En los tiempos que corren es difícil no ser conocedor de la existencia de las aplicaciones de citas, las cuales, sin lugar a duda, están revolucionando el entorno digital, así como la manera de relacionarnos entre los seres humanos.
A tenor de la reciente noticia, relativa a la publicación de miles de fotografías de los usuarios de la aplicación Tinder en diversos foros de internet, en el presente artículo, en el que tomaremos como base el Informe “OUT OF CONTROL: How consumers are exploited by the online advertising industry” (“FUERA DE CONTROL: Cómo los consumidores son explotados por la industria de la publicidad online”, disponible en inglés) elaborado por el Consejo de Consumidores de Noruega, así como las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD, adoptadas el 3 de octubre de 2017 por el Grupo de Trabajo del Artículo 29 (“GT29”, y actual Comité Europeo de Protección de Datos), analizaremos cómo Tinder, una de las aplicaciones más populares de citas y encuentros, que cuenta con más de 100 millones de descargas, estaría vulnerando algunas de las exigencias y principios en materia de protección de datos que recoge el Reglamento Europeo de Protección de Datos (en adelante, RGPD). Además, trataremos de explicar cómo debe proceder la industria de las “apps”, para cumplir con la normativa vigente en esta materia.
Procedemos a dividir el presente análisis de la aplicación Tinder en los siguientes apartados:
- Elaboración de perfiles que realiza la aplicación a sus usuarios.
- Legitimación del tratamiento de los datos de sus usuarios.
- Principios de la normativa en materia de protección de datos.
ELABORACIÓN DE PERFILES
La aplicación de citas y encuentros Tinder realiza perfilado de sus usuarios mediante diferentes medios de tecnología publicitaria, con el fin de mostrarles publicidad dirigida y personalizada, procediendo a una previa categorización de los mismos.
El artículo 4.4 RGPD define el concepto de elaboración de perfiles como “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.”
Asimismo, el Reglamento faculta a toda persona física a oponerse a este tratamiento automatizado de sus datos, indicando en su artículo 22.1 que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”
Con carácter general, el interesado tiene derecho a no ser objetivo de decisiones basadas en tratamientos automatizados, donde encontramos la elaboración de perfiles, siempre y cuando no concurran las excepciones recogidas en el artículo 22.2 RGPD:
- Ejecución de un contrato.
- Autorizado por el Derechos de la Unión o de los Estados Miembros de la UE.
- Consentimiento explícito del interesado.
Del contenido de la Política de Privacidad de Tinder, que en los siguientes puntos también analizaremos, no podemos considerar que se indique de manera clara, cuál de las excepciones previstas en el artículo 22.2 RGPD, aplica Tinder para realizar perfilado de sus usuarios.
LEGITIMACIÓN DEL TRATAMIENTO
La política de privacidad de la aplicación establece que las bases legitimadoras del tratamiento de los datos que la aplicación recaba de sus usuarios son los siguientes:
- Consentimiento: con el fin de utilizar la información de los usuarios para razones específicas (no se detallan más cuestiones al respecto). También se da la opción al usuario de retirar el consentimiento en el momento que así desee.
- Interés legítimo: a la hora de analizar el comportamiento de sus usuarios sobre sus servicios para sugerirles y mejorarles ofertas que les puedan ser de su interés.
En relación con el consentimiento podemos observar que la aplicación Tinder no estaría cumpliendo con las exigencias dispuestas en la normativa a tal efecto, las cuales, tal y como señala el artículo 4 apartado 11 RGPD, deberá ser en todo caso una “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa”, el tratamiento de sus datos. Igualmente, en el considerando 32 se establece la obligación de dar el consentimiento para cada uno de los fines del tratamiento, cuestión que podemos comprobar que no se realiza, al ser cada una de las filiales responsables en el tratamiento de los datos que recaban, y no otorgarse consentimiento para dichas cesiones de datos.
En la propia política de privacidad de Tinder, se indica que la aplicación compartirá “cierta información de los usuarios con proveedores de servicios y socios que nos asisten en la operación de nuestros servicios, como otras compañías de Match Group y, en algunos casos, con las autoridades legales.” Podemos inferir, por tanto, que la empresa podrá ceder sus datos a más de las 45 empresas pertenecientes a Match Group, compañía que pertenece y opera con datos de sitios web, entre los que se encuentra la citada aplicación.
En relación con la configuración publicitaria, a día de hoy y no en todos los inicios de sesión, podemos observar en la parte inferior de la pantalla, junto con la exigencia de verificación de tu correo electrónico para una mayor seguridad, que también la aplicación te da la opción de recibir noticias, actualizaciones y ofertas de Tinder. Lo que resulta destacable a este respecto es la cuestión de que la casilla se encuentra previamente marcada, lo que estaría atentando contra las exigencias dispuestas en el RGPD, donde, en su artículo 4.11) dispone que el consentimiento del interesado se deberá otorgar mediante una clara acción afirmativa, que refleje una manifestación de voluntad libre, específica, informada e inequívoca. En ningún caso la casilla podrá encontrarse previamente marcada, tal y como podemos comprobar que se dispone en algunos casos, al inicio de sesión en la aplicación.
Consideramos también importante analizar la cuestión relativa al interés legítimo que puede llegar a tener la entidad para el tratamiento de los datos de sus usuarios, puesto que, en la política de privacidad no se indica ninguna cuestión adicional relativa a esta legitimación.
En la Guía para el cumplimiento del deber de informar elaborada por la AEPD se indica que cuando el tratamiento por parte del responsable sea necesario para la satisfacción de intereses legítimos, se deberán explicitar dichos intereses. Además, continúa señalando la propia Guía que “se considera una buena práctica incluir un resumen de la ponderación de su legitimidad frente a los intereses y los derechos y libertades fundamentales del interesado, cuando ello contribuya al principio de transparencia”.
Asimismo, el Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE (Directiva derogada desde la fecha de aplicación del RGPD), adoptado el 9 de abril de 2014 por el GT29 establece que, para que un interés pueda considerarse legítimo, deberá:
- Ser lícito (conforme a la legislación nacional y de la UE).
- Ser suficientemente claro y concreto para permitir que su ponderación se realice en contraposición a los intereses y los derechos fundamentales del interesado.
- Representar un interés real y actual.
A continuación, deberemos determinar si el tratamiento es necesario para conseguir los fines perseguidos, debiendo considerar si existen o no otros medios menos intrusivos para conseguir la finalidad del tratamiento.
Seguidamente, se deberá establecer un equilibrio provisional valorando si los intereses del responsable de tratamiento (en este caso, los intereses de Tinder), prevalecen o no sobre los intereses y/o los derechos fundamentales de cada uno de sus usuarios, debiendo:
- Evaluar la naturaleza de los intereses del responsable.
- Evaluar los perjuicios que tanto el responsable como terceros pueden sufrir si el tratamiento de datos no se realiza.
- Analizar la naturaleza de los datos (comprobar si el responsable puede llegar a tratar o no datos especialmente protegidos)
- Tener en consideración tanto la posición del usuario como del responsable.
- Comprobar cómo se tratan los datos, si se tratan datos o no a gran escala, si se realiza elaboración de perfiles de los usuarios, etc.
- Identificar los derechos fundamentales de los usuarios que se pueden ver afectados y considerar sus expectativas razonables.
Realizar una evaluación de las repercusiones que puede llegar a tener para el interesado el tratamiento de sus datos y compararlas con el beneficio previsto por el responsable, en este caso, la entidad.
Además, se deberán aplicar garantías adicionales para lograr alcanzar un equilibrio final, debiendo aplicarse el principio de minimización de datos (limitar tanto la recogida indiscriminada de datos de los usuarios, así como eliminación de los mismos en el momento que dejen de ser necesarios para el fin para el que fueron recabados), uso de técnicas de anonimización, aumento de transparencia, así como facilitar a los interesados el otorgamiento de los derechos que les confiere la normativa en materia de protección de datos.
Por todo lo anteriormente expuesto, podemos comprobar que la aplicación también estaría incumpliendo el requisito necesario de ponderación del tratamiento de datos de sus usuarios amparado en el interés legítimo, al no establecer ningún criterio de ponderación a tal efecto.
Como última apreciación en lo que a la legitimación del tratamiento se refiere, también debemos recordar que la aplicación Tinder, tal y como detalla en su política de privacidad, puede llegar a recopilar datos sensibles o especialmente protegidos, como, por ejemplo, el origen racial o étnico, orientación sexual y creencias religiosas, siempre facilitadas por el usuario, una vez más, sin dejar claro al usuario en base a qué habilitación se llevan a cabo tales tratamientos.
PRINCIPIOS DE LA NORMATIVA EN MATERIA DE PROTECCIÓN DE DATOS
A la hora de iniciar sesión, y dentro del propia cuenta de usuario podemos comprobar que la aplicación no proporciona ninguna opción de configuración de privacidad.
Ello estaría atentando contra el principio de protección de datos desde el diseño y por defecto, regulados en el artículo 25 RGPD y considerando 78, que determinan la obligación del responsable del tratamiento de cumplir los requisitos y principios del Reglamento, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, adoptando las medidas técnicas y organizativas pertinentes, como la minimización de datos, o la seudonimización de los mismos. A mayor abundamiento, el responsable deberá adoptar tales medidas a fin de garantizar que, por defecto, los datos no sean accesibles ni tratados si la persona no lo hubiese así determinado.
Además, tal y como se recoge en las Directrices del GT29, todo tratamiento consistente en elaboración de perfiles, deberá cumplir con los principios recogidos en la normativa en materia de protección de datos que dispuestos en el artículo 5 RGPD:
- Principios de licitud, lealtad y transparencia.
- Limitación de la finalidad.
- Minimización de los datos.
- Exactitud de los datos.
- Limitación del plazo de conservación.
Es destacable señalar el incumplimiento de la aplicación del principio de limitación de la finalidad, recogido en el artículo 5.1 apartado b) RGPD, que señala que los datos serán “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (…), al observar que la entidad está cediendo los datos de los usuarios a las empresas pertenecientes a Match Group y no especificar explícitamente la finalidad del tratamiento de cada una de las entidades.
A este respecto, deberá ser el responsable del tratamiento de estos datos, eso es, la empresa Match Group, quien establezca las medidas técnicas y organizativas adecuadas de cara a salvaguardar y garantizar los derechos y libertades de los usuarios de la aplicación.
A modo de resumen, y a tenor de lo anteriormente dispuesto, podemos comprobar que la aplicación de citas y encuentros Tinder:
- No informa de manera clara y transparente al usuario de que sus datos se están compartiendo con terceros que no son proveedores de servicios en el marco del consentimiento otorgado para con la aplicación.
- No ofrecen al usuario ninguna opción de ajuste o configuración en la propia aplicación para evitar o reducir el intercambio de datos con terceras entidades.
- No informa de manera clara al usuario en el marco del consentimiento otorgado para con la aplicación de que los datos compartidos con terceras entidades se utilizarán con fines de perfilado de usuarios, donde se les harán llegar anuncios y publicidad personalizada a su perfil.
