Facebook podría haber infringido el GDPR al recopilar 1.5 millones de contactos de correo electrónico de usuarios, según los expertos

• Facebook recopiló 1.5 millones de datos de contactos de correo electrónico de los usuarios sin su consentimiento, como informaba Business Insider este miércoles.
• Al hacerlo, Facebook podría haber violado las leyes de EE. UU. y la UE, según aseguran los expertos.
• La red social ha declarado que recogió involuntariamente los contactos y ahora los está eliminando.
• La compañía ya está bajo investigación por parte de la Comisión Federal de Comercio de los Estados Unidos por violar potencialmente un decreto de consentimiento.

Facebook recopiló 1.5 millones de datos de contacto de correo electrónico de los usuarios sin su consentimiento, y los expertos dicen que al hacerlo, la compañía pudo haber violado las leyes estadounidenses y europeas.

El miércoles,Business Insider revelaba que, desde mayo de 2016, la red social había estado revisando las listas de contactos de correo electrónico de algunos usuarios nuevos después de solicitar sus contraseñas de correo electrónico para "verificar" sus cuentas. Cerca de 1.5 millones de usuarios finalmente oofrecieron sus datos sin permiso. Facebook ha declarado que esto se hizo "involuntariamente" y ahora está eliminando los datos.

Los expertos que hablaron con Business Insider este jueves han afirmado que creían que las acciones de Facebook potencialmente habían violado varias leyes, incluido un decreto por consentimiento de la Comisión Federal de Comercio (FTC por sus siglas en inglés) de los EE. UU, el Reglamento general de protección de datos de la UE (GDPR), el reglamento de privacidad de datos de la Unión Europea y si bien es probable que haya una defensa sólida de Facebook, tal vez incluso la Ley de abuso y fraude informático (CFAA, por sus siglas en inglés), un estatuto penal de los EE. UU. relacionado con fraude y abuso informático.

Leer más: Facebook declara haber recopilado 'involuntariamente' 1,5 millones de direcciones de correo electrónico sin consentimiento

Si sus teorías son precisas, y los reguladores finalmente deciden tomar medidas contra Facebook sobre el tema, entonces podrían agravar aún más los dolores de cabeza legales que aquejan a la compañía, que ha estado luchando contra los escándalos en múltiples frentes durante los últimos dos años — desde la apropiación indebida de Cambridge Analytica de datos de decenas de millones de usuarios hasta el papel de la red social en la difusión del discurso de odio que alimentó el genocidio en Myanmar.

Un portavoz de Facebook ha declinado hacer comentarios.

Facebook ya está bajo investigación de la FTC

Desde 2011, Facebook ha sido objeto de un decreto de acuerdo extrajudicial por parte de la FTC después de que se resolvieran los cargos que alegaban haber engañado a los usuarios por cuestiones de privacidad. La FTC ahora está investigando Facebook sobre sus prácticas de privacidad posteriores, concretamente, el escándalo de Cambridge Analytica. El organismo norteamericano está investigando si el incidente violó el decreto de consentimiento de 2011 y, seguramente, está cerca de negociar un acuerdo con Facebook que puede suponer miles de millones de dólares.

Ashkan Soltani, ex jefe de tecnología de la FTC, ha afirmado que creía que las acciones de Facebook en relación con los contactos de correo electrónico de los usuarios podrían haber infringido los términos del decreto de consentimiento si utilizaba los datos. "En mi opinión, la recopilación de Facebook y el uso de las agendas de contactos de los usuarios sería otra clara violación del decreto de consentimiento y merecería una investigación", ha declarado.

"Por sí solo, descargar y usar las libretas de direcciones de los usuarios bajo un pretexto de 'seguridad' constituiría una práctica engañosa, incluso si la empresa no estaba enterada", ha dicho, hablando en abstracto.

Dina Srinivasan, una graduada de Derecho por Yale, que recientemente escribió un artículo titulado El caso antimonopolio contra Facebook, ha dicho que el comportamiento de la compañía era potencialmente ilegal "por el hecho de que Facebook estaba engañando a los consumidores cuando se trataba de su información y privacidad. Esto puede suponer una violación de tres cosas. (1) las Leyes federales antimonopolio. (2) las Leyes de competencia desleal que cada estado, (3) y el decreto de consentimiento de la FTC ".

Leer más: Los planes de Facebook para espiar a los usuarios de Android quedan expuestos en una serie de emails

Dicho esto, aún no está claro si la FTC intentará en última instancia tomar alguna acción contra Facebook en este tema, y ningún portavoz de la organización ha respondió a una solicitud de comentarios.

"Hay tantas violaciones potenciales diferentes en este momento que no sé si la FTC investigará esta última ... particularmente porque está bajo mucha presión para actuar en el [incidente] de Cambridge Analytica", ha aformado Sally Hubbard, Directora de estrategia de aplicación en el Open Markets Institute, un grupo de investigación y defensa centrado en temas relacionados con el poder corporativo.

Ella ha asegurado que incluso si esto constituye una violación, sería difícil de investigar. "Una vez que hay un decreto revisado de acuerdo extrajudicial, será difícil para la FTC regresar e investigar cualquier conducta indebida que se haya presentado (según los términos del acuerdo negociado acordado en las reclamaciones — es probable que resuelva toda responsabilidad por infracciones hasta la fecha que se acuerde)".

La firma de Silicon Valley también podría enfrentar problemas en Europa

En mayo de 2018, la Unión Europea comenzó a aplicar el GDPR, su nueva y robusta legislación de protección de datos. Facebook aún no ha dicho si alguno de los usuarios afectados se localizaba en Europa después de esa fecha, pero parece extremadamente probable, en cuyo caso algunos creen que Facebook podría haber cometido una infracción del GDPR.

"Es especialmente problemático porque no fueron solo los datos del usuario que se daba de alta los que se procesaron, sino también los datos personales de sus contactos" ha respondido vía mail Michael Veale, investigador de protección de datos con sede en Londres y miembro del instituto Alan Turing.

"Podrían haber sido 1.5 millones de usuarios directamente afectados, pero teniendo en cuenta la cantidad de correos electrónicos únicos que se recolectaron y la información de la red que los vincula, el número total de personas afectadas es probable en cientos de millones", agregaba.

Veale ha sugerido que puede haber habido múltiples infracciones de la ley, incluyendo no informar a los usuarios y procesar datos personales con fines publicitarios sin informarles. "Esto podría interpretarse como una violación general de la seguridad, ya que Facebook no sabía que su sistema estaba efectivamente comprometido", ha dicho.

Leer más: Francia multa a Google con 50 millones de euros por incumplir el GDPR

La Comisión de Protección de Datos de Irlanda, responsable de regular las prácticas de datos de Facebook en la UE bajo el GDPR, ha declarado que está en contacto con Facebook en relación al tema y está considerando su próximo movimiento.

"Actualmente estamos involucrados con Facebook en este tema y una vez que recibamos más información, decidiremos qué pasos tomar", ha afirmado Graham Doyle, jefe de comunicaciones de la Comisión de Protección de Datos de Irlanda.

La cuestión de la intención

Julian Sanchez, miembro principal del Instituto Cato, ha hablado sobre la posibilidad de que Facebook haya violado potencialmente la Ley de abuso y fraude informático, que entraría en territorio criminal.

"Es una ofensa bajo 18 USC 1030, entre otras cosas, exceder intencionalmente el acceso autorizado a un ordenador protegido. Una 'ordenador protegido' es, por razones prácticas, cualquier ordenador conectado a Internet", ha explicado. "Entonces, con respecto al acceso de Facebook a los contactos de correo electrónico de los usuarios, las preguntas relevantes son si existe algún argumento viable de que este haya sido "autorizado ", lo que parece difícil de vender cuando se representa como específicamente con el propósito de autentificación, y si no, si el acceso en exceso de autorización fue intencional ".

Sanchez añadía: "Si estuviéramos hablando de un error de codificación corregido rápidamente que eliminó el lenguaje sobre el raspado de los contactos del usuario, tendría un caso plausible para decir que este fue un acceso excesivo de la autorización, pero no intencional. Pero eso se vuelve más difícil de comprar por todo el tiempo que lo estuvieron haciendo ".

Facebook ha afirmado que la acción fue puramente involuntaria —que notificó previamente a los usuarios que accederían a sus contactos, pero un cambio posterior eliminó inadvertidamente esa advertencia. Tal argumento sería una defensa bajo la CFAA.

"¿Pueden alegar incompetencia? En principio, aunque chico, eso es muy embarazoso", ha afirmado Sánchez. "Necesitaría revisar la correspondencia interna para ver si alguien notó el problema y Facebook decidió no solucionarlo".