo, los intereses de los ciudadanos.
Autora: Loreto Jiménez (Consultora Legal en Áudea Seguridad de la Información)