Amazon y Facebook reprueban examen de cumplimiento de reglas sobre datos de usuarios

Camisas y corbatas. Cajas de vino. Libros, cordones de zapatos, pantalones impermeables y pósters. Llamadas telefónicas y correos electrónicos. Una década de compras en supermercados, fotografías, opiniones, me gusta y redes de amistad. Sin mencionar salario, edad, dirección, pensión y solicitudes de empleo. Esa es solo una pequeña selección de la información personal almacenada por retailers, grupos de redes sociales, empleadores y proveedores de telecomunicaciones.

Durante años, hemos entregado nuestros datos personales a empresas y luego lo hemos olvidado. Y la mayoría ignoramos lo que hacen con nuestros datos y cómo algunos los venden.

Entonces, ¿cómo podemos averiguarlo? ¿Y qué sucederá cuando las normas de la Unión Europea, que entran en vigor en menos de cuatro meses, otorguen a los ciudadanos mayor poder para ver y controlar sus datos personales?

Respuesta a prueba

FT puso a prueba a media docena de empresas para ver qué tan bien cumplían con las normas de la Ley de Protección de Datos del Reino Unido de 1998 y qué probabilidades tenían de estar preparados para el Reglamento General de Protección de Datos (GDPR, su sigla en inglés), que entra en vigor el 25 de mayo.

FT les envió las llamadas “solicitudes de acceso” (SAR, su sigla en inglés), un requerimiento por escrito de individuos para ver una copia de la información que una organización tiene sobre ellos, usando una carta modelo del sitio web de la Comisión de Información del Reino Unido.

Existe la suposición de que las grandes empresas que acostumbran a manejar datos y que pueden pagar equipos de protección informática probablemente estén más preparadas para cumplir con las nuevas regulaciones. Pero en la experiencia del FT, fue todo lo contrario. Dos grandes compañías –Amazon y Facebook– no respondieron a las solicitudes por escrito. Facebook también omitió una segunda solicitud por correo electrónico.

En vez de eso, la página de la red social ofrece una función de "descarga tu información", que produce un archivo que contiene anuncios en los que se haya hecho clic, amigos aceptados (o eliminados), todo lo publicado en la línea de tiempo, historial de inicios de sesión, dispositivos usados y direcciones IP que muestran la ubicación de los dispositivos, así como información no explicada sobre cookies, cambios de contraseña y "puntos de verificación completados".

Al preguntársele por qué no había respondido al SAR, la compañía dijo: "las personas pueden acceder a los datos de su cuenta en muchos lugares en Facebook, incluido 'descarga tu información', el registro de actividad y su perfil. Proporcionamos información sobre las formas en que usamos los datos en nuestra política de datos y en otros lugares en Facebook".

Amazon proporciona una dirección postal del Reino Unido en su sitio web, aunque no parece que esto sea específicamente para solicitudes de datos personales. Cuestionada sobre por qué no había respondido a la solicitud publicada, Amazon dijo que no la había recibido y pidió otras 48 horas para responder. Los datos tampoco llegaron en ese tiempo.

Respuestas rápidas

Por el contrario, Majestic Wine, un minorista de bebidas, y Charles Tyrwhitt, una compañía de ropa, respondieron con creces dentro del plazo legal. La tecnológica Apple y Aimia Coalition Loyalty Ltd, más conocida como Nectar, una compañía de tarjetas de fidelidad, también respondieron rápidamente.

"Está claro que se han logrado grandes avances en la preparación de GDPR", dijo Rohan Massey, jefe de la práctica de seguridad y ciberseguridad en el buffet legal Ropes and Gray, que revisó las respuestas de SAR de las empresas. "Pero todos los negocios tienen su propia interpretación y se encuentran en diferentes etapas del proceso".

Gran parte de la información proporcionada por Majestic, Charles Tyrwhitt y Nectar era la esperada: nombre, dirección, correo electrónico y listas de transacciones.

Los datos proporcionados por Apple fueron más complejos. Un archivo marcado como "registros de iCloud" presentaba un historial de cada momento de acceso a una página web marcada, contactos, calendario y la función “Buscar mi iPhone”, incluido el dispositivo utilizado (un total de 3.314 puntos de datos).

Pero estos eran de sólo un mes desde el día en que la compañía suministró la información. Apple afirmó: “Si usted usa iCloud, notará que tenemos períodos de retención extremadamente cortos (…) Le hemos proporcionado todos los datos que teníamos disponibles en el momento en que procesamos su solicitud en nuestros sistemas ".

Otro archivo proporcionó un historial de 123 compras de iTunes, incluidas aplicaciones, música y datos adicionales, más 1.296 actualizaciones de esas aplicaciones.

El experimento

En general, si bien algunas empresas eran claramente conscientes de sus obligaciones, las respuestas fueron erráticas y la mayoría no respondieron de forma integral a las SAR.

Según la Oficina del Comisionado de Información, las personas tienen derecho no sólo a una descripción de los datos personales, sino también a conocer las razones por las que se está procesando, y si se transmitirá a otras organizaciones o personas.

Solo Charles Tyrwhitt enumeró las entidades con las que compartió los datos: trece en total, desde compañías de marketing hasta Experian, agencia de calificación crediticia). Todos recibieron nombres, dirección residencial o de correo electrónico del consumidor, y varios también detalles del pedido.

Majestic dijo que no proporcionó información aparte de los datos reales porque no se le solicitó específicamente que lo hiciera, pero reconoció que "en una interpretación estricta de las reglas deberíamos haberlo provisto de manera espontánea". Nectar no hizo una lista de sus "empresas participantes", pero sí las nombra -33 en total- en su sitio web. Apple dice que no vende información personal a anunciantes externos u otras organizaciones, aunque sí tiene su propia plataforma publicitaria.

Como señaló Massey, el GDPR sólo hará más difícil el cumplimiento de las normas. Además de las reglas existentes, las personas también tendrán derecho a saber por cuánto tiempo se almacena su información, cuándo sus datos se transmiten de una organización a otra (por ejemplo, al cambiar de banco o proveedor de telefonía móvil) y el derecho a que su información personal sea borrada sin tener que presentar una solicitud ante un tribunal.