Seguridad

El fallo de privacidad de la corte alemana contra Facebook podría tener consecuencias de gran alcance

Facebook tiene millones de usuarios en la Unión Europea, y un tribunal alemán falló recientemente en contra de la empresa en un caso relacionado con sus políticas de privacidad. Las políticas de privacidad rara vez son leídas por alguien más que los jueces, quienes deben revisarlas cuando surgen desafíos.

El nuevo Reglamento General de Protección de Datos de la UE entrará en vigor el 25 de mayo de hará las cosas más complicadas.

Si tiene clientes residentes en la UE, el nuevo RGPD le afectará.

¿Qué pasó con Facebook?

El RGPD es una modificación radical de la Directiva Europea de Protección de Datos de 1995 (Directiva 95/46/CE), que amplía la jurisdicción extraterritorial y confirma expresamente ciertas decisiones afirmadas por la jurisprudencia europea.

Sin embargo, la redacción del RGPD no significa que no haya preguntas sin respuesta. A principios de este año, un tribunal alemán dictaminó que los términos de uso de Facebook no cumplían con el consentimiento informado.

El consentimiento informado es específico según las normas de la UE. El artículo 4(11) del RGPD define el consentimiento como “cualquier manifestación libre, específica, informada e inequívoca de la voluntad de un interesado, por la que expresa su consentimiento, mediante declaración o acción afirmativa expresa, al tratamiento de datos personales en relación con sus datos relevantes.” Se deben cumplir cinco criterios para constituir consentimiento:

  • libre de dar
  • específico
  • Informado
  • claramente
  • afirmar

El consentimiento explícito debe incluir una declaración de consentimiento o acción afirmativa explícita, y esto es principalmente donde Facebook entra en conflicto.

Facebook y muchos sitios web de EE. UU. usan configuraciones de privacidad predeterminadas. Un tribunal alemán encontró que algunas de estas configuraciones eran difíciles de encontrar y cambiar para los usuarios. Al hacer cumplir la configuración predeterminada, Facebook no pudo obtener el consentimiento informado.

¿Qué hizo Facebook?

El propósito de este artículo no es atacar a Facebook. De hecho, desde que se presentó la demanda alemana, Facebook ha realizado varios cambios en la forma en que maneja las protecciones de privacidad. Está destinado a ser una llamada de atención para otras compañías que pueden adoptar un enfoque similar para impulsar la configuración de privacidad de forma predeterminada, suponiendo que un aviso de privacidad oculto en sus términos de servicio sea suficiente.

“Si el consentimiento se incluye como una parte no negociable de los términos y condiciones, se presume que no se otorga libremente”, establece el Artículo 29 de las Directrices sobre el Reglamento de Consentimiento del Grupo de Trabajo de Protección de Datos 2016/679.

En otras palabras, si una parte no puede usar los bienes o servicios sin aceptar los términos de servicio que incluyen la declaración de privacidad, ese consentimiento no se da libremente y viola el elemento de consentimiento informado. Este enfoque de la seguridad es lo contrario de cómo operan muchas empresas estadounidenses.


Las empresas estadounidenses generalmente envuelven sus disposiciones de protección y procesamiento de datos en políticas de términos de servicio extensas y cargadas de jerga legal. Estas cláusulas de «clic», aunque generalmente se confirman en los tribunales de los EE. UU., pueden no pasar el escrutinio en la UE.

«La aceptación general de los Términos y Condiciones Generales no puede considerarse un claro consentimiento de acción afirmativa para el uso de datos personales», establece el Artículo 29 de las Directrices de Consentimiento del Grupo de Trabajo de Protección de Datos. «El RGPD no permite que los controladores proporcionen casillas de verificación previa o estructuras de exclusión voluntaria (como ‘casillas de exclusión voluntaria’) que requieran la intervención del interesado para evitar que se celebre un acuerdo».

Las empresas con sede en los EE. UU. pueden usar casillas de advertencia cargadas de jerga legal y casillas de «OK», pero esto no se considera una acción afirmativa según las normas de la UE.

lograr el cumplimiento

Entonces, ¿qué debe hacer una entidad para cumplir con las normas de la UE? Esta puede ser la parte más difícil del cumplimiento. La directriz 29 propone un enfoque que afectará a la mayoría de las empresas de EE. UU.: «La palabra expreso se refiere a la manera en que el interesado expresa su consentimiento. Esto significa que el interesado debe dar una declaración expresa de consentimiento. Una forma obvia de garantizar el consentimiento expreso. Consentimiento se confirma explícitamente en una declaración escrita.En su caso, el responsable del tratamiento puede asegurarse de que la declaración escrita esté firmada por el interesado a fin de eliminar todas las posibles dudas futuras y la posible insuficiencia de pruebas». Obviamente, no es correcto exigir al interesado proporcionar una declaración por escrito es una práctica comercial corporativa normal de los EE. UU. y puede no ser práctica para muchas actividades en línea.

Por el contrario, las empresas en línea pueden necesitar implementar un enfoque de varios pasos para obtener el consentimiento. Por ejemplo, se le puede pedir al sujeto de datos que complete un formulario en línea, lo que genera un correo electrónico, que a su vez le pide al sujeto de datos que responda con un texto específico. Esto permitirá a las empresas demostrar y mantener registros del consentimiento explícito.

Por supuesto, este enfoque también tiene desventajas. ¿Por cuánto tiempo es válido el formulario de consentimiento? ¿Cómo actualizará la empresa la política de privacidad? ¿Qué pasa si hay varios componentes de información personal involucrados? ¿La empresa necesita desarrollar múltiples pasos para cada valor de datos?

A medida que evolucionan los casos judiciales como la decisión de Facebook y se interpreta el RGPD, las empresas deben permanecer flexibles y receptivas en sus procesos y procedimientos de recopilación de datos.

LEER  ¿Qué salió mal con el modelo de redes sociales?

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba