Multa a Facebook por no evitar técnicas de Data Scraping
El pasado 25 de noviembre de 2022, la Data Protection Comission (en adelante, “DPCI”), autoridad de control en materia de privacidad y protección de datos de Irlanda, emitió un comunicado mediante el cual anunciaba que, tras la conclusión de un procedimiento sancionador iniciado en abril de 2021, Facebook sería sancionada con una multa de 265 millones de Euros y la adopción de una serie de medidas correctoras por no evitar el “data scraping” de sus usuarios.
¿Qué es el data scraping?
El data scraping o “raspado” de datos es una técnica que permite a quien la utiliza obtener datos a partir de la lectura de un sitio web mediante la utilización de un software automatizado, tras lo cual se puede distribuir dicha información en foros online o ser utilizada para fines propios.
El objetivo básico de la extracción u obtención de los referidos datos es el de estudiar patrones de comportamiento y tendencias recurrentes con el fin de predecir las necesidades o gustos de los usuarios propietarios de los datos extraídos.
Es decir, la obtención de este tipo de datos o información permite a las empresas impulsar sus decisiones comerciales y ofrecer al usuario ciertos productos o servicios en función de sus preferencias concretas.
Investigación llevada a cabo por la Comisión de Protección de Datos de Irlanda
Durante la investigación efectuada a la gigante americana por la DPCI, se pudo comprobar que los datos de más de 530 millones de usuarios de Facebook se encontraban expuestos en internet, datos tales como las direcciones de correo electrónicos de los afectados o sus números de teléfonos móviles, por un fallo en los sistemas de seguridad de la propia Facebook.
En este sentido, y durante el período comprendido entre el 25 de mayo de 2018 y el mes de septiembre de 2019, la DPCI efectuó una exhaustiva evaluación sobre las herramientas: “Facebook Search”, “Facebook Messenger Contact Importer” e “Instagram Contact Importer”, en relación con el tratamiento de datos realizado por parte de Meta Platforms Ireland Limited, concluyendo dicha evaluación en que la empresa habría infringido el artículo 25 del Reglamento General de Protección de Datos (RGPD) debido a la falta de implementación de medidas técnicas y organizativas adecuadas para evitar el mencionado “data scraping”.
Teniendo en cuenta lo anterior, la DPCI determinó que, debido al gran volumen de datos afectados, el hecho de que en la empresa ya existían precedentes de scraping y que Facebook podría haber identificado con suficiente antelación que esta técnica estaba siendo utilizada sobre los datos de sus usuarios, procedía la imposición de una multa significativa por exponer a los afectados a un riesgo considerable, cuya consecuencia era la pérdida del control sobre sus datos siendo expuestos a estafas, spam y phishing.
Precisamente por este motivo, y en aras a evitar la utilización de técnicas de scraping como la que nos atiene y posibles sanciones, varias empresas de blockchain han optado por desarrollar aplicaciones de redes sociales de blockchain que no requieren que los usuarios faciliten determinados datos como, por ejemplo, sus direcciones de correo electrónico o números de teléfonos. De hecho, los desarrolladores de Ethereum (tecnología que alberga dinero digital, pagos globales y aplicaciones) han creado un sistema de autenticación llamado “EIP-4361” que aún se encuentra en fase de prueba pero cuyo objetivo será estandarizar el proceso de inicio de sesión de la billetera en todas las aplicaciones, eliminado la necesidad de solicitar a sus usuarios información personal y previniendo violaciones como la ocurrida en Facebook.
Midiala Fernández es IP/IT Lawyer
Ha desarrollado su carrera profesional en el ámbito de la Propiedad Intelectual, Industrial y Nuevas Tecnologías. Además, presta asesoramiento legal en materias específicas tales como: Comercio electrónico, Privacidad y Protección de datos, Marketing y Publicidad, Competencia desleal y Ciberseguridad.