Facebook se ha quedado con las manos vacías tras verse obligado a cancelar la fecha de lanzamiento de su servicio de citas en Europa por no haber avisado con suficiente antelación a su principal regulador de datos de la UE, ni haber demostrado que había realizado una evaluación de los riesgos para la privacidad exigida por la ley.
Ayer, el periódico irlandés Independent.ie informó que la Comisión Irlandesa de Protección de Datos (DPC) – utilizando las facultades de inspección y confiscación de documentos establecidas en la Sección 130 de la Ley de Protección de Datos del país – había enviado agentes a la oficina de Facebook en Dublín buscando documentación que Facebook no había proporcionado.
En una declaración en su sitio web, la DPC dijo que Facebook se puso en contacto con ella por primera vez acerca de la activación de la función de citas en la UE el 3 de febrero.
“Estábamos muy preocupados de que esta era la primera vez que escuchábamos de Facebook Irlanda sobre esta nueva característica, teniendo en cuenta que era su intención de desplegarla mañana, 13 de febrero”, escribe el regulador. “Nuestras preocupaciones se vieron agravadas por el hecho de que no se nos proporcionó ninguna información/documentación el 3 de febrero en relación con la Evaluación del Impacto de la Protección de Datos [DPIA] o los procesos de toma de decisiones que fueron llevados a cabo por Facebook Irlanda”.
Facebook anunció su plan para entrar en el mercado de las citas en mayo de 2018, siguiendo su idea de Tinder-encroaching de introducir una función de citas para no amigos en su red social en su conferencia de desarrolladores F8.
Continuó con el lanzamiento de prueba del producto en Colombia unos meses después. Desde entonces, ha ido añadiendo gradualmente más países en Sudamérica y Asia. También se lanzó en los EE.UU. el otoño pasado después de ser multado por la FTC con 5 mil millones de dólares por errores históricos de privacidad.
En el momento de su lanzamiento en Estados Unidos, Facebook dijo que las citas llegarían a Europa a principios de 2020. No pensó en mantener a su principal regulador de privacidad de la UE en el bucle, a pesar de que el DPC tenía múltiples investigaciones (en curso) sobre otros productos propiedad de Facebook-en esta etapa.
Es o bien un descuido extremo o, bueno, un jodido intencional a la supervisión de la privacidad de sus actividades de minería de datos. (Entre las múltiples investigaciones que se están llevando a cabo bajo la Regulación General de Protección de Datos de Europa, el DPC está investigando la supuesta base legal de Facebook para procesar los datos de las personas bajo los T&Cs de Facebook, por ejemplo).
La declaración del DPC confirma que sus agentes visitaron la oficina de Facebook en Dublín el 10 de febrero para llevar a cabo una inspección – con el fin de “acelerar la obtención de la documentación pertinente”. Lo cual es una buena manera de que el DPC diga que Facebook pasó una semana entera sin enviarle la información requerida.
“Facebook Irlanda nos informó anoche que han pospuesto el lanzamiento de esta función”, continúa la declaración del DPC. Lo cual es una buena manera de decir que Facebook la jodió y se está haciendo para poner en hielo el lanzamiento de un producto que ha estado planeando por lo menos medio año.
El jefe de comunicaciones del DPC, Graham Doyle, confirmó la acción de aplicación, diciéndonos: “Estamos revisando toda la documentación que reunimos como parte de la inspección del lunes y hemos hecho más preguntas a Facebook y estamos esperando la respuesta”.
“En la documentación que reunimos el lunes había una DPIA”, añadió.
Esto plantea la pregunta de por qué Facebook no envió la DPIA al DPC el 3 de febrero. Hemos contactado a Facebook para comentar y preguntar cuándo se llevó a cabo la DPIA.
Actualización: Un portavoz de Facebook ha enviado esta declaración:
Es muy importante que hagamos bien el lanzamiento de Citas con Facebook, así que nos estamos tomando un poco más de tiempo para asegurarnos de que el producto esté listo para el mercado europeo. Trabajamos cuidadosamente para crear fuertes salvaguardias de privacidad, y completar la evaluación del impacto del procesamiento de datos antes del lanzamiento propuesto en Europa, que compartimos con el IDPC cuando se solicitó.
Le hemos preguntado a la compañía por qué, si es “realmente importante” conseguir el lanzamiento “bien”, no proporcionó a la DPC la documentación requerida por adelantado en lugar de que el regulador tenga que enviar agentes a las oficinas de Facebook para conseguirla ellos mismos. Actualizaremos este informe con cualquier respuesta.
Actualización: Un portavoz de Facebook nos ha proporcionado una segunda declaración, en la que escribe:
No tenemos obligación legal de notificar al IDPC el lanzamiento de los productos. Sin embargo, como cortesía a la Oficina de la Comisión de Protección de Datos, que es nuestro principal regulador de protección de datos en Europa, les informamos proactivamente de este lanzamiento propuesto con dos semanas de antelación. Habíamos completado la evaluación del impacto del procesamiento de datos mucho antes del lanzamiento europeo, que compartimos con el IDPC cuando lo solicitaron.
En el marco de la GDPR de Europa, existe el requisito de que los controladores de datos horneen la privacidad por diseño y por defecto en los productos que manejan la información de las personas. (Y un producto de citas claramente sería.)
La realización de una DPIA – que es un proceso mediante el cual se evalúa el procesamiento planificado de datos personales para considerar el impacto en los derechos y libertades de las personas – es un requisito en virtud de la GDPR cuando, por ejemplo, se está realizando un perfil individual o hay un procesamiento de datos sensibles a gran escala.
Y, una vez más, el lanzamiento de un producto de citas en una plataforma como Facebook, que cuenta con cientos de millones de usuarios regionales, sería un caso claro para que esa evaluación se llevara a cabo antes de cualquier lanzamiento.
En comentarios posteriores a TechCrunch hoy, el DPC reiteró que todavía está esperando que Facebook responda a las preguntas de seguimiento que le hizo a la empresa después de que sus funcionarios obtuvieran la documentación relacionada con Facebook Dating durante la inspección de la oficina.
El regulador podría pedir a Facebook que haga cambios en el funcionamiento del producto en Europa si no está satisfecho de que cumpla con las leyes de la UE. Así que un retraso en el lanzamiento puede significar muchas cosas.
“Todavía estamos examinando la documentación que tenemos”, nos dijo Doyle. “Todavía estamos esperando respuestas a las preguntas que planteamos a Facebook el martes [11 de febrero]. No hemos recibido ninguna respuesta de ellos y sería nuestra expectativa que la característica no se despliegue antes de que completemos nuestro análisis.”
Cuando se le preguntó cuánto tiempo podría llevar el proceso, dijo: “No controlamos este proceso temporal, pero mucho de ello depende de la rapidez con que recibamos respuestas a las preguntas que hemos planteado y de la medida en que esas respuestas se ocupen de las preguntas que hemos planteado, si tenemos que volver a ellas, etc. Así que no es posible decir en esta etapa”.
Este informe fue actualizado con comentarios adicionales de Facebook y el DPC.
Natasha Lomas
