Artíulo publicado en la Edición Nº 9 – Octubre 2011 – de la Revista Digital ElDerechoInformatico.com. – Su autora es Tania Sagastume Bulnes-Bueso, Abogada-Magister en Derecho Empresarial- Universidad Católica de Chile. Superintendente de Valores y Otras Instituciones, Comisión Nacional de Bancos y Seguros de Honduras.
En el siguiente artículo se presenta un análisis de los principales aspectos de la política de seguridad de Facebook (FB), legislación vigente, así como medidas a implementarse por los usuarios de FB para proteger su información.
PRINCIPALES ASPECTOS DE LA POLÍTICA DE SEGURIDAD DE FACEBOOK (A Diciembre 2010)
a. Aspectos Generales
La política de seguridad de FB inicia señalando que es de exclusiva aplicación para ellos y no para aplicaciones o sitios web que utilizan su plataforma, Asimismo establece que no se crean cuentas a menores de 13 años y en caso de detectar un perfil de un menor de 13 años la cuenta se bloquea. Sobre este punto FB recalca la responsabilidad de los padres de enseñar a sus hijos menores a cumplir políticas mínimas de seguridad como no revelar contraseñas, pensar bien antes de realizar una publicación, aceptar solo solicitudes de personas que conozca, entre otras.
Un aspecto a resaltar es que su política contempla la posibilidad de que un padre les solicite acceder al perfil de un menor de 13 años pero debe acreditar mediante poder que es el tutor oficial. Asimismo puede solicitar la cancelación de la cuenta pero FB se reserva el derecho de hacerlo exclusivamente cuando compruebe razonablemente que en efecto se trata de un menor.
Por lo tanto para FB su política general es no abrir cuentas a menores de 13 años pero al no validar la información basta que un menor cambie su año de nacimiento y podrá crear su perfil, por lo que los padres son en última instancia los responsables del uso de internet por sus hijos menores de 13 años.
b. Manejo de la Información
FB señala que su objetivo es compartir información por lo que se recalca que si no quiere compartir información la remueva previo a incluirla en su perfil. Señala que es posible que la información de los pagos sea retenida por FB por lo que se recomienda asegurarse que se borre el número de cuenta.
La política también específica que cuando el usuario se conecte por computadora, celular u otro dispositivo es posible que FB obtenga información como tipo de browser, ubicación, dirección IP y páginas visitadas.
En cuanto a la relación con los anunciantes FB señala que pueden solicitarles que le detallen como los usuarios respondieron a un anuncio o si han interactuado lo que justifican como medio para medir la satisfacción del cliente.
Por lo tanto, FB expresamente declara su facultad de revelar información incluida en su perfil, información de cuenta usada en sus pagos, datos IP, así como interactuar con los anunciantes sobre su perfil como consumidor.
c. Información que se comparte en Facebook
En cuanto a la información que comparte un usuario la política señala que no hay opciones de privacidad en el nombre y la foto, pero que si cuenta con opciones de privacidad en cuanto personas que pueden ver su perfil, publicaciones en el muro, fotos, pero que dichas opciones deben ser configuradas por el usuario dentro de su perfil. Destacan que la falta de privacidad significa que su perfil sea accedido por cualquier persona, aunque no cuente con una cuenta de FB, ya que estará disponible en los buscadores de internet.
La política de FB es clara en que toda información pública a la que el usuario no le ha configurado perfiles de seguridad puede ser accedida por cualquier otro usuario de FB o por no usuarios cuando se utilicen buscadores.
d. Información que se comparte con terceros
En este punto se señala que cuando se usa aplicaciones y sitios web disponibles en la plataforma de FB. La información es disponible para otros lo que significa que terceros tiene acceso a la información de su perfil, pero que en ningún momento pueden asegura que el tercero no cometa violaciones a la política de seguridad de FB.
En cuanto su relación con terceros como proveedores FB señala que no puede asegurar el cumplimiento total por sus anunciantes así como que se reserva la facultad de compartir su información con anunciantes pre-seleccionados.
e. Uso de la información por Facebook
De acuerdo a lo establecido en la política la información en FB se utiliza para proveer servicios y mejorarlos, contactar al usuario, establecer publicidad orientada al usuario o cuentas comerciales. Asimismo enfatizan que la información se comparte al momento de realizar un pago con terceros con el único fin de procesar la transacción, al aceptar compartir información con un anunciante y para las herramientas de información pública.
f. Como se protege la información
Finalmente la política de seguridad de FB recomienda al usuario tomar medidas de seguridad como encriptación de información sensible, conciencia de que no hay seguridad impenetrable e importancia de denunciar cualquier violación de la política establecida.
Es indudable que después de una lectura profunda de la política de seguridad encontramos que existen ciertos aspectos de la misma que la hacen vulnerable tales como la no verificación de la cuenta de un menor, la seguridad depende de que el usuario configure sus opciones y la falta de garantía que terceros como anunciantes cumplirán la política de seguridad.
Un análisis más completo debe conducirnos a concluir que FB basa enteramente la política de seguridad en trasladar su responsabilidad a los usuarios. Pero esto nos debe llevar a plantearnos: ¿no debería FB hacer más? Para mí la respuesta es una sola SI, FB debe recordar que su responsabilidad es mantener el sitio seguro así como mantener la privacidad del usuario intacta, por mientras no vuelva a asumir dicho rol se continuara leyendo a través de los medios las diferentes fallas de seguridad que tiene FB, sus fallas son tan reales que recientemente ha ofrecido US$500.00 para todo aquel que pueda descubrir la existencia de fallas en su seguridad.
No obstante tal como lo abordaré en el siguiente apartado es importante conocer cuál es el marco legal regulatorio aplicable a FB conforme la normativa vigente en los Estados Unidos de América por ser el lugar donde está alojado FB. No obstante así como las políticas de seguridad se tornan complejas y confusas, también los marcos legales aplicables ya que existen situaciones en que no se viola la ley de los Estados Unidos pero si se viola la legislación de otros países, por ejemplo el caso actual en que la aplicación de reconocimiento facial viola políticas de Alemania pero no de Estados Unidos.
LEGISLACIÓN APLICABLE
En Estados Unidos no existe una ley de protección de los datos del consumidor a nivel federal, solo leyes específicas para datos que aplican a datos médicos, bancarios o gubernamentales, lo cual crea un alto riesgo legal ya que siendo ellos el país donde se alojan centros de datos de proveedores como FB resulta difícil regular las políticas de dicha empresa si no se cuenta con leyes de privacidad de los datos.
Lo anterior ha llevado a situaciones donde recientemente la Unión Europea que si cuenta con una Directiva acerca del tema estableció que exigirá a proveedores como FB cumplir con los requisitos de su Directiva.
La Directiva 95/46 de la Unión Europea sobre Protección de Datos se basa en los siguientes siete principios:
- Deber de notificación a los usuarios de la razón por la cual se ha recabado los datos;
- Facultad del usuario de decidir acerca de la finalidad y destino de los datos de carácter personal;
- Transferencia de datos exclusivamente a países que brinden un nivel adecuado de protección;
- Posibilidad del usuario de hacer efectivos sus derechos;
- Deber de adopción de medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, tratamiento o acceso no autorizado;
- Calidad de los datos; y,
- Establecimiento de mecanismos de resolución para asegurar el cumplimiento de la directiva.
Debido a la directiva anterior y con el fin de asegurar la participación de las empresas de Estados Unidos con el mercado comunitario europeo, en el año 2000 Estados Unidos y la Unión Europea celebraron un acuerdo basado en el principio de “Safe Harbor”, bajo lo cual se exime a las compañías norteamericanas de ser demandadas por infracción a la privacidad, a iniciativa de los ciudadanos europeos, si han comunicado al Departamento de Comercio o a una autoridad de protección de datos europeo que cumplieron con la directiva de protección de datos, en caso de falsa declaración pueden ser acusados de prácticas comerciales engañosas.
Sin embargo, tampoco se puede afirmar que la existencia de dicho convenio garantiza el efectivo cumplimiento de las políticas de privacidad en Estados Unidos ya que el año 2001 a raíz de los ataques a las Torres Gemelas se aprobó la Patriot Act que obliga a las empresas estadounidenses o aquellas que alojan sus centros de datos a proporcionar a las autoridades acceso a los mismos. Es decir que se ignora cualquier ley o convenio de privacidad de datos teniendo Estados Unidos libre acceso, sin notificar a nadie a cualquier información que está en los centros de datos ubicados en su territorio. En este punto debo señalar que la lucha recién inicia y debe dársele seguimiento en los próximos años.
No obstante alejado de los conflictos anteriores me parece importante señalar cual es la responsabilidad de las partes en la prestación de servicios mediante FB, para lo cual se asumirá que el dueño del perfil se ubica en España, por ser la Unión Europea la que cuenta con una Directiva clara sobre la materia.
Es así como en toda relación de “cloud computing” participan tres partes:
- El proveedor del servicio quien es el que presta el mismo, en el caso de la red social FB, el proveedor es FB;
- El abonado o cliente al servicio quien es la persona natural o jurídica que suscribe un contrato con el proveedor de servicios, es decir el usuario que crea un perfil en FB y al aceptar las condiciones de prestación del servicio suscribe un contrato con FB; y,
- El usuario final quien usa los servicios de cloud computing, que en el caso en mención es el mismo cliente.
Después de realizar un análisis de FB podemos concluir que el mismo maneja datos personales tales como correo electrónico, contenido de perfiles y direcciones de IP de sus usuarios, que la directiva europea ha definido como datos personales por lo que debe aplicarse dicha regulación. Asimismo debido a que el servicio se presta a un usuario localizado en un miembro de la UE el proveedor debe cumplir el marco legal vigente, donde siempre éste será responsable del tratamiento debido de los datos y facilitando el ejercicio de los derechos de los usuarios en el tratamiento de dicha información.
Sin embargo, no todos los casos son claros como el anterior y cada día evoluciona la materia por lo que la aplicación del marco legal vigente sigue siendo un reto que se continuará desarrollando en los próximos años.
RESPONSABILIDAD DEL USUARIO DE FB
Resulta difícil después de leer el complejo panorama de las políticas de seguridad de FB y la legislación vigente no llegar a la conclusión de que la mejor opción es no seguir en FB. Sin embargo, las redes sociales son una realidad y un medio eficiente de comunicación, por lo que antes de cancelar su cuenta de FB, el usuario debe tomar consciencia de su responsabilidad en la protección de su propia información. El usuario de FB debe saber que su protección no vendrá por políticas de seguridad o regulaciones sino vendrá por el hecho que él se empodere del papel que debe jugar en la protección de su información; así como el inversionista en mercado de valores asume su responsabilidad en el manejo de su dinero, el usuario de FB debe asumir su responsabilidad en el manejo de su información.
Es así como cualquier usuario que desee utilizar FB debe como mínimo implementar las siguientes configuraciones de privacidad en su perfil de FB, las que se explican plenamente en la página web http://www.allfacebook.com/facebook-privacy-settings-2011-02 las cuales se resumen así:
- Clasificar los amigos en grupos con configuraciones de privacidad determinadas;
- Modificar el acceso de ubicación;
- Removerse de búsquedas de FB;
- Removerse de buscadores públicos;
- Permitir solo a amigos “tag” en fotos y videos;
- Habilitar la seguridad https;
- Privacidad de la información de contacto;
- Privacidad de acceso al muro;
- Deshabilitar personalización instantánea; y,
- Deshabilitar información disponible en aplicaciones.
Asimismo con independencia de la implementación de políticas y opciones de seguridad, la verdadera prevención inicia con que el usuario entienda la importancia de su información y el papel fundamental que juega enproteger su información.
CONCLUSIONES
Las redes sociales son una realidad de un mundo que cada vez más se basa en las tecnologías de la información, pretender aislarse de dicho desarrollo no es una opción viable ya que significa un aislamiento del mundo, sobre todo en presencia de redes sociales como FB que agrupan alrededor de 600 millones de usuarios en continuo crecimiento. Alejarse de la existencia de FB lo aleja del mundo real, sin embargo el problema fundamental es como proteger la información personal que incluimos en un perfil de FB.
El principal paso que debe seguir todo aquel que decide utilizar FB es entender que los servicios de FB que el acepta se incluyen en sus políticas de seguridad la cual lastimosamente muy pocos usuarios leen, lo que les conduce a exponerse a posibles riesgos en el manejo de su información, pero sin contar con medidas preventivas para mitigar dicho riesgo.
Un análisis de las políticas de seguridad de FB nos revelan que presenta aspectos ambiguos tales como tratamiento de información de menores, por terceros usuarios y sobre el responsable del manejo de dicha información. Se podría entonces ante tal falencia recurrir a la legislación vigente la cual lastimosamente es ambigua ya que presenta brechas tales como Estados Unidos que no presenta una regulación nacional hasta Europa con una regulación estricta pero de difícil aplicación ante la realidad de proveedores de servicios, clientes y usuarios ubicados en jurisdicciones diferentes con regulaciones disimiles.
Lo anterior indudablemente conducirá a los países a buscar soluciones homogéneas, pero presenta una disyuntiva para el usuario, que es si debe esperar dicha regulación para beneficiarse de las redes sociales o debe asumir su responsabilidad como usuario en ser el protagonista en las acciones dirigidas a proteger su información.
La respuesta nos conduce a una sola realidad: el usuario se apropia de la responsabilidad de cuidar su información para lo cual adopta estándares mínimos de configuración de la privacidad y se beneficia de ser miembro de las redes sociales, basado en un solo principio: al único que le importa la privacidad de su información es a el mismo.
Fuente: ElDerechoInformatico.com