La Agencia Española de Protección de Datos ha comenzado a analizar las políticas de seguridad y privacidad de Facebook, MySpace y Tuenti con una prioridad: identificar qué aspectos no son acordes con la legislación. La mitad de los internautas españoles se ha dado de alta en alguna de estas redes, según la Asociación para la Investigación de Medios de Comunicación. A finales de 2008, Universal McCann cifraba en 272 millones el número de usuarios en el mundo. La explosión de las redes sociales las ha situado en el radar de AEPD. En poco más de un mes, ha recibido una docena de denuncias, sobre todo, referentes a la publicación de fotos por parte de terceros sin consentimiento. A lo largo de esta entrevista Artemi Rallo, director general de la Agencia de Protección de Datos desvela las claves del estudio elaborado por Inteco conjuntamente sobre el fenómeno de las redes sociales. A finales del mes de abril las 27 agencias de protección de datos de la Unión Europea publicarán un dictamen conjunto a finales de abril para que las redes sociales se adecuen a la normativa europea. Esta entrevista tiene lugar casi al mismo tiempo que se presenta la Memoria del 2008 de la Agencia de Protección de Datos; las reclamaciones se incrementaron un 45 por cien respecto al año anterior y las multas supusieron un valor que alcanzó los 23 millones de euros. La Memoria se puede consultar en www.agpd.es
Artemi Rallo Lombarte, ocupó hasta su nombramiento como Director de AEPD en febrero de 2007, el cargo de Director General del Centro de Estudios Jurídicos (2004-2007).Nacido el 9 de agosto de 1965 en Castellón, es Licenciado en Derecho con Premio Extraordinario (1988) y Doctor en Derecho por la Universidad de Valencia (1990). Rallo Lombarte es Catedrático de Derecho Constitucional de la Universidad Jaume I de Castellón, donde también ha sido Director del Departamento de Derecho Público (1993-1998). Ha desarrollado su actividad investigadora en centros internacionales como el Instituto Internacional de Derechos Humanos con sede en Estrasburgo, el Departamento de Teoría del Estado de la Universidad La Sapienza (Roma) y el Centre de Recherche de Droit Constitutionnel de la Universidad Paris IPantheòn- Sorbonne. Es autor de numerosas monografías, libros colectivos y artículos científicos en revistas especializadas nacionales e internacionales.
Ha participado en líneas y proyectos de investigación nacionales e internacionales sobre las transformaciones contemporáneas de la Administración Pública protagonizadas por las Administraciones independientes, las garantías electorales, las amenazas al pluralismo informativo, la problemática del Parlamento actual, la protección de los derechos fundamentales en el proceso de integración europea y los procesos de descentralización política en los Estados miembros de la Unión Europea.Ha colaborado con programas europeos de apoyo institucional en América Latina destinados a promover la descentralización política y al fortalecimiento de las instituciones parlamentarias, del Poder Ejecutivo y del Poder Judicial.
¿Podría explicarnos cuál ha sido el motivo de realizar este estudio sobre redes sociales?
Estos sitios web han experimentado una notable expansión en los últimos años, lo que ha supuesto un volumen de divulgación de información personal sin precedentes. En este contexto, las autoridades de protección de datos hemos advertido riesgos potenciales para la privacidad de sus usuarios y de terceras personas al encontrarse gran cantidad de datos personales e información gráfica, como fotografías y videos, disponibles para toda una comunidad de usuarios.
Sin duda las redes sociales ofrecen a sus usuarios numerosas herramientas para comunicarse e intercambiar información. No obstante, al utilizar estos servicios, los usuarios deben tener en cuenta que pueden enfrentarse a una posible pérdida de control sobre la forma en que otras personas emplean la información una vez publicada en la red.
Todo ello hacía necesaria la elaboración de un estudio, centrado en el análisis de la seguridad de la información y los posibles riesgos para la privacidad de los usuarios en el entorno de las redes sociales.
¿Cuál es el perfil definido de un usuario de redes sociales?
Según revela el estudio, en el cual se recogen datos estadísticos sobre el perfil de los usuarios de redes sociales españoles y los usos y hábitos de los mismos, el 44,6 por ciento de los internautas españoles utiliza habitualmente estos servicios. El perfil es el de un usuario joven (7 de cada 10 son menores de 35 años, un 36,5 por ciento tiene entre 15 y 24 años y un 32,5 por ciento, entre 25 y 34 años) que utiliza las redes sociales mayoritariamente para compartir o subir fotos (70,9 por ciento), enviar mensajes privados (62,1 por ciento) y comentar las fotos de los amigos (55 por ciento), aunque también para cotillear (46,2 por ciento).
En este desarrollo de las redes sociales, ¿qué riesgos hay detectados que puedan vulnerar la protección de datos?
El informe alerta de la existencia de tres momentos críticos para la privacidad y protección datos personales de los usuarios: el acto de registrarse, cuando desarrolla su actividad en la red y cuando pretende darse de baja del servicio.
Asociados a la fase inicial encontramos, por ejemplo, extensos formularios que demandan información relativa a ideología política, orientación sexual o preferencia religiosa. Sin embargo, el mayor riesgo al que se enfrentan los usuarios es que las redes sociales tienen activado, por defecto, el grado más alto de publicidad del perfil. La consecuencia es que el 43 por ciento de los usuarios de redes sociales tiene configurado su perfil de forma que puede ser visto por cualquier persona de la red.
Cuando el usuario desarrolla su actividad puede darse una publicación excesiva de información personal y de terceros. En este sentido, tengo que destacar que la AEPD ha sancionado la captación y publicación de imágenes de terceros en plataformas de Internet sin su consentimiento. No obstante, caben otros riesgos en esta fase, tales como la suplantación de identidad, la instalación y uso de cookies sin conocimiento del usuario, el spam o la propagación de “software maligno” como los programas espía, que se infiltran para recopilar información sobre las actividades de los usuarios y utilizarlos de forma ilegítima.
En caso de que el usuario quiera darse de baja de estos servicios, puede encontrarse con dificultades, ya que parte de sus datos pueden seguir publicados en los perfiles de otros usuarios del a red. De hecho, las redes sociales no se han pronunciado sobre los plazos que conservan la información de sus usuarios, una vez que estos se dan de baja del servicio.
Por lo que respecta a la propiedad intelectual, hay que hacer hincapié en que al aceptar las condiciones de uso podemos estar cediendo plenamente los derechos de explotación por los contenidos que publiquemos en las plataformas, para que estas los utilicen libremente durante un plazo de 5 años.
Que muchos menores confiesen en este estudio que son usuarios de redes sociales, ¿es un dato a permitir o habría que regularlo de alguna forma?
Desde el punto de vista normativo, existe una protección especial para el caso de menores, usuarios masivos de este tipo de servicios online, que les otorga un estatus de protección más elevado que al resto de usuarios, en la medida en que el consentimiento para la disposición de los derechos requiere de la intervención de sus padres o tutores legales cuando estos son menores de 14 años.
El informe refleja que todos los menores de edad de entre 14 y 16 años encuestados en la fase de investigación del estudio, coincidieron en manifestar que son usuarios habituales de este tipo de plataformas. Además, según se ha podido constatar en la actualidad las redes sociales no posean sistemas eficaces para identificar y verificar la edad de los usuarios, de forma que puedan controlar el acceso de menores de edad, tal y como exige la legislación actual. En este punto, debemos llamar la atención sobre el hecho de que en tanto no se implementen estos sistemas, El tratamiento de datos de menores se encuentra, ante un riesgo, en la medida en que estos podrían estar siendo tratados bajo un consentimiento no válido.
¿Qué opinión tiene de la legislación que regula la actividad de las redes sociales, habría que modificarla en algún aspecto?
El imparable desarrollo tecnológico al que asistimos en los últimos tiempos está poniendo en jaque los criterios tradicionales de garantía de la privacidad y exige una actualización urgente. Uno de nuestros principales desafíos actuales en el marco de la sociedad globalizada y el mundo interconectado, está protagonizado por la constate desarrollo y expansión de sistemas , que como las redes sociales, permiten una divulgación de información personal sin precedentes, y ponen a disposición de cualquier persona extraordinarias herramientas para la el uso de información de terceros.
En este ámbito, existe una conciencia cada vez más generalizada sobre la conveniencia de establecer estándares internacionales que definan reglas universales de garantía de la privacidad, principalmente para Internet. En este sentido, el gran reto que se nos presenta ahora a la AEPD, es precisamente, como organizadores de la 31 Conferencia Internacional de privacidad en noviembre de este año, será lograr la aprobación de una propuesta conjunta de “Estándares Internacionales para la protección de la privacidad y de los datos de carácter personal», que permita el desarrollo de un instrumento legal, universal y vinculante, y que deberá contar con el más amplio consenso institucional y social.
¿Qué tipo de sanciones puede imponer la Agencia de Protección de Datos ante la vulneración de alguno de los riesgos antes comentados?
Debo comenzar señalando que la AEPD ya ha recibido las primeras denuncias por conductas que podrían constituir vulneraciones de la LOPD en el ámbito de las redes sociales, como la difusión de imágenes de terceros sin consentimiento.
Las sanciones que prevé la LOPD abarcan un abanico que va de os 600 a los 600.000euros, en función de la gravedad de la infracción cometida. Dicho esto, en cada caso será necesario analizar elementos como las causas concurrentes o la tipología de datos tratados o la responsabilidad imputable.
No obstante, cabe recordar, que la AEPD ya ha sancionado recientemente la captación y publicación de imágenes de terceros en plataformas colaborativas sin consentimiento de las personas afectadas, y ha reconocido el derecho frente al responsable del sitio web a cancelar los datos publicados facilitados por terceros en entornos online.
¿No cree que la indexación de los perfiles por parte de los buscadores es un elemento que habría que evitar?
Sin duda los proveedores deberán garantizar que los datos de usuarios sólo pueden explorarse en buscadores externos cuando un usuario haya dado su consentimiento explícito, previo e informado a tal efecto. La no indexabilidad de los perfiles por parte de motores de búsqueda debería ser una opción por defecto.
¿Qué mejoras se pueden introducir en la protección de datos de las redes sociales?
Ciertamente, muchas. Y en este sentido hemos recogido en el estudio un amplio apartado de recomendaciones. Además del citado control de la indexación, sería conveniente hacer cambios en la configuración del nivel de privacidad para garantizar, por defecto, el máximo grado de seguridad en el perfil del usuario. Asimismo, sería necesaria una redacción más clara y comprensible de las condiciones de uso y políticas de privacidad.
Otras recomendaciones son la puesta a disposición del usuario de herramientas que limiten la posibilidad de etiquetar a otros usuarios en la red y la implantación de sistemas que faciliten la comprobación de la edad de quién intente acceder al servicio, entre otras.
¿De que manera se podrían controlar las posibles suplantaciones de usuarios y el exceso de información que el usuario incluye en su perfil personal?
En cuanto a la primera de las cuestiones, el estudio incluye una recomendación específica dirigida a los prestadores de servicios. Les sugiere que cuenten con herramientas encaminadas a reducir los casos de suplantación de identidad por parte de los usuarios dentro de la red, permitiendo a los titulares legítimos que acrediten su verdadera identidad y puedan bloquear el acceso al usuario que ilegítimamente utilizó el perfil del otro.
En relación con la segunda cuestión a la que hacía mención, cabe recordar nuevamente a las redes sociales, la necesidad de efectuar cambios en la configuración del nivel de privacidad de tal forma que, por defecto, se genere el mayor grado de seguridad en el perfil del usuario. Con todo, no hay que olvidar el papel fundamental que juegan los usuarios. Éstos deben ser conscientes de que hay que extremar las cautelas a la hora de introducir datos personales, tanto propios como de terceros, así como al alojar contenidos gráficos. Y sobre todo, configurar cuidadosamente el grado de privacidad del perfil.
