Facebook y Google, acusadas de incumplir la nueva normativa europea de protección de datos

Algunas fórmulas utilizadas para recabar el consentimiento del usuario no están cumpliendo el nuevo RGPD

Empresas de EE UU cierran su servicio hacia Europa temporalmente

La aplicación Messenger en un portátil.
La aplicación Messenger en un portátil.

Facebook, Google, Instagram y WhatsApp han sido ya acusadas de incumplir el nuevo reglamento europeo de protección de datos (RGPD). Y eso que apenas han pasado unas horas desde su entrada en vigor en toda la UE. La denuncia fue presentada este viernes por la ONG austriaca noyb.eu, dirigida por el activista Max Schrems, y en sus quejas argumenta que las empresas mencionadas no cumplen con la normativa porque han adoptado un enfoque de “tómalo o déjalo”, según informó la BBC. Es decir, que los clientes deben aceptar que sus datos sean recopilados, compartidos y utilizados para publicidad dirigida o eliminan sus cuentas.

El grupo pro privacidad sostiene que estos cuatro gigantes de internet no cumplen con las nuevas reglas porque obligar a las personas a aceptar una amplia recopilación de datos a cambio de usar un servicio está prohibido por el RGDP.

Borja Adsuara, abogado experto en Derecho Digital y ex director general de Red.es, confirma a CincoDías que, ciertamente, “el nuevo reglamento cuestiona que un consentimiento bajo la condición/coacción de darte de baja del servicio, si no no aceptas sus términos y condiciones de uso, sea un consentimiento libre. Por eso debe preverse la posibilidad de usar el servicio y no tener que consentir, obligatoriamente, a todo lo que te dicen”. Adsuara matiza, no obstante, que “no es una regla automática. Habrá de valorarse caso por caso”.

Las denuncias han sido presentadas ante los organismos de protección de datos de Francia, en el caso de Google; Bélgica (Instragam), Alemania (WhatsApp) y Austria (Facebook), para “facilitar la coordinación europea”. Las multas máximas a las que se enfrentarían estas compañías, si se confirmase que vulneran el nuevo reglamento europeo, van desde los 3.7 00 millones para Google a los 1.300 para las otras tres empresas demandadas. Y es que el RGPD fija, en casos extremos, sanciones de hasta 20 millones o el equivalente al 4% de los ingresos globales deanuales de la compañía en cuestión.

Más allá de estas denuncias, lo que se está viendo en estos últimos días es un auténtico alud de correos electrónicos en toda Europa de compañías que reclaman ansiosas el permiso de sus usuarios para recopilar, almacenar y tratar sus datos personales. Algunas empresas, incluso, reaccionando de forma exagerada. Pues como advierte Adsuara no todas las empresas necesitan pedir el consentimiento al usuario para hacer uso de sus datos, porque ya lo tienen. “Sólo han de hacerlo quienes no tenían un consentimiento expreso y específico (sino que usaban uno tácito y genérico)”, continúa el abogado, que apunta que en el nuevo reglamento existen otras bases legales para poder hacer un tratamiento de datos sin necesidad de recabar el consentimiento de los titulares. “Básicamente, el interés público de las administraciones y el interés legítimo de las empresas. Aunque éste último no puede estirarse como un chicle y debe reservarse para situaciones de imperiosa necesidad”, apunta.

“La mayoría de empresas se ha centrado en recabar el consentimiento, pero no parece que cumplan con todas las obligaciones
del reglamento”

Con todo, Adsuara resalta que no todas las fórmulas que se están empleando en los correos para recabar el consentimiento cumplen los requisitos del RGPD. “El silencio o la mera inacción (no contestar) no puede considerarse consentimiento. Hay que realizar una declaración expresa o un acto explícito y claro (marcar una casilla) que demuestre la voluntad inequívoca de que aceptas el tratamiento de tus datos”, sostiene este experto. Pese a ello, en muchos casos, las empresas se están limitando a explicar qué datos tienen de las personas, para qué los usan y advierten que si no se contesta al email dan por hecho que pueden seguir usando los datos.

Este viernes 500 millones de ciudadanos y 26 millones de empresas de la UE estrenaron el RGPD, pero Adsuara advierte que es imposible saber cuántas compañías están cumpliendo al 100% con el nuevo reglamento. “Por los correos que he recibido, me parece que la mayoría se han centrado en recabar el consentimiento para poder seguir enviando publicidad y newsletters. No creo que muchas empresas en España (y en la UE) cumplan con todas las nuevas obligaciones del RGPD”, señala. Entre estas está identificar al responsable y al encargado del tratamiento de los datos, y designar un delegado de protección de datos (esto último en los casos que sea necesario). Igualmente, deben asegurarse que los datos están seguros e incorporar la privacidad desde el diseño en los productos y servicios.

Mala planificación

Diferentes medios de comunicación estadounidenses, como el Chicago Tribune y LA Times, y algunos servicios de internet, como Instapaper, uno de los servicios más populares para leer artículos, han decidido suspender temporalmente su oferta en Europa tras la entrada en vigor del RGPD. Instapaper, propiedad de Pinterest y que permite el guardado de enlaces para su posterior lectura, ha advertido en un comunicado que los usuarios europeos no podrán hacer uso de la herramientas mientras se ajustan a la normativa. Ninguno da una fecha estimada de vuelta. Otras firmas que han hecho lo mismo son Unroll.me, Payver, Ragnarok Online o Tunngle, estas dos últimas de videojuegos. La mala planificación parece haberles jugado una mala pasada, pero prefieren cortar su servicio a exponerse a una multa abultada.

El RGPD se ha convertido en trending topic en Twitter estos días, y ha sido tema protagonista en múltiples eventos. Pero pese a la avalancha informativa sobre el tema en los últimos meses, el 75% de los ciudadanos españoles afirma no conocer el reglamento y muchas organizaciones, sobre todo pymes, afirman no saber qué hacer.

Normas