Las páginas de empresa en Facebook son ilegales

Tener una o varias páginas de empresa en Facebook es ilegal. Es la conclusión a la que ha llegado la autoridad de protección de datos de Noruega después de hacer su propia evaluación para decidir si, como organismo y responsable del tratamiento conjunto, podía utilizar las páginas de empresa en Facebook como canal de comunicación para la difusión de sus contenidos e informaciones.

Efectivamente, la autoridad de protección de datos noruega no ha emitido un informe general dictaminando la ilicitud, sino que, de forma alternativa, ha declarado que ella, como responsable del tratamiento, no puede concluir que sea lícito el uso de una página de empresa en Facebook desde una perspectiva de privacidad.

La referida autoridad constituyó un grupo de trabajo para realizar su análisis de riesgos sobre si el uso de esta red social cumpliría los principios y obligaciones del reglamento general de protección de datos y la conclusión ha sido contundente en sentido negativo.

En este sentido, ha sido contundente al afirmar que los riesgos que se asumen en las páginas de empresa en Facebook son graves, más aún, al tener en cuenta que el tratamiento de datos puede tener un gran impacto en múltiples aspectos pues incluye muchas categorías distintas de datos, también categorías especiales de datos e información sobre personas vulnerables; la información es grande y detallada y el número de sujetos es enorme.

Al considerar la naturaleza, el alcance, la finalidad y el contexto del tratamiento de datos, la autoridad noruega ha identificado graves riesgos para la privacidad, los derechos y las libertades de los interesados y concluye que:

• Es difícil para el interesado ejercer sus derechos en virtud del RGPD frente a Facebook
• El tratamiento de los datos personales se caracteriza por la imprevisibilidad
• Existe falta de transparencia frente al interesado
• El volumen de datos personales del interesado es grande y detallado.
• Hay incertidumbres sobre los períodos de almacenamiento, incluido el almacenamiento potencialmente permanente.
• El ámbito geográfico del almacenamiento es mundial, lo que incluye zonas fuera de la UE/EEE.
• Considera que los fines de Facebook son vagos, ambiguos y amplios, y que, en gran medida, se apartan de los fines que la autoridad de protección de datos ha definido para el tratamiento de los datos.
• Existen excesivas incertidumbres sobre si los datos personales se utilizarán para fines nuevos o alternativos.
• Las decisiones que se pueden tomar sobre el sujeto de los datos podría tener consecuencias para el interesado y las decisiones sobre el interesado se basan en análisis sistemáticos y exhaustivos de sus datos personales, lo que excedería los propios fines de la autoridad de datos como controlador conjunto.

El resultado de la evaluación en cuanto al control conjunto de las páginas de empresa en Facebook es negativo también dado que se concluye que no existen garantías de que el responsable de protección de datos tenga algún nivel de control conjunto sobre el uso que hace la red social de los datos personales de los usuarios que visitan las páginas de empresa en Facebook. Concretamente, se estima que el responsable del tratamiento sólo cumpliría parcialmente el artículo 26, apartados primero y segundo, del reglamento general de protección de datos y, en cambio, en ningún caso cumplirá con el artículo 26 (3) del GDPR.

En cuanto a la necesidad y proporcionalidad del tratamiento, no existirían garantías legales suficientes por parte de la red social porque el responsable del tratamiento estaría a merced de Facebook y de sus términos y condiciones al crear y utilizar una página en la plataforma que, por otra parte, la red social puede cambiar en cualquier momento a su sola voluntad.

Se considera, además, que la plataforma social no es fiable y, más bien, es poco transparente. Particularmente, Facebook puede editar y eliminar el contenido a su discreción, sin embargo, no estaría claro si los datos se eliminan también de los sistemas subyacentes de Facebook, o si permanecen allí incluso después de que el responsable del tratamiento los haya eliminado, y ya no son visibles para el usuario.

En general, por otra parte, se considera que:

• Los propósitos de Facebook son amplios, vagos y exhaustivos y sería difícil para los interesados saber qué esperar del tratamiento posterior.
• El propietario de una página no tiene ninguna influencia sobre lo que Facebook recoge en términos de metadatos, datos de observación y datos derivados cuando interactúan con la página.
• Será difícil para los usuarios verificar que sus datos personales son correctos.
• Que existen incertidumbres relacionadas con los períodos de almacenamiento reales de Facebook y otras asociadas a la forma en que Facebook protege los derechos y libertades de los interesados.
• Se cuestiona la posibilidad real y plena de ejercer varios de los derechos del interesado en virtud del RGPD frente a Facebook ya que el responsable del tratamiento no tiene acceso ni influencia sobre el tratamiento posterior de los datos personales por parte de Facebook y, en consecuencia, tampoco tiene acceso ni influencia sobre los procesos que puedan poner en riesgo los derechos de los interesados.
• Se considera que es muy probable que las actividades de tratamiento asociadas a una página de Facebook no cumplan los requisitos de la protección de datos desde el diseño y por defecto.

En cuanto a la falta de transparencia de Facebook (Artículo 5, 1, a) del RGPD), no hay certidumbre sobre diversos aspectos en juego que ponen en riesgo los derechos de los interesados. En concreto: sobre cómo salvaguarda de los principios de privacidad; el grado de complejidad del tratamiento; a quién revela Facebook los datos, los flujos de datos generales, el software y los algoritmos utilizados, y cómo se toman las decisiones; el alcance y secuencia de la cadena de actividades de tratamiento; cuántos datos tiene realmente Facebook en su poder, y cómo pueden utilizarse estos datos para influir en el interesado, titular de los datos.

La conclusión es que las páginas de empresa en Facebook conllevan un alto riesgo para los derechos y libertades de los interesados  y que no existe capacidad del responsable del tratamiento (Aquí la autoridad nacional de supervisión de datos noruega) para influir o cambiar dicho riesgo. Dado que el derecho a la protección de datos personales es un derecho fundamental, el impacto que puede causar en el interesado es crítico.

En definitiva, una página corporativa de Facebook no reuniría las suficientes garantías de transparencia, licitud, lealtad, minimización de datos; conservación limitada y otros principios de protección de datos consagrados en los artículos 5 y concordantes del Reglamento General de Protección de Datos Personales y que el responsable del tratamiento no tiene capacidad alguna para determinar medios, fines y alcance de los tratamientos cuando interactúa con la plataforma de Facebook.

En opinión de este bufete, pese a que el análisis de los hechos es minucioso y detallado, echamos en falta una distinción entre usuarios registrados y no registrados sobre cómo afectaría el tratamiento de datos de una página de empresa en Facebook, pues en el caso de usuarios registrados existe un consentimiento previo e independiente a todas las funcionalidades de la red social, lo que incluiría las páginas de empresa. Por o tra parte, si se asume la premisa afirmada por la autoridad noruega de protección de datos de que un responsable de tratamiento carece de influencia en la determinación de medios y fines en las páginas de empresa frente a Facebook, esto implicaría que, entonces no pueden considerarse controladores conjuntos sino separados lo que salvaría las responsabilidades del responsable que quedarían limitadas a lo que acontezca y realice como tal en la página de empresa de Facebook, que quedaría limitada a una herramienta prácticamente, y que, al menos en relación a los usuarios registrados, el responsable no tendría que ocuparse de más puesto que la base del tratamiento de Facebook es el consentimiento y está otorgado de forma previa por el usuario ya que este acepta las condiciones de toda la red social, no unas nuevas cuando decide seguir una página concreta. Respecto a los usuarios no registrados que accedan a la página pública de empresa en Facebook de un responsable, probablemente pueda aplicarse por analogía, mediante la aceptación de cookies, lo afirmado en relación a los usuarios registrados.

Dado el impacto que puede tener una conclusión como la alcanzada por la autoridad noruega de protección de datos, y habiendo dudas sobre la validez de las mismas, sería deseable un análisis conjunto con las restantes autoridades europeas de privacidad mediante los mecanismos previstos de unificación y armonización y a la vista de que las redes sociales tienen un alcance global.

En todo caso, esta decisión podría cambiar por completo el panorama de las estrategias de márketing digitales de las organizaciones que, prudencialmente, deberían analizar y, en su caso, desactivar provisionalmente sus páginas en la referida plataforma social para un análisis de riesgos sobre las que puedan tener abiertas en esta u otras redes sociales análogas. Para realizar este y otros análisis puede contar con nuestro servicio de asesoramiento en protección de datos personales pues, como se puede apreciar, el análisis de riesgos requiere evaluar el impacto que el uso de una tecnología tendría sobre un derecho fundamental de los ciudadanos.