Facebook pisotea las leyes que regulan el procesamiento de categorías confidenciales de datos personales al no pedirle a las personas su consentimiento explícito antes de hacer inferencias sensibles sobre su vida sexual, religión o creencias políticas. ¿O la sociedad simplemente está pisoteando incómodamente y no éticamente cerca de la línea de la ley?
Una investigación realizada por The Guardian y Danish Broadcasting Corporation descubrió que la plataforma de Facebook permite a los anunciantes orientar sus anuncios a los usuarios en función de intereses relacionados con creencias políticas, sexualidad y religión, todas las categorías que están marcadas como información sensible de acuerdo con la legislación europea actual de protección de datos
y, de hecho, con el GDPR entrante, que se aplicará en todo el bloque a partir del 25 de mayo.
La investigación conjunta descubrió que la plataforma de Facebook había hecho inferencias sobre los usuarios, permitiendo a los anunciantes dirigirse a las personas en base a intereses inferidos, incluidos el comunismo, los socialdemócratas, el hinduismo y el cristianismo. Todos están clasificados como datos personales confidenciales de acuerdo con las normas de la UE
y aunque la plataforma ofrece algunas restricciones sobre cómo los anunciantes pueden orientar a las personas contra intereses delicados, no permitiendo a los anunciantes excluir a usuarios. sobre la base de un interés sensible específico, por ejemplo (Facebook ha tenido problemas en los Estados Unidos para permitir la discriminación a través de la focalización basada en la afinidad étnica) – estos controles están separados si consideramos que Facebook está obligado por ley a preguntar el consentimiento explícito de un usuario para procesar este tipo de datos confidenciales en primer plano, antes de hacer inferencias sobre una persona.
De hecho, es muy poco probable que cualquier plataforma publicitaria pueda poner a las personas en etiquetas delicadas como "interesadas en problemas socialdemócratas" o "como las páginas comunistas" o "participar en eventos gay" sin pedirles que lo hagan antes
Y Facebook no pregunta antes.
Faceboo k argumenta lo contrario, por supuesto, argumentando que la información que recopila sobre las afinidades / intereses de las personas, incluso cuando involucran categorías delicadas de información como la sexualidad y la religión, no se dan
En una declaración de respuesta a los medios, un vocero de Facebook nos dijo:
Al igual que otras compañías de Internet, Facebook muestra anuncios basados en temas que creemos que pueden ser de interés, pero sin usar datos personal sensible, lo que significa que alguien podría tener un interés publicitario catalogado como "Orgullo Gay" porque le gustaba un P Agina se asoció con orgullo o hizo clic en un anuncio de Pride, pero no refleja ninguna característica personal como el sexo o la sexualidad. Las personas pueden administrar su herramienta de Preferencias de anuncios, que explica claramente cómo funciona la publicidad en Facebook y proporciona una forma de decirnos si desea mostrar anuncios basados en intereses específicos o no. Cuando se eliminan los intereses, mostramos a la gente la lista de intereses eliminados para que tengan un registro al que puedan acceder, pero estos intereses ya no se usan para anuncios. Nuestra publicidad cumple con la legislación pertinente de la UE y, al igual que otras compañías, nos estamos preparando para que el GDPR garantice que cumplamos cuando entre en vigor.
Espere que el tema de Facebook se pruebe en los tribunales, probablemente en el futuro cercano.
Como dijimos antes, las causas del GDPR están viniendo para la compañía, gracias al fortalecimiento de la aplicación de las reglas de privacidad de la UE, con la regulación que prevé multas de hasta el 4% de la facturación global. de una empresa
Facebook no es el único perfilador de personas en línea, por supuesto, pero es un objetivo principal para el litigio estratégico tanto por su tamaño como por su alcance (y el consiguiente poder de los usuarios de la web que se mueven desde una posición dominante en una categoría que domina la atención), pero también por su capacidad para controlar el cumplimiento de las regulaciones de la UE hasta el momento.
La compañía ha enfrentado una serie de desafíos y sanciones en virtud de la actual ley de privacidad de la UE, aunque para sus operaciones fuera de los Estados Unidos normalmente se niega a reconocer cualquier jurisdicción legal, excepto la ley. Irlanda como empresa, donde tiene su sede internacional.
Y, por lo que hemos visto hasta ahora, la respuesta de Facebook al "cumplimiento" de GDPR no es nada nuevo. Más bien, como de costumbre, parece un negocio hostil a la privacidad; un intento continuo de explotar su tamaño y poder para forzar una interpretación autónoma de la ley: las reglas de flexión para adaptarse a los procesos comerciales existentes, en lugar de reconfigurar esos procesos para cumplir con la ley.
El GDPR es una de las razones por las cuales el imperio de la microtargeting publicitaria de Facebook se somete a un escrutinio más completo ahora, con solo unas semanas antes de que las organizaciones de la sociedad civil puedan aprovechar nuevas oportunidades para el litigio estratégico permitido por la regulación .
"Soy un gran admirador de la GDPR, realmente creo que esto nos dice, como diría la corte en Estrasburgo, remedios efectivos y prácticos", dice la profesora de derecho Mireille Hildebrandt. "Si lo vamos a hacer, obviamente, entonces necesitamos muchos litigios públicos, muchos casos judiciales para que el GDPR funcione, pero … creo que hay más gente moviéndose en esto.
" El GDPR ha creó un mercado para este tipo de bufete de abogados, y creo que es excelente. "
Pero no es la única razón, otra razón por la cual el manejo de datos personales de Facebook está atrayendo la atención es el resultado de investigaciones periodísticas tenaces sobre cómo una polémica firma de asesoría política , Cambridge Analytica, pudo obtener acceso gratuito a los datos de usuario de Facebook, como consecuencia de la laxitud de Facebook y las políticas de la plataforma de acceso a datos, en este caso, con fines de segmentación anuncios políticos.
Todo esto eventualmente explotó en una importante tormenta de privacidad global, este mes de marzo, aunque las críticas a las políticas hostiles de plataforma de privacidad de Facebook se remontan a más de una década en esta etapa.
El escándalo de Cambridge Analytica trajo al menos al CEO y fundador de Facebook, Mark Zuckerberg, a los legisladores de los EE. UU., Al abordar preguntas sobre el alcance de la información p personal que colecciona; qué controles ofrece a los usuarios sus datos; y ¿cómo crees que las empresas de Internet deberían ser reguladas, por nombrar algunas? (Consejo de políticos: no es necesario preguntarles a las empresas cómo les gustaría ser regulados.)
El fundador de Facebook finalmente acordó reunirse con los legisladores europeos, incluso si las llamadas de los parlamentarios británicos fueron ignoradas. [19659002] Zuckerberg debería esperar ser interrogado muy de cerca en Bruselas sobre cómo su plataforma tiene un impacto en los derechos fundamentales europeos.
Datos personales confidenciales requieren consentimiento explícito
Facebook deduce afinidades relacionadas con usuarios individuales mediante la recopilación y el procesamiento de señales de interés que genera su actividad web, como los "me gusta" en las páginas de Facebook o lo que las personas miran cuando surfean fuera de Facebook, fuera del sitio de inteligencia que se acumula a través de una amplia red de complementos sociales y píxeles de seguimiento integrados en sitios web de terceros. (Según la información publicada por Facebook en el parlamento del Reino Unido esta semana, durante una semana en abril de este año, su botón Me gusta apareció en 8,4 millones de sitios web, el botón Compartir apareció en 931,000 Los sitios web y los píxeles de seguimiento se ejecutaban en sitios web de 2,2 millones).
Pero este es el punto: tanto el marco legal actual como el entrante de la UE para la protección de datos establece la norma para el consenso para elaborar los llamados datos de categorías especiales igualmente altas, con consentimiento "explícito".
Lo que significa la práctica es que Facebook debe buscar y garantizar los consentimientos separados de los usuarios (por ejemplo, a través de una ventana emergente específica) para la recopilación y el procesamiento de este tipo de datos confidenciales.
La alternativa es confiar en otra condición especial para el procesamiento de este tipo de datos confidenciales. Sin embargo, las otras condiciones están bastante bien definidas, relacionadas con cosas como el interés público; o los intereses vitales de una parte interesada; o para los fines de "medicina preventiva u ocupacional".
Nada de lo que parece aplicarse si, como Facebook, está procesando información personal sensible de personas solo para dirigirlas con anuncios.
En vista de GDPR, Facebook comenzó a pedir a los usuarios que optaron por mostrar opiniones políticas y / o información sexual en sus perfiles para dar su consentimiento explícito para que estos datos sean públicos.
Aunque incluso allí sus acciones son problemáticas, ya que ofrece a los usuarios una salida o dejar el estilo & # 39; elección & # 39; – diciendo que o bien eliminan por completo la información o la abandonan y, por lo tanto, aceptan que Facebook pueda usarla para abordarla con publicidades.
Sin embargo, la ley europea también exige que se otorgue el consentimiento libremente. No puede estar subordinado a la provisión de un servicio.
Entonces, el paquete de servicios de Facebook y el consentimiento probablemente serán abordados por problemas legales, como escribimos anteriormente.
"Han enredado el uso de su red para socializar con el perfil de los usuarios para la publicidad. Estos son propósitos separados. No puede enredarlos como lo hacen en GDPR", dice Michael Veale, un investigador en políticas de tecnología en University College London, enfatizando que GDPR permite una tercera opción que Facebook no ofrece a los usuarios: al permitirles mantener datos confidenciales en su perfil, pero esos datos no se utilizan para publicidad dirigida.
"Facebook, creo, teme mucho esta tercera opción", continúa. "De vuelta a la audiencia del Congreso: Zuckerberg ha dicho mucho que puedes elegir a cuál de tus amigos compartir cada publicación, a través de un pequeño botón en línea. Pero no hay ninguna opción que diga que no compartes esto con Facebook para fines de análisis ".
Volviendo a cómo la compañía sintetiza las afinidades personales sensibles de los gustos de los usuarios de Facebook y una actividad más amplia de navegación web, Veale afirma que el La legislación de la UE tampoco reconoce el tipo de distinción que Facebook está tratando de rastrear, es decir, entre las afinidades inferidas y los datos personales, y luego intenta rediseñar la ley a su favor.
"Facebook dice que los datos no son correctos, o autodeclarados, y por lo tanto estas disposiciones no se aplican. Los datos no deben ser correctos o precisos para ser datos personales según la legislación europea y activar las protecciones. esta es la razón por la cual existe un "derecho a la rectificación", porque los datos incorrectos no son la excepción sino la norma ", nos dice.
"El desafío principal de Facebook es que están infiriendo lo que probablemente sea una" categoría especial "" Datos (Artículo 9, GDPR) de datos de categorías no especiales. En la legislación europea, estos datos incluyen raza, sexualidad, datos de salud, datos biométricos con fines de identificación y opiniones políticas. Una de las primeras cosas que se debe tener en cuenta es que la legislación europea no regula la recolección y el uso como actividades separadas: ambas se consideran elaboración.
"El grupo paneuropeo de reguladores de protección de datos ha confirmado recientemente que, cuando se deduce una categoría de datos especial, es como si la hubiera recopilado. Para que esto sea legal, necesita una razón especial, que para el La mayoría de las empresas están limitadas a un consentimiento explícito por separado, que a menudo será diferente de la base legal para procesar los datos personales que utilizó para la inferencia, que podrían ser "intereses legítimos" que no requirieron consentimiento. elaborando una de estas categorías especiales. "
" Los reguladores también específicamente inferencia a Facebook como un ejemplo de inferir datos de categorías especiales, por lo que hay un pequeño margen de maniobra aquí ", agrega, indicando un ejemplo utilizado por los reguladores de un estudio que combina datos de Facebook Like con" información de encuesta limitada "y de la cual surgió que los investigadores podían predecir decisión sobre la orientación sexual de un usuario masculino el 88% del tiempo; el origen étnico de un usuario el 95% del tiempo; y si un usuario era cristiano o musulmán, el 82% del tiempo.
Lo que enfatiza por qué existen estas reglas, dado el claro riesgo de violación de los derechos humanos si las plataformas de grandes datos pueden simplemente retirar automáticamente los datos personales confidenciales, como un proceso en segundo plano.
El objetivo general del GDPR es ofrecer a los consumidores un mayor control sobre sus datos personales, no solo para ayudar a las personas a defender sus derechos, sino también para fomentar una mayor confianza en los servicios en línea y para garantizar esa confianza. es un mecanismo para engrasar las ruedas del negocio digital. Que es prácticamente el enfoque opuesto a chupar todo en el fondo y con la esperanza de que los usuarios no se den cuenta de lo que estás haciendo.
Veale también subraya que, de acuerdo con la legislación europea actual, incluso una opinión sobre alguien es su información personal … (para esta orientación del Grupo de Trabajo del Artículo 29, nuestro énfasis):
Desde el punto de vista de naturaleza de la información, el concepto de datos personales incluye todo tipo de declaraciones sobre una persona. Cubre información "objetiva", como la presencia de cierta sustancia en la sangre. También incluye información, opiniones o evaluaciones "subjetivas". Este último tipo de declaración constituye una parte considerable del procesamiento de datos personales en áreas tales como la banca, para la evaluación de la confiabilidad de los prestatarios ("Tizio es un prestatario confiable"), en Seguro ("Tizio no debe morir pronto") o en el lugar de trabajo ("Tizio es un buen trabajador y merece promoción").
Pusimos este punto específico en Facebook, pero al momento de escribir aún estamos esperando una respuesta. (Facebook tampoco pudo dar una respuesta pública a muchas otras preguntas que hemos formulado acerca de lo que está haciendo aquí, prefiriendo limitar su comentario a la declaración en la parte superior de esta publicación)
Veale agrega que la guía WP29 ha sido confirmada en los últimos casos del TJUE como Nowak, que señala que, por ejemplo, las anotaciones en el lado de un guión de examen son datos personales.
Está claro lo que Facebook debería hacer para cumplir con la ley: "Deberían pedir el consentimiento explícito y separado de las personas para inferir datos como raza, sexualidad, salud u opiniones políticas". Si las personas dicen que no, deberían estarlo. capaz de seguir usando Facebook como siempre sin que estas conclusiones se hagan en el back-end. "
" Necesitan decirle a la gente lo que están haciendo claramente y en un lenguaje sencillo ", agrega. "Las opiniones políticas están igual de protegidas aquí, y esto es quizás más interesante que la raza o la sexualidad".
"Ciertamente debería abordar los desafíos legales en virtud del GDPR", coincide Paul Bernal, profesor de jurisprudencia de la Universidad de East Anglia, que también critica cómo Facebook está procesando información personal confidencial . "El concepto de afinidad parece ser un intento bastante transparente de evitar desafíos legales y uno que debería fallar. La pregunta es si los reguladores tienen el coraje de hacer balance: socava una parte bastante significativa del enfoque de Facebook".
"Creo que la razón por la que están presionando es que creen que se saldrán con la suya, en parte porque creen que han convencido a la gente de que el problema es Cambridge Analytica, como ladrones, en lugar de Facebook, como facilitadores y partidarios. Tenemos que ser muy claros al respecto: Cambridge Analytica es el síntoma, Facebook es la enfermedad ", agrega.
"También debería decir, creo que la distinción entre" objetivo "está bien y" excluir "no está bien, también es principalmente jugar en Facebook, e intenta obtener su torta y comerla.
Facebook afirma que su principal producto son las redes sociales, en lugar de gente de minería de datos para ejecutar una plataforma publicitaria de microtargeting muy rentable.
Pero si eso es cierto, entonces estás enredando las funciones sociales básicas con su aparato de orientación publicitaria y diciéndole a las personas que no pueden tener un servicio social si no aceptan publicidad basada en intereses?
Podría respaldar un servicio con otro tipo de publicidad que no dependa de la vigilancia de antecedentes que erosione los derechos fundamentales de los usuarios. no ofrecerlo. Todo lo que puedes "elegir" es todo o nada. No hay mucha opción.
Facebook le dice a las personas que si quieren renunciar a su La orientación publicitaria debe borrar su cuenta, no es una forma de obtener un consenso significativo (y por lo tanto legal), ni un enfoque muy convincente para contrarrestar la crítica de que su negocio real es cultivar personas.
Los problemas en juego aquí para Facebook, y para el oscuro trasfondo de la minería de datos y la intermediación de la industria de la publicidad en línea en general, son claramente mucho mayores que cualquier escándalo de abuso de datos o cualquier categoría de datos confidenciales. Sin embargo, la decisión de Facebook de mantener los datos personales confidenciales de las personas para la orientación de anuncios sin solicitar el consentimiento por adelantado es una señal reveladora de algo realmente incorrecto.
Si Facebook no se siente seguro preguntando a sus usuarios si lo que están haciendo con sus datos personales es bueno o no, tal vez no debería hacerlo en primer lugar.
Al menos es un error de ética. Aunque el juicio final sobre la interpretación autónoma de Facebook de la política de privacidad de la UE tendrá que esperar a que los tribunales decidan.
