miércoles, 14 de diciembre de 2011

Propuesta de Acuerdo entre la Federal Trade Commission y Facebook en la reclamación por incumplimientos en materia de datos personales

Hace unos días la Federal Trade Commission (FTC) estadounidense hizo pública la propuesta de acuerdo de transacción con Facebook para poner fin al procedimiento abierto contra esta red social por sus prácticas en materia de protección de datos personales. La propuesta estará sometida a información pública hasta el próximo 30 de diciembre antes de que la FTC adopte su decisión final al respecto. Junto al valor de la propuesta como compromiso llamado a condicionar el abandono por Facebook de ciertas prácticas pasadas particularmente lesivas en materia de protección de datos, reviste también singular valor la reclamación en este asunto, como documento que sintetiza las conductas de Facebook en materia de protección de datos que la FTC considera que pueden resultar ilegales. Las características y el contenido del procedimiento ante la FTC también suscitan ciertas reflexiones desde la perspectiva transatlántica.


Ciertamente, el contenido de la reclamación y el mecanismo de resolución previsto a través de un acuerdo como el propuesto son ilustrativos de los diferentes enfoques que en materia de protección de datos personales prevalecen en EEUU y la UE, en línea con la idea de que en la UE el marco legal en la materia es más estricto y rígido pero también revela cómo en EEUU existen mecanismos de tutela que pueden resultar eficaces. Así, la reclamación frente a Facebook se funda básicamente en que ha infringido ciertas normas de la Federal Trade Commission Act debido principalmente a que el incumplimiento de los compromisos que en materia de protección de datos ha asumido la red social con sus usuarios –típicamente a través del contenido de su Política de privacidad y del resto de sus declaraciones y prácticas en la materia- ha dado lugar a la comisión de una serie de actos de engaño a los consumidores.

En concreto, la reclamación detalla las supuestas infracciones por parte de Facebook relacionadas con la protección de datos personales, entre las que se incluyen las siguientes: el incumplimiento de sus afirmaciones acerca de que determinada configuración de las preferencias de privacidad restringía el acceso a la información del perfil del usuario exclusivamente a ciertos grupos como “sólo amigos” o “amigos de amigos”, en la medida en que Facebook facilitaba el acceso a esa información por parte de ciertas aplicaciones; la ocultación de ciertas consecuencias de los cambios introducidos en la Política de privacidad de Facebook a finales de 2009 que implicaron la alteración de ciertas configuraciones de privacidad sin el consentimiento de los usuarios y que éstos no pudieran continuar restringiendo el acceso a algunas de sus informaciones pese a que los cambios se presentaron como una oportunidad para que los usuarios tuvieran un mayor control de su información; el incumplimiento por parte de Facebook de las aseveraciones de que las aplicaciones sólo tenían acceso a la información del perfil del usuario necesaria para el funcionamiento de la aplicación correspondiente en la medida en que con frecuencia Facebook proporcionaba a tales aplicaciones acceso a información que no era necesaria para que operara; el incumplimiento de las declaraciones de Facebook de que no proporciona a los anunciantes información sobre los usuarios; el incumplimiento de las afirmaciones relativas a que cuando un usuario ha borrado o desactivado su cuenta Facebook no permite el acceso por terceros a esa información, pues Facebook ha continuado permitiendo a terceros acceder a esas informaciones a través de las URLs en las que estaban disponibles; y, por último, la violación por Facebook de los Principios de Puerto Seguro entre EEUU y la UE cuyo cumplimiento decía respetar para beneficiarse del régimen privilegiado de transferencia a EEUU de datos personales de sus usuarios en la UE.

La propuesta de acuerdo transaccional para poner fin a la reclamación implica que de prosperar el procedimiento no concluiría con una decisión que incluya propiamente una declaración por parte de la FTC acerca de que las prácticas de Facebook han violado la legislación ni una admisión por parte de la red social de que se han producido las violaciones invocadas en la reclamación, algo que expresamente rechaza Facebook en la propuesta de acuerdo (ap. 5). El contenido del acuerdo se centra en imponer ciertas obligaciones a Facebook destinadas a asegurar que en el futuro sus prácticas se corresponden con el contenido de su política de privacidad y con los compromisos que asume con los consumidores en materia de tratamiento de datos personales, especialmente en lo que concierne a la obtención previa del consentimiento informado expreso de los consumidores para transmitir a terceros la información de los perfiles más allá de lo que resulta de la configuración de privacidad establecida por el usuario. Asimismo, se contempla la imposición a Facebook de la obligación de obtener el consentimiento expreso de los consumidores antes de introducir modificaciones que alteren las preferencias de privacidad seleccionadas por los consumidores; impedir el acceso a la información de un usuario si han transcurrido treinta días desde que eliminó su cuenta; desarrollar un elaborado plan en materia de protección de datos para afrontar los riesgos en esta materia que plantean sus productos y servicios actuales y los que pueda desarrollar; someterse cada dos años a una auditoría independiente externa en materia de protección de datos que certifique que su programa en la materia cumple con las exigencias impuestas en el acuerdo transaccional; y conservar a disposición de la FTC una serie de informaciones relevantes para el control del cumplimiento de los compromisos en materia de protección de datos personales asumidos en el marco del acuerdo.

El modo como esta propuesta de acuerdo transaccional plantea poner fin a la reclamación ante la FTC y el fundamento normativo de las supuestas infracciones legales atribuidas a Facebook resultan un tanto alejados de las vías de sanción de los incumplimientos en materia de protección de datos personales establecidos en la legislación de la UE. Ahora bien, sin desconocer la existencia de aportaciones de interés, como el Dictamen 5/2009 sobre las redes sociales en línea del llamado Grupo de Trabajo del artículo 29 y otras iniciativas llevadas a cabo en este ámbito, cabe plantearse si las conductas descritas en la reclamación han sido objeto de adecuada fiscalización por las autoridades de protección de datos de los Estados miembros de la UE, en particular, en la medida en que millones de consumidores europeos son usuarios de los servicios de redes sociales que han venido tratando sus datos personales de acuerdo con estándares cuya compatibilidad con la estricta legislación europea en la materia cabe pensar que debería haber merecido mayor atención (o medidas más efectivas) por parte de dichas autoridades europeas, para tutelar adecuadamente los derechos de los numerosos afectados y evitar el creciente desfase entre el contenido sobre el papel y la aplicación práctica (en particular en situaciones con una dimensión internacional) de la legislación europea en materia de protección de datos. Evitar ese desfase debería ser es uno de los objetivos de la reforma actualmente en marcha de la legislación de la UE en la materia.