En nuestros tiempos una parte esencial del mundo de las comunicaciones son las Redes Sociales (RRSS), en las que todo se comparte. Tanto es así, que hay muchos usuarios que no son conscientes de los riesgos a los que quedan expuestos una vez que publican su información en las plataformas sociales, tales como Facebook, Instagram, etc. Uno de los riesgos de esta sobreexposición actual es el hecho de que tanto ciberdelincuentes como las propias multinacionales que se encargan de la gestión de las plataformas intenten aprovechar esos datos de carácter personal y explotarlos en beneficio propio.

Precisamente algo similar ocurrió en el año 2015 cuando un grupo de ciudadanos de la ciudad de Illinois comenzaron a cuestionar las prácticas utilizadas por Facebook. En concreto, en este caso, la red social estaba utilizando una nueva técnica de reconocimiento facial, a través de la cual se identificaba de forma automática a las personas que aparecen en las fotografías como "sugerencias para etiquetar".

¿Cómo funciona esta técnica?

En primer lugar, cuando un usuario de Facebook subía una fotografía gracias al reconocimiento facial se le indicaban las sugerencias de las personas con las que aparecía para poder etiquetarlas directamente, siempre y cuando estas fuesen amigos suyos en la red o amigos de sus amigos.

Una vez que la persona que sube la fotografía decide etiquetar a los usuarios sugeridos éstos recibían una notificación en su perfil de esa etiqueta y de la publicación en su biografía.

Hasta aquí, seguramente esta información resulte muy común dado que es una funcionalidad que todos los usuarios de Facebook conocen y puede resultar hasta “cómoda” y práctica a la hora de etiquetar a las personas con las que compartes tus momentos y fotografías.

Es en este punto donde nos preguntamos: ¿Dónde queda la privacidad de esas personas? ¿Qué normativa se encarga de regularlo?

Para una correcta respuesta, lo primero es determinar qué tipo de datos de carácter personal está tratando Facebook en el supuesto de estudio de este artículo, y tal y como hemos indicado con anterioridad al tratarse de una técnica basada en el reconocimiento facial, estamos por tanto ante un tratamiento de datos biométricos.

Establecido lo anterior, analizaremos brevemente la normativa que nos protege a nosotros junto con la aplicada en el caso concreto de estudio:

  • Normativa a nivel europeo:

El Reglamento General de Protección de Datos europeo (RGPD), define los datos biométricos de la siguiente forma (artículo 4.14):

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos

A mayor abundamiento, el RGPD, concretamente en su artículo 9, eleva estos datos personales a la característica de “especialmente protegidos”, por lo que se si se quiere realizar el tratamiento de éstos, el responsable ha de cumplir con una de las bases jurídicas indicadas a lo largo del punto 2, que realmente se identifican como excepciones a la prohibición del tratamiento de este tipo de datos.

En el caso que nos atañe y en base a la normativa europea solamente se podría  haber aplicado la excepción del artículo 9.2.a), esto es, contar con el consentimiento explícito del interesado.

  • Normativa de Illinois:

En concreto, en el Estado de la controversia, cuentan con la Ley de Protección de Datos Biométricos (BIPA), que fue aprobada en 2008, precisamente para luchar contra la recogida y almacenamiento ilegal de información biométrica.

La ley referenciada requiere un consentimiento explícito para que las empresas recopilen marcadores biométricos de sus clientes, incluidas las huellas dactilares y los modelos de reconocimiento facial.

En base a la indicada normativa, los usuarios de Facebook y ciudadanos del Estado de Illinois presentaron una demanda colectiva alegando que la plataforma violó la BIPA cuando estaba escaneando imágenes de sus caras, sin su consentimiento, con el fin de utilizarlas para su herramienta de sugerencias para etiquetar.

Finalmente, después de una disputa judicial de casi cinco años, hace unas semanas la compañía que dirige Mark Zuckerberg informó de que se había llegado a un pacto con los demandantes. En dicho acuerdo extrajudicial se les ofrece pagarles 550 millones de dólares por haber usado sus datos biométricos sin permiso para sistemas de reconocimiento facial.

Pero ¿qué está haciendo Facebook actualmente con el reconocimiento facial?

Publicado en Blog

Sanción histórica a LaLiga: 250.000€ por 'espiar' con tu móvil en busca de piratería”; “La AEPD multa con 250.000 euros a LaLiga por la app que usa el micrófono de los móviles” estos son algunos de los titulares que hace unas semanas inundaban los medios de comunicación con motivo de la sanción que la Agencia Española de Protección de Datos (AEPD) impuso a La Liga Española de Futbol (en adelante LALIGA).

Sin embargo, durante este tiempo los profesionales de la privacidad nos hemos mantenido expectantes a la espera de la publicación de la resolución sancionadora por parte de la AEPD, para poder analizar cuáles son los fundamentos de la autoridad española de protección de datos.

Pues bien, la ansiada resolución finalmente se ha hecho pública esta semana, y sin lugar a duda supondrá un punto importante en lo que a interpretación de la norma se refiere.

De la extensa resolución sancionadora, debemos extraer como punto fundamental, que la autoridad española de protección de datos considera que LALIGA ha vulnerado el artículo 5.1 del Reglamento General de Protección de Datos (en adelante RGPD), en lo que respecta al principio de transparencia:

“Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)”

Para comprender por qué la AEPD ha llegado a esta determinación, debemos analizar los siguientes puntos de controversia entre la entidad sancionada y la autoridad de protección de datos:

¿Trata la AppLiga datos personales?

Uno de los asuntos que se sitúa en el lugar principal de controversia es la determinación de si el aplicativo del que La Liga es titular, trata datos de carácter personal. Es imprescindible que sea este uno de los puntos centrales en los fundamentos de derecho, toda vez que, de no existir un tratamiento de datos personales, no tendrían cabida el resto de fundamentos que ahora componen la resolución. Para defender su postura, se argumentan las siguientes cuestiones:

Publicado en Blog

Actualmente, detrás de la mayoría de los servicios web en los cuales se nos presta un servicio totalmente gratuito, nos encontramos con que, a cambio de esto, en la mayoría de los casos se rentabiliza la información de los usuarios, recogida a través de servicios de marketing, los cuales dirigen campañas de publicidad personalizadas por quien desea publicitar un producto o servicio.

Por lo tanto, además de identificar al usuario y realizar un seguimiento y recopilación de sus datos, se le perfila con la finalidad de poder maximizar la eficacia de la publicidad que se nos ofrece.

Una de las técnicas de seguimiento, ya conocida por todos, son las cookies, las cuales como ya sabemos, se trata de archivos creados por un sitio web, que contienen pequeñas cantidades de datos y que se envían entre un emisor y un receptor. A este respecto referenciamos una serie de artículos de nuestro blog que pudieran ser de interés, para conocer más sobre el tema pincha en los siguientes aquí y aquí. Sin embargo, nos encontramos ante un mercado muy dinámico, por lo que los diversos agentes implicados en el mercado de internet no cesan en la investigación de nuevas formas de recopilación y explotación de datos de los usuarios.

¿Cuáles son estas nuevas técnicas de seguimiento? En concreto en este artículo nos centraremos en el análisis de la técnica del fingerprinting.

El fingerprinting o la huella digital del dispositivo es una recopilación sistemática de información sobre un determinado dispositivo remoto con el objetivo de identificarlo, singularizarlo y, de esa forma, poder hacer un seguimiento de la actividad del usuario con el propósito de perfilarlo.

Es decir, la huella digital del dispositivo es un conjunto de datos extraídos del terminal del usuario que permiten individualizar de forma unívoca dicho terminal.

Cabe añadir, que las técnicas de identificación mediante huella digital del dispositivo se llegan a describir como “cookieless monster”. Esto es así, dado que no es necesario instalar ningún tipo de cookie en el dispositivo para recoger toda la información del usuario, y si esto sucede de forma totalmente transparente al usuario, éste no puede tomar medidas para evitarlo.

En relación con la obligación de información, que encontramos regulada en el art.22 de la Ley de Servicios de la Sociedad de la Información (en adelante, LSSI), es habitual encontrar en los sitios web y aplicaciones cláusulas de privacidad específicas, que permiten al usuario dar su consentimiento para el uso de cookies. Sin embargo, no es tan común en la actualidad encontrar información para el usuario sobre el uso de técnicas basadas en la huella digital para el perfilado del usuario.

Atendiendo a esta información, existen numerosas propiedades que se pueden recopilar de un dispositivo a través del navegador web y que permiten recoger información suficiente para que, en determinadas situaciones, se pueda identificar unívocamente al terminal, como hemos mencionado antes.

Algunas de las características del terminal que se pueden recoger mediante el navegador web y que pueden contribuir a la obtención de una huella digital de un dispositivo como son, por ejemplo:

 -El tipo, versión y configuración personal del navegador.
 - Información sobre las aplicaciones instaladas.
 -Idioma.
 -Zona horaria.
 -Dirección IP.

En base a esto, la Agencia Española de Protección de Datos (en adelante, AEPD) ha redactado un estudio sobre este tema, si quieres visualizarlo integro pincha aquí , en el cual nos habla en uno de sus puntos del nivel de identificación que puede alcanzar esta técnica, en el cual hace referencia a lo siguiente:

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal