Resolución contra Facebook en Canadá

facebookHace más de un año el Canadian Internet Policy and Public Interest Clinic (CIPPIC) denunció a Facebook ante la autoridad de protección de datos de Canadá, el Privacy Commisioner. Hoy se han publicado las conclusiones, donde se le concede a la red social treinta días para aceptar e implementar las recomendaciones que se le hacen, o podrá terminar en los tribunales para que le obliguen a hacerlo.

Entre otras cosas se ha detectado que:

– las explicaciones que se dan sobre privacidad son confusas e incompletas;

– aplicaciones de terceros: se permite a los desarrolladores acceder a datos que no les son necesarios, y se da poca información a los usuarios cuando las utilizan;

– cuando se cancela una cuenta Facebook retiene información personal. La autoridad considera insuficiente la explicación que se le ha ofrecido distinguiendo entre “borrado” y “desactivación” de las cuentas;

– el etiquetado de fotografías de terceros no usuarios, y la cesión de las direcciones de correo electrónico por parte de los usuarios a Facebook (“recomienda a un amigo”) han sido dos de los puntos más duros, puesto que la empresa se ha negado a regularlos.

Canadá es uno de los países modélicos en protección de la privacidad, y habrá que ver si es capaz de corregir a Facebook, si es que no cumple con la resolución.

Vaya viaje

eurosSi navegamos por webs que tengan tienda en línea veremos cómo la mayoría de ellas no tienen un clausulado claro relativo a protección de datos. Suelo decir que esto sólo es la punta del iceberg, puesto que si esa empresa no ha sido capaz de colocar unas líneas para informar a sus clientes sobre lo qué hace con sus datos, basta imaginar lo que no hace en la trastienda… Pero la probabilidad de que un consumidor denuncie a una empresa por incumplir el deber de información en la web es muy baja.

En la web de la Agencia Española de Protección de Datos puede verse una de las últimas resoluciones sancionadoras, la R/00189/2007, donde es la mismísima Subdirección General de Servicios de la Sociedad de la Información quien denuncia a la empresa titular de una web, en principio por no tener declarados los ficheros al Registro General de Protección de Datos.

Es espectacular cómo a partir de ahí la Inspección va desgranando lo que parece simplemente una falta de declaración. ¿Una web que vende on-line? Si, y con contrato con otra empresa que le suministra de una pasarela de pagos, con contrato firmado y todo, pero sin cumplir lo estipulado en el art. 12 LOPD. Como muchas webs de empresas españolas, alojamiento en Estados Unidos… De lo más corriente.

En un abrir y cerrar de ojos, la empresa, una Sociedad Limitada, se encuentra con la friolera cifra de 302.214,12 € en sanciones:

– no informar de modo previo a la recogida de datos, 601,01 €

– no solicitar la inscripción de sus ficheros, 601,01 €

– ceder los datos de sus clientes sin su consentimiento a un tercero, 300.506,05 €

– no solicitar autorización a la AEPD para realizar una transferencia internacional de datos, 300.506,05 €

Hala, a cerrar.

¿Tan complicado hubiera sido a la hora de poner a funcionar el negocio haberse informado de lo que es necesario? No es tan complejo, ni tan caro. Las empresas que tengan webs de este tipo, a espabilar, no vaya a ser que la susodicha Subdirección o algún ocnsumidor “malo, malo, malo” les denuncie.