Instagram, investigada por cómo almacena los datos de los menores de edad en Europa

La agencia de protección de datos irlandesa, la DPC por sus siglas en inglés, está investigando a Instagram por almacenar datos de usuarios menores de edad. Si se detecta que la red social de Facebook ha vulnerado la normativa europea de privacidad, podría enfrentarse a una cuantiosa sanción.

Es lo que adelanta la BBCen este artículo, en el que por el momento ningún portavoz de Facebook ha hecho declaraciones.

En concreto, la Comisión de Protección de Datos irlandesa está estudiando si Instagram tiene una base legal para procesar los datos personales de ciudadanos menores de 18 años, y si sus empleados cuentan con las garantías y las suficientes medidas como para proteger dichos datos.

Leer más: Inundan de enmiendas la nueva Ley de Telecomunicaciones que mantiene el decreto por el que el Gobierno puede intervenir internet por razones de "orden público"

También está abundando si desde Facebook se está cumpliendo a rajatabla el GDPR, el reglamento europeo de la privacidad que entró en vigor en 2018. La edad mínima para tener una cuenta en Instagram es 13 años, recuerdan en la BBC.

Uno de los directivos de la DPC irlandesa, Graham Doyle, destaca en declaraciones a la cadena británica que Instagram es "una plataforma social usada por muchos niños en Irlanda y en toda Europa".

"La DPC ha estado monitorizando quejas de ciudadanos y ha identificado preocupaciones en relación con el procesado de los datos de menores en Instagram, que requieren un examen más profundo".

La BBC destaca el análisis de 200.000 cuentas de usuario en Instagram que elaboró el científico de datos David Stier en febrero de 2019. Stier estimó que en un año, al menos 60 millones de usuarios menores de edad tuvieron la opción de cambiar sus perfiles personales en la red social a perfiles de empresas.

Leer más: Las medidas contra la pandemia están afectando a la libertad en Internet, según denuncia un estudio

El problema es que este tipo de cuentas de empresas exigen mostrar de forma pública en el perfil tanto el correo electrónico como el número de teléfono de la supuesta compañía. Además, esa información personal aparecía en el código HTML de las páginas de los perfiles.

En otras palabras: muchos menores de edad que cambiaron sus cuentas a cuentas de empresas tuvieron datos personales expuestos ante muchísimas personas.

Aunque Stier avisó del problema a Facebook, propietaria de Instagram, la red social denegó cambiar el que el teléfono y el correo de las cuentas corporativas apareciesen de forma pública —aunque sí eliminó esta información del código de sus páginas—. 

Aquí lo que habría fracasado ha sido el control de edad de Instagram para convertir una cuenta personal en una cuenta de empresa. Stier creyó entonces que ciberdelincuentes habrían sido capaces de recopilar los datos personales de 49 millones de cuentas, después de que en mayo de 2019 se descubriese que mucha de esta información se almacenaba en una base de datos desprotegida en la India.

Leer más: Una filtración revela que Amazon usa un software para impedir que sus empleados creen sindicatos: miembros del Parlamento Europeo exigen explicaciones a Jeff Bezos

No es la primera investigación que el organismo de control irlandés abre contra Facebook. Muchas tecnológicas ubican su sede fiscal europea en Irlanda, y la Comisión de Protección de Datos del país es el órgano competente que vela allí por el GDPR europeo.

Este verano, el Tribunal de Justicia de la Unión Europea anunció que el Privacy Shield, el marco regulatorio que amparaba las transferencias de datos de usuarios europeos para su procesado en Estados Unidos, quedaba invalidado. Sin embargo, las principales tecnológicas se han acogido a las SCC, unos mecanismos legales bajo las que aseguran seguir amparadas.

Una asociación en defensa de la privacidad europea, Noyb, ha interpuesto más de un centenar de reclamaciones contra empresas en los países europeos porque siguen prestando datos de sus usuarios para su procesado en América, debido a las implementaciones de Google o Facebook para medir las audiencias de muchísimas páginas web.

Precisamente, el DPC irlandés puso sobre la mesa el mes pasado abrir una investigación con Facebook por estos hechos. Semanas después, una portavoz de Facebook abría la puerta a que el gigante de la red social abandonase Europa por estos hechos.