Irlanda investigó a Instagram por una brecha de datos que afectó a menores: las agencias europeas ya han consensuado qué respuesta se le debe dar

El Comité Europeo de Protección de Datos, el organismo que aglutina a todos los organismos nacionales de control —como la Agencia Española de Protección de Datos, la CNIL francesa o la DPC irlandesa, entre otras— ha alcanzado dos acuerdos que conciernen a Instagram y a TikTok.

El primero trata sobre un procedimiento que arrancó en 2020, cuando la Comisión de Protección de Datos irlandesa inició una investigación por cómo la red social de Meta —antes conocida como Facebook— almacenaba y trataba los datos personales de los usuarios menores de edad.

La entidad irlandesa empezó esa investigación tras recibir las quejas de ciudadanos y expertos. La plataforma concedía la opción a menores de edad de convertir sus perfiles personales en perfiles comerciales, un tipo de cuenta en Instagram pensada más para empresas. El problema: estos perfiles comerciales exigen ofrecer sus datos de contacto en público.

Además, esos datos de contacto, que son datos personales —correo electrónico o número de teléfono— aparecían en el texto plano HTML del perfil si se inspeccionaban sus perfiles. La información ni siquiera estaba cifrada.

En síntesis: muchos menores de edad que cambiaron sus cuentas a cuentas de empresas en Instagram vieron sus datos personales expuestos ante muchísimas personas.

El Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) trató un borrador de decisión de la DPC irlandesa en su plenario celebrado este jueves 28 de julio. Los organismos de control, en un primer momento, "no consiguieron alcanzar un consenso sobre determinadas objeciones".

Pero finalmente se logró un acuerdo de mínimos sobre la cual la autoridad de supervisión competente en este caso (la irlandesa) tendrá que formular su decisión definitiva "sin más demora que la de un mes desde que se notifique esta resolución", detalla el Comité en un comunicado.

Los datos son el petróleo que empresas y gobiernos necesitan, aunque la privacidad ya se ha convertido en un debate global: así hemos llegado hasta aquí

El procedimiento arrancó en 2020 pero fue en mayo de este mismo año cuando los medios irlandeses deslizaron que la DPC preparaba una cuantiosa sanción a Instagram por vulnerar la privacidad de los menores con esta brecha de información. El año pasado, el mismo ente propuso una sanción de 225 millones de euros a WhatsApp, también propiedad de Meta.

Aunque la autoridad que lidera el caso es la irlandesa —ya que Meta, como otras tantas multinacionales tecnológicas, mantienen su matriz europea en su territorio nacional—, otras agencias presentaron objeciones al procedimiento. Por eso se activó el artículo 65 del Reglamento General de Protección de Datos que obliga al EDPB a intervenir y buscar ese consenso.

La resolución todavía tiene que notificarse, pero no es lo único que ha debatido este Comité europeo en su plenario de esta semana. En la reunión se trató también el intento de TikTok de cambiar sus políticas de privacidad. Antes, la red social requería del consentimiento expreso de sus usuarios para rastrear sus hábitos en la plataforma y dirigirles publicidad personalizada.

Lo que pretendía TikTok con un cambio en sus políticas de privacidad que iba a entrar en vigor el 13 de julio era cambiar la premisa legal: en lugar de requerir ese consentimiento expreso de los usuarios, empezarían a rastrear a todos los usuarios de la plataforma alegando que era esencial para su adecuado funcionamiento. En términos del RGPD, un "interés legítimo".

Varias agencias de protección de datos, entre ellas la española, anunciaron la apertura de una investigación al considerar excesiva esa consideración de "interés legítimo" para la base legitimadora que supondría tratar y recopilar datos sobre cómo los usuarios se comportan dentro de TikTok. Por eso la plataforma de origen chino acabó postergando esos cambios en sus políticas.

Lo que el Comité Europeo de Protección de Datos ha abordado en su reunión sobre este tema es una respuesta a una carta que remitieron dos organizaciones de activistas en defensa de la privacidad y en defensa de los consumidores, Access Now y BEUC. En la respuesta a ambos organismos, la EDPB pone de relieve la agilidad con la que reaccionaron los organismos nacionales.

El vicepresidente del Comité, Ventsislav Karadjov, consideró en el encuentro que "la suspensión de los cambios en las políticas de privacidad de TikTok es una demostración de la determinación de las autoridades nacionales y de su compromiso con la salvaguarda de los intereses de los usuarios de TikTok".

"Estoy seguro de que las autoridades nacionales tienen las suficientes herramientas para proteger los derechos de los propietarios de los datos, y la cooperación con el EDPB asegura que esos procedimientos se ejecuten de forma eficaz y consistente en todo el Espacio Económico Europeo".