¿Cómo ponemos a disposición de Facebook nuestros datos personales? ¿y sobre la información que no otorgamos?

La citación del jefe fundador de Facebook, Mark Zuckerberg, ante el Senado de los Estados Unidos el pasado 10 de abril desencadenó una álgida discusión en torno a la protección de los datos personales en plataformas digitales. Todo ello, unido al revuelo que previamente había causado el escándalo referido a Cambridge Analytica, causante de la situación de Zuckerberg ante el Senado.

Ahora bien, ¿Realmente empresas como Facebook utilizan nuestros datos personales sin nuestro consentimiento? ¿Qué es lo que dicen las condiciones de uso de los productos de la mencionada empresa?

Necesaria aclaración y antecedentes

Ahora bien, antes de continuar el análisis al respecto, cabe realizar una precisión: los Estados Unidos, a diferencia de muchos países latinoamericanos –incluido Perú- y europeos[1], no cuenta con una ley federal que aborde de manera integral lo referido a la protección de datos personales. En todo caso, cuenta con regulación general referida a la privacidad a través de su Ley de Privacidad,  la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA por sus siglas en inglés), entre otras[2].

Los países europeos pudieron prever con antelación cómo es que el procesamiento masivo de datos personales sin ninguna protección podría implicar un riesgo para las personas y su privacidad. Es por ello que se impulsó una regulación garantista de los datos personales, fomentando la concientización de los titulares respecto de sus datos e impulsando la creación de agencias de protección de datos personales[3]. De hecho, una de las principales críticas en torno a la celebración del TTIP (Transatlantic Trade and Investment Partnership por sus siglas en inglés) entre los Estados Unidos y la Unión Europea giraba en torno a la protección de datos personales. Esto, pues el Tribunal de Justicia de la Unión Europea, en la Sentencia C-362/14 (Schrems v. Data Protection Commissioner), estimó que los niveles de protección de datos personales de los Estados Unidos no están de acuerdo a los estándares europeos. Así, existió un temor que, de firmarse el TTIP, no se garantice la privacidad y la protección de datos personales de los europeos[4].

Similares cuestionamientos surgieron en torno a las negociaciones del TPP (Trans-Pacific Partnership por sus siglas en inglés), pues habían dudas respecto de la garantía y los estándares de protección de datos personales[5] de los Estados que serían firmantes (entre ellos, Perú). Esto, en la medida que el TPP podría impedir “a los países firmantes adoptar legislaciones de datos personales que prohíban las transferencias internacionales de datos a países con un deficiente nivel de protección de datos personales”[6].

En este sentido, en principio, la legislación de nuestro país, a través de la Ley N° 29733, Ley de Protección de Datos Personales, siguiendo la tradición europea y diferenciando claramente el derecho a la protección de datos del derecho a la privacidad, es más estricta en torno a la protección de datos personales que la de Estados Unidos. Pasemos, pues, a analizar cuándo y cómo es que permitimos a Facebook el uso de nuestros datos personales.

El contrato que “firmamos” con Facebook

En el apartado 4. de la declaración de derechos y responsabilidades[7] se indica que los usuarios de Facebook deben proporcionar sus nombres y datos reales. Posteriormente, en el apartado 16. se indica que si uno es usuario de Facebook y se encuentra fuera de los Estados Unidos, damos nuestro consentimiento “para que tus datos personales se transfieran y se procesen en los Estados Unidos”.

Ahora bien, si deseamos tener mayor conocimiento sobre qué se hacen con nuestros datos, tenemos que acceder al apartado de Política de datos[8]. Ahí se describe qué tipo de datos se recopila:

Los datos que suministrarnos al abrir una cuenta, el tipo de contenido que observamos, interactuamos y la duración de las actividades relacionadas a dicho contenido; recopilan los datos que otros usuarios de Facebook puedan subir sobre nosotros; las personas con las que más nos comunicamos, los grupos que se visitan; información referida a pagos realizados en Facebook (número de tarjeta, autenticación, facturación, etc); información sobre los dispositivos con los cuales se accede (atributos del dispositivo, ubicación, información de conexión: compañía, navegador, idioma, IP); y así un largo etcétera.

Ahora bien, ¿cómo usan estos datos que se recopilan sobre nosotros? En líneas generales, para personalizar el servicio que nos ofrece Facebook: personalizar el contenido que se nos muestra, enviar sugerencias sobre contenido, etcétera. Hasta ahí, todo parece ir en orden, pues Facebook utiliza nuestra información para poder personalizarlo y brindar mejores servicios hacia nosotros, los usuarios. No obstante, en el punto III. referido a cómo se comparte nuestra información, encontramos un apartado que indica que se nuestros datos se usan para Compartir con socios y clientes.

Así, Facebook comparte información con dos tipos de “colaboradores externos”: (a) servicios de publicidad, medición y análisis, y (b) proveedores generales, proveedores de servicios y otros socios. Sobre el primer grupo, se indica que nuestros datos son usados para que veamos publicidad relevante para nosotros; sin embargo, también se enuncia que los datos proporcionados no permitirán la identificación personal. Lo mismo ocurre si se va a usar nuestros datos para fines de medición y análisis.

Ahora bien, lo más llamativo es lo referido al grupo de “Proveedores generales, proveedores de servicios y otros socios”. En el mencionado apartado se indica expresamente que

[En Facebook] Transferimos información a proveedores generales, proveedores de servicios y otros socios que nos ayudan a mantener nuestro negocio en todo el mundo, por ejemplo, prestar servicios de infraestructura técnica, analizar el uso que se hace de nuestros Servicios, medir la eficacia de los anuncios y servicios, brindar atención al cliente, facilitar los pagos o realizar investigaciones académicas y encuestas. Estos socios deben cumplir con estrictos requisitos de confidencialidad que se ajustan a esta Política de datos y a los acuerdos que suscribimos con ellos.

¿Y sobre los datos que no otorgamos?

Pudimos observar que nosotros otorgamos nuestro consentimiento para que Facebook trate nuestros datos personales. Sin embargo, algo que no tenemos en cuenta es qué sucede con esa información que no brindamos a Facebook pero que este puede generar de nosotros sin que expresamente se la hayamos otorgado, la que se obtiene a través del big data.

Pongamos un ejemplo: nosotros decidimos no brindar el dato referido a nuestra orientación política. No obstante, Facebook recopila la información referida a: qué políticos seguimos, a qué páginas de Facebook damos like, con qué contenidos interactuamos de manera frecuente, desde dónde nos conectamos a Facebook (sedes de partidos políticos), quiénes son nuestros amigos, etcétera. Con toda esa información que Facebook obtiene sobre nosotros, esta red social sabe cuál es nuestra posición política.

De igual manera. Imaginemos a una persona que es diagnostica con cierta enfermedad. De pronto, empieza a unirse a Grupos en Facebook de personas que comparten esa enfermedad, empieza a revisar y leer más contenido sobre esa enfermedad, accedemos a noticias relacionadas, etcétera. De igual manera, a partir de estas interacciones que tenemos en la red social de Zuckerberg, esta deduce cuál es nuestro estado de salud.

Y así podemos seguir exponiendo casos en los cuales Facebook puede generar información sobre nosotros, datos personales, a partir de nuestro desenvolvimiento en dicha red social. Ahora bien, por qué esta situación nos es relevante: en los dos ejemplos antes mostrados, hacemos referencia a datos sensibles.

En efecto, nuestra Ley de Protección de Datos Personales indica que los datos sensibles son aquellos “(d)atos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al click here origen racial y étnico; ingresos económicos; opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual”[9].

Los mencionados datos son especialmente relevantes porque son los que más vinculación tienen con nuestra intimidad. En efecto, el artículo 3° de la mencionada Ley enuncia que “(s)on objeto de especial protección los datos sensibles”. Dicha especial protección se manifiesta, entre otros, que, para el tratar los datos sensibles, se debe efectuar por escrito.

De esta manera, podemos observar que los datos sensibles, por su especial calidad, requiere un mayor grado de seguridad en su tratamiento y, además, mayor información. Llegados a este punto cabe preguntarnos ¿Esta información que genera Facebook sobre nosotros, son efectivamente datos personales? ¿O son simples conclusiones a las que se llega luego de la ejecución de complejos algoritmos que no necesariamente se condicen con la realidad? ¿Está Facebook “burlando” la ley en lo referido a tratar personales sensibles?

Preliminarmente, nosotros creemos que, en la medida que un dato nos identifique o nos haga identificable, sí constituye un dato personal nuestro, sin importar cuál fuese su origen o que este se haya generado independientemente de nuestra participación. Por ejemplo, cuando alguien nos toma una fotografía, esta persona está generando cierta información sobre nosotros; sin embargo, esto no implica que, porque la otra persona la generó, esta información no sea un dato personal nuestro.

En este sentido, creemos que, teniendo en cuenta la calidad especial de los datos sensibles, Facebook debe cumplir con mayor intensidad su deber de información. En efecto, el artículo 18° de nuestra Ley de Protección de Datos Personales indica que:

El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles (…) (subrayado nuestro)

Llegados a este punto, es válida la pregunta siguiente: ¿Facebook realmente cumple con informarnos de manera detallada e inequívoca sobre cómo se tratan nuestros datos personales? ¿Sabemos cómo tratan los datos que generan sobre nosotros que no otorgamos? Es cierto que el segundo párrafo del citado artículo indica que “(s)i los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables”.

No obstante, creemos que las mencionadas políticas de privacidad deben cumplir de igual manera con el deber de información y con los parámetros antes indicados: este no debe ser vago ni de difícil accesibilidad. Llegados a este punto podemos obtener la siguiente conclusión: Facebook no cumple con su deber de información respecto de cómo trata nuestros datos personales, y, más aún, tiene datos personales nuestros, incluso sensibles, que nunca otorgamos y no sabemos que ellos tienen. Tal vez sería interesante repensar la Ley de Protección de Datos Personales de cara a la big data y cómo esta impacta en su protección. O, incluso cabría discutir una regulación en lo referido a lo big data: cómo y hasta qué punto se pueden sistematizar nuestros datos personales y qué tipo de información debería estar permitida generar. Lamentablemente, por la extensión del presente artículo no podremos darla una respuesta, pero dejamos la problemática planteada para futuros debates al respecto.

En conclusión, es posible afirmar que Facebook no cumple con nuestros derecho a la información en torno a cómo se tratan nuestros datos personales y, más aún, existe un gran vacío en torno a cómo se debe tratar esa información que se genera de nosotros sin que la hayamos otorgado (que puede contener datos sensibles). Debemos tomar conciencia sobre nuestros datos personales y el valor de estos: ningún servicio o contenido que se ofrece en Internet es gratis, más aun, el precio que se ha de pagar por ellos es nuestra información personal.


[1] Los países europeos miembros de la Unión Europea, además de contar con legislación nacional de protección de datos personales, como la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) en España, se cuenta con regulación supranacional al respecto, a través del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Además, cabe resaltar que existen países con sistemas jurídicos anglosajones que sí cuentan con leyes de protección de datos personales, tal es el caso de la Data Protection Act de 1998 (Reino Unido), o la Personal Information Protection and Electronic Documents Act de 2000 (Canadá).

[2] https://www.hg.org/data-protection.html

[3] Aunque, dicho sea de paso, hay quienes afirman que la Comisión Federal de Comercio de Estados Unidos (FTC) se comporta en los hechos como una agencia de protección de datos, ya que usa agresivamente la Sección 5 de la Ley de la Comisión Federal de Comercio. WEINSTEIN, Jason. “The U.S. Doesn’t Have a National Data Protection Authority? Think Again…” <https://iapp.org/news/a/america-doesnt-have-a-national-data-protection-authority-think-again/>

[4] Para una comparativa en torno a los estándares de protección de datos personales en Estados Unidos y la Unión Europea revisar <http://www.eljurista.eu/2015/04/26/comparativa-de-la-proteccion-de-datos-en-europa-y-en-estados-unidos/>

[5] R3D: Red en Defensa de los Derechos Digitales. “Google se equivoca: el TPP, varios pasos hacia atrás para Internet”, 12 de octubre de 2016, <https://r3d.mx/2016/10/12/google-se-equivoca-el-tpp-varios-pasos-hacia-atras-para-internet/>

[6] Íbidem.

[7] https://www.facebook.com/legal/terms?locale=es_LA

[8] https://www.facebook.com/full_data_use_policy

[9] Artículo 2.5 de la Ley.

Escrito por Dilmar Villena Fernandez Baca

Bachiller en Derecho de la Pontificia Universidad Católica del Perú. Miembro de la Liga Juvenil de Defensa de Internet y de Perspectiva Constitucional. Ex director de la Comisión de Publicaciones de la Asociación Civil Foro Académico.

¿Qué opinas del artículo?

comentarios