Comunicado de prensa

ARCHIVED - Documento de Información

El seguimiento de la investigación sobre Facebook está finalizado

English version
Version française

OTTAWA, 22 de septiembre de 2010 – La Comisaría de Protección de Datos Personales de Canadá finalizó un seguimiento relativo a la investigación que llevó a cabo su oficina el año pasado con respecto a las prácticas y las políticas de privacidad del sitio web de redes sociales Facebook. Lo que sigue es un sumario de la investigación y del trabajo de seguimiento de la Comisaría.

Contexto

La investigación se realizó a raíz de una queja que presentó ante la Comisaría de Protección de Datos Personales de Canadá el organismo Canadian Internet Policy and Public Interest Clinic, un grupo de defensa del interés público.

La investigación se efectuó de conformidad con la Ley de protección de la información personal y los documentos electrónicos, que es la ley canadiense en materia de protección de la confidencialidad que se aplica al sector privado.

En julio de 2009, la Comisaría de Protección de Datos Personales dio por finalizada la investigación y determinó que:

  • Cuatro de los problemas presentados en la queja se rechazaron al carecer de fundamento;
  • Cuatro tenían fundamento pero se consideraron resueltos luego de que Facebook aceptara efectuar cambios específicos en sus políticas o prácticas;
  • Finalmente, cuatro problemas más estaban bien fundados pero no se resolvieron.

La Comisaría declaró que, luego de 30 días, analizaría las medidas de Facebook para cumplir con las recomendaciones y que luego consideraría recurrir a los tribunales federales para hacerlas cumplir.

Un mes más tarde, en agosto de 2009, la Comisaría pudo anunciar que, luego de extensas discusiones, Facebook había asumido una cierta cantidad de compromisos para resolver las preocupaciones pendientes relativas a la protección de la confidencialidad. Los cambios se implementarían a lo largo de un año y la Comisaría daría seguimiento al progreso realizado. Dados los compromisos asumidos por Facebook, se consideró que los reclamos se habían resuelto y se procedió a cerrar oficialmente la investigación.

El informe de investigación completo está disponible en http://www.priv.gc.ca/index_e.cfm

Calendario

Mayo de 2008 – La Canadian Internet Policy and Public Interest Clinic presenta una queja.

Julio de 2009 – La Comisaría de Protección de Datos Personales anuncia que su investigación identificó, en el sitio web de Facebook, un cierto número de inquietudes relativas a la protección de la confidencialidad y que algunas de ellas aún no se habían resuelto. Se le pide a Facebook que responda a dichas inquietudes dentro de los 30 días.

Agosto de 2009 – Facebook acepta implementar una serie de cambios para responder a las preocupaciones de la Comisaría. Ambos establecen un calendario y un plazo de un año para aplicar las modificaciones necesarias.

Septiembre de 2010 – La Comisaría anuncia que el análisis de los cambios que Facebook realizó, a raíz de su investigación, están completos y que las inquietudes planteadas se resolvieron satisfactoriamente.

Problemas surgidos de la investigación y el seguimiento posterior La investigación permitió identificar ocho problemas que preocupaban a la Comisaría de Protección de Datos Personales.

Los dos problemas mayores, es decir los parámetros de confidencialidad por defecto y las aplicaciones desarrolladas por terceros, fueron los que más tiempo necesitaron para solucionarse, en gran parte porque los cambios requeridos, desde un punto de vista técnico, resultaban más onerosos. Los seis problemas restantes exigían cambios en las políticas de privacidad y en ciertas formulaciones de lenguaje en el sitio. La Comisaría pidió a Facebook que brindara a los usuarios  explicaciones más detalladas y comprensibles sobre sus prácticas y que aclarara la responsabilidad del individuo en el uso del sitio.

La siguiente es una descripción detallada de los problemas señalados y los cambios que Facebook realizó:

1. Aplicaciones desarrolladas por terceros

La comunicación de información personal a los programadores de terceras partes que crean las aplicaciones para Facebook, como juegos y cuestionarios, presentaba un riesgo importante para la vida privada y constituía un punto destacado de la investigación. Con cientos de miles de programadores en el mundo, la Comisaría temía que, en el momento en que se llevó a cabo la investigación, Facebook no contara con las medidas técnicas de protección necesarias para restringir de manera eficaz el acceso de dichos programadores a la información personal de los usuarios y a la de sus “amigos” en línea. Además, los usuarios no estaban enterados de la información a la que podían acceder las aplicaciones y la razón para dicho acceso.

Facebook modificó su plataforma de aplicaciones de manera que ninguna aplicación tendrá acceso a la información personal hasta no haber obtenido autorización explícita para cada categoría de información personal que desee obtener. Con el nuevo modelo de autorización, los usuarios que agreguen una aplicación recibirán un aviso informándoles que la misma desea obtener acceso a categorías de información específicas. Los usuarios deben hacer clic sobre “Permitir” si aceptan comunicar la información de esas categorías específicas.

La Comisaría desarrolló una aplicación de prueba y confirmó que las aplicaciones pueden acceder solamente a las categorías de información personal que están especificadas como necesarias para su funcionamiento y que solo pueden hacerlo después que el usuario haya hecho clic sobre “Permitir”.

La Comisaría está satisfecha con los cambios, ya que cumplen con los compromisos que Facebook asumió y con las exigencias de la legislación canadiense en materia de protección de la confidencialidad.

2. Parámetros de confidencialidad por defecto

Durante la investigación, la Comisaría expresó su preocupación de que los parámetros de confidencialidad no fueran suficientemente transparentes y accesibles para los usuarios. En respuesta a esta inquietud, Facebook llevó a cabo cambios significativos para que sus prácticas respetaran las leyes canadienses de protección de la vida privada. Dichos cambios comprenden:

  • Permitir que los usuarios seleccionen un nivel de confidencialidad bajo, mediano o alto.
  • El agregado de una herramienta de protección de la privacidad por objeto, que permite a los usuarios configurar fácilmente los parámetros de contenido en el momento de subir archivos o de cualquier otra comunicación de información.
  • La presentación de un instrumento de protección de la privacidad a todos los usuarios para motivarlos a revisar sus parámetros de seguridad.
  • Una presentación que explique los parámetros de protección de la privacidad a los nuevos miembros.

Facebook cumplió con su compromiso de facilitar la comprensión y el uso de los parámetros de protección de la información personal. Ahora los miembros pueden consultar una guía que explica los parámetros de privacidad, a la que se puede acceder desde cualquier página en Facebook. Los parámetros de confidencialidad también están mejor explicados en la política de privacidad de Facebook.

La herramienta que permite controlar la confidencialidad de cada objeto ya se terminó de implementar. Facebook simplificó los parámetros de privacidad permitiendo que los usuarios que desearan restringir el acceso a su información personal puedan seleccionar “Sólo amigos” con un solo clic. También cabe mencionar que se solicitó que los miembros confirmaran sus parámetros de privacidad luego de la reestructuración del sitio en diciembre de 2009.

Sin embargo, otros cambios efectuados en el sitio web luego de la investigación también tuvieron un impacto sobre la confidencialidad de los datos de los miembros de Facebook e hicieron que el trabajo de seguimiento de la Comisaría fuera más complejo.

  • “Todos”

Luego de concluida la investigación, Facebook incluyó nuevos controles de confidencialidad que ampliaban el significado de su parámetro “Todos”. Mientras que la antigua definición significaba que se permitía el acceso a la información especificada a todos los usuarios de Facebook,  en virtud de la nueva definición se permite que todos los usuarios de Internet tengan acceso a dicha información.

En su informe de investigación, la Comisaría había recomendado que el parámetro por defecto de los álbumes de fotos y las listas de búsqueda pública fuera más restrictivo. Sin embargo, en los dos casos, el parámetro por defecto continúa siendo el más permisivo.

En el caso de los álbumes de fotos, las inquietudes en cuanto a la protección de la privacidad están atenuadas en gran medida gracias a la nueva herramienta de confidencialidad por objeto de Facebook. La cuestión de los parámetros por defecto relativos a las listas de búsqueda pública fue más difícil de evaluar, ya que hubo cambios significativos en el sitio desde que se presentó la queja en mayo de 2008. Finalmente, el comisario determinó que la cuestión se encontraba fuera del marco del proceso de seguimiento de esta investigación.

  • Transparencia de la información personal

La Comisaría de Protección de Datos Personales también comunicó a Facebook su preocupación ante el hecho de que los cambios efectuados posteriormente a la investigación puedan hacer el sitio más accesible. En diciembre, Facebook introdujo cambios para que los usuarios no pudieran limitar el acceso público a ciertas categorías de información personal. Luego de que la Comisaría expresara su preocupación acerca de esta restricción, se redujeron dichas categorías. Inicialmente, eran siete las categorías de información que no se podían proteger con parámetros de confidencialidad. Ahora quedan cuatro: nombre, foto de perfil, sexo y redes. Facebook expresó la intención de eliminar “redes” de estas categorías.

A pesar de que la reducción es alentadora, la Comisaría advirtió a Facebook que aún está preocupado con respecto a sus planes futuros para con esta categoría de información y exhortó al sitio a no ampliarla.

3. Política de confidencialidad y problemas de formulación

Las inquietudes de la Comisaría de Protección de Datos Personales con respecto a la manera en que Facebook presentaba la información se apoyaban en los siguientes puntos:

  • Fecha de nacimiento

Facebook incorporó la recomendación de explicar a los usuarios la razón por la cual se exigía la fecha de nacimiento para inscribirse.

  • Publicidad

Facebook incorporó la recomendación de ampliar la descripción sobre el funcionamiento de la publicidad en el sitio en su política de privacidad. Ahora explica cómo la información personal se utiliza para personalizar la publicidad. A pesar de considerar que este tema está resuelto, la Comisaría señala que el modelo de publicidad personalizada de  Facebook cambió de manera significativa desde que se presentó la queja.

  • Desactivación y eliminación de una cuenta

Facebook proporcionaba información imprecisa en cuanto a la distinción entre la desactivación de una cuenta, que implica que la información personal permanece en almacenamiento digital, y la eliminación, por la cual la información personal se suprime de los servidores de Facebook dentro de la medida de lo posible. Facebook ahora aclara en su política de confidencialidad que los usuarios tienen la opción de desactivar su cuenta o de eliminarla.

  • Cuentas de usuarios fallecidos

Facebook cambió la formulación de su política de privacidad para explicar las circunstancias en las cuales mantendrá el perfil de un usuario activo después de su muerte para que sus amigos puedan escribir comentarios y rendirle homenaje.

  • Información personal de quienes no son usuarios

La Comisaría recomendó que Facebook protegiera mejor la privacidad de los no usuarios a los que invita a hacerse miembros. La declaración de los términos de uso de Facebook ahora incluye más información al respecto.

  • Vigilancia de actividades anómalas

Facebook incorporó la recomendación de explicar, en su política de privacidad, la práctica de la vigilancia de actividades anómalas.

Próximas etapas y nuevas investigaciones
El trabajo de la Comisaría de Protección de Datos Personales continuará con Facebook sobre otros temas. El sitio de Facebook evoluciona constantemente. La Comisaría vigila los cambios en el sitio y en otros sitios de redes sociales y tomará medidas si considera que pueden producirse nuevas violaciones a las leyes canadienses de protección de los datos personales.

Por otro lado, la Comisaría recibió varias quejas adicionales sobre problemas que no formaban parte de la investigación inicial y actualmente las está analizando. A raíz de estas quejas, la Comisaría abrió investigaciones que examinan el servicio de invitación de Facebook (el proceso a través del cual Facebook sugiere amigos a los nuevos usuarios) y las extensiones sociales (el botón “Me gusta” de Facebook que otros sitios pueden añadir en sus páginas web). Estas investigaciones se encuentran actualmente en curso y la Comisaría aún no puede comentarlas.

Para obtener más información (medios de comunicación solamente) ponerse en contacto con:

Office of the Privacy Commissioner of Canada
Anne-Marie Hayden
Tel: (613) 995-0103
Correo electrónico: Anne-Marie.Hayden@priv.gc.ca