9 abr. 2018

Facebook, Apps, privacidad y un repaso de la letra chica

Por Abog. Marcelo Temperini (*)

Mucho se ha dicho en las últimas semanas sobre Facebook, aplicaciones, datos vendidos, datos comprados, big data, dueños de empresas que salen a pedir disculpas y otras yerbas.

En este breve artículo intentaré resumir la situación jurídica de un usuario tradicional de Facebook (y que podría aplicarse tranquilamente a cualquier otra red social), buscando analizar todo aquello que aceptamos (y lo que no) relacionado a las aplicaciones que tanto han dado que hablar.

Existe una interesante ingeniería contractual detrás de estas grandes empresas, por lo que su comprensión no será tan sencilla -parte de la estrategia jurídica, es cansar al usuario y contar que por pereza igualmente aceptaré todo lo que se le proponga-. Comenzaremos por el contrato mayor (el tronco del árbol) y luego iremos bajando por las ramas hasta llegar a las naranjas (o limones para algunos).

En el contrato general de Facebook, denominado “Declaración de derechos y responsabilidades” (DDR), segundo párrafo, se afirma algo que será aplicable para el objetivo de este artículo:
Dado que Facebook proporciona una amplia variedad de Servicios, es posible que te pidamos que revises y aceptes condiciones complementarias que se apliquen a tu interacción con una aplicación, un producto o un servicio específicos. En caso de discrepancias entre dichas condiciones complementarias y esta DDR, prevalecerán las condiciones complementarias asociadas a la aplicación, el producto o el servicio respecto del uso que hagas de ellos y en la medida en que exista una discrepancia.
Nota: lee la letra chica.

Desde el punto de vista jurídico, parecería que las regulaciones de las aplicaciones son “condiciones complementarias”, o sea, que complementan el contrato principal si es que algo no estuviera regulado. Sin embargo, dicha cláusula lo que hace es determinar la subsidiariedad del contrato principal de Facebook, indicando al usuario que si el contrato dispuesto por alguna aplicación establece algo distinto (discrepancias) a las DDR, se considerarán como válidas las condiciones estipuladas en el contrato de la aplicación. Para hacerlo más sencillo, se aplica la regla que el contrato especial mata contrato general, haciendo que las DDR funcionen como regulación de fondo, siempre y cuando no existan otras

La primer sección de estas DDR es la Privacidad, cuya regulación es tan extensa que por cuestiones de practicidad (y para que sea más fácil su modificación/explicación a los usuarios) se suele reenviar a otro subcontrato (Política de Privacidad) dedicado exclusivamente a este tema. Esta estrategia de hacer una explicación “amigable” para los usuarios (sumado a la estrategia de la redacción extensa) también esconde una trampa jurídica: la falta de precisión de sus cláusulas.

Dentro de las Política de Privacidad, sección ¿Cómo se comparte esta información? existe un apartado especial dedicado a: Aplicaciones, sitios web e integraciones de terceros en nuestros Servicios o que usan nuestros Servicios, en las que se afirma:
Cuando usas aplicaciones, sitios web u otros servicios de terceros que usan nuestros Servicios o están integrados en ellos, estas plataformas pueden recibir información acerca de tus publicaciones o de tu contenido compartido. Por ejemplo, cuando juegas a un juego con tus amigos de Facebook o usas los botones "Comentar" o "Compartir" de Facebook en un sitio web, es posible que el sitio web o el desarrollador del juego reciban información sobre tus actividades en el juego o un comentario o enlace que compartas en Facebook desde su sitio web. Por otra parte, cuando descargas o usas dichos servicios de terceros, estos pueden tener acceso a tu perfil público, que incluye tu nombre de usuario o identificador de usuario, tu rango de edad, tu país e idioma, tu lista de amigos y cualquier otro dato que compartas con ellos. La información que recopilan las aplicaciones, los sitios web o los servicios integrados está sujeta a sus propias condiciones y políticas.
De forma muy amistosa y divertida (y con colores), se le informa al usuario que las plataformas “pueden” -desde el punto de vista jurídico es casi una afirmación pero dicho de forma diplomática- recibir información acerca de sus publicaciones y contenidos compartidos. Al finalizar -por si hasta el momento nos había quedado alguna duda- nuevamente se nos refresca que los datos recopilados por estos terceros, se sujetan a las propias condiciones y políticas establecidas por ellos.

Continuando con la sección 2 del DDR sobre “Contenido e información compartidos”, podemos encontrar una de las cláusulas madres sobre la cesión de licencias sobre los contenidos.
Eres el propietario de todo el contenido y la información que publicas en Facebook y puedes controlar cómo se comparte a través de la configuración de la privacidad y de las aplicaciones. Asimismo:
1. En el caso de contenido protegido por derechos de propiedad intelectual, como fotos y videos ("contenido de PI"), nos concedes específicamente el siguiente permiso, de acuerdo con la configuración de la privacidad y de las aplicaciones: nos concedes una licencia no exclusiva, transferible, con derechos de sublicencia, libre de regalías y aplicable en todo el mundo para utilizar cualquier contenido de PI que publiques en Facebook o en conexión con Facebook ("Licencia de PI"). Esta Licencia de PI finaliza cuando eliminas tu contenido de PI o tu cuenta, salvo si el contenido se compartió con terceros y estos no lo eliminaron.
Esta es la cláusula regula la propiedad intelectual (PI) sobre los contenidos, y es la que básicamente hace posible la propia existencia de cualquier servicio 2.0, toda vez que de no existir la cesión de licencias sobre los todos contenidos del usuario (de los cuáles el usuario declara tener los derechos suficientes para cederlas) tornaría jurídicamente imposible la existencia de todo el sistema. Sobre este tema y la explicación sobre las características de las licencias, remito a una antigua investigación que realicé [PDF] analizando las licencias en servicios Cloud Computing.

No obstante, es interesante hacer notar cómo en la redacción se sujeta la propia cláusula a la “configuración” de privacidad y de las aplicaciones que tenga el propio usuario. Como detalle jurídico, hago notar que otras empresas al menos limitan la finalidad de estas licencias (es decir, limitar para qué pueden ser utilizadas), como Google, que regula que la licencia cedida será limitada “operar, promocionar y mejorar nuestros Servicios, y para desarrollar otros nuevos”. Si bien la interpretación jurídica de esto puede ser amplio (la fórmula de “mejorar nuestros servicios” es bastante laxa), al menos es una limitación que podrá darnos algún derecho a reclamo si descubrimos que nuestros datos están siendo utilizados para finalidades totalmente distintas a una red social. En cambio, si vuelven a leer la última cláusula transcripta sobre PI, Facebook directamente no limita su uso y afirma que la licencia es para “utilizar cualquier contenido de PI que publiques...”. Si se pregunta si en la regulación de las Políticas de Privacidad existe algún tipo de limitación sobre la finalidad de la cesión, desde ya les adelanto que tampoco existe.

En la misma sección -Contenido e información compartidos-, pero dos cláusulas más adelante, encontramos una nueva referencia específica para la situación jurídica especial de las aplicaciones.
3. Cuando utilizas una aplicación, esta puede solicitarte permiso para acceder a tu contenido e información, y al contenido y a la información que otros compartieron contigo. Exigimos que las aplicaciones respeten tu privacidad, y tu acuerdo con la aplicación controlará el modo en el que esta use, almacene y transfiera dicho contenido e información. (Para obtener más información sobre la plataforma, incluido el modo de controlar la información que otras personas pueden compartir con las aplicaciones, lee nuestra Política de datos y la página de la plataforma).
Hasta este punto, el lector podrá ir comprendiendo que Facebook nos advierte (¿El que avisa no traiciona?) en reiteradas ocasiones sobre las aplicaciones y sus anunciados contratos especiales. Tras tantas advertencias algunos lectores podrán pensar... en el fondo son buena gente y les preocupa la privacidad de sus usuarios (si no, no nos merecen...). Sin embargo, desde el punto de vista jurídico mezclado con opinión personal, tanta advertencia tiene más aroma a “exclusión de responsabilidad jurídica” que a “nos preocupamos mucho por tu privacidad”.

Para acceder a estos anunciados contratos, basta con ir al propio buscador de Facebook (donde usted suele buscar alguna amistad), escribir alguna palabra que le interesa -horóscopos, poker, fútbol, etc-, y filtrar los resultados para que sólo se muestren las aplicaciones (podríamos también filtrar para que sólo se muestren lugares, grupos, etc). Para nuestro análisis, decidimos buscar “poker” y analizar la primera de las opciones que se nos propone, un tal “Poker Heat”, aprovechando en que el tema se pone cada vez más caliente.

Facebook nos indica inicialmente que dicha app tendrá acceso a mi nombre, edad, país, foto de perfil, sexo e idioma y “otra información pública” -veníamos bien indicando con precisión los datos cedidos hasta que la fórmula final termina con el encanto.... Es decir, en principio brindaríamos a cambio de jugar al póker, seis datos básicos más esta peligrosa cláusula abierta de “otra información pública”. Sin embargo, a renglón siguiente, se afirma: “Al continuar, aceptas las Condiciones del servicio y la Política de privacidad de Poker Heat”.

Finalmente nos encontramos con dos nuevos grandes contratos (agradezcan el inglés, podrían estar en alemán). En las Políticas de Privacidad, la empresa creadora de este juego nos informa que recolecta distintos tipos de información: personal y no personal. Entre la información personal, la empresa declara que obtendrá:
(1) Your first and last name (or the name you have associated with your device);
(2) Your social network or third party service user identification number (like your Facebook ID number), which is linked to publicly-available information like your name and profile photo (including the social network ID numbers and other public data of your friends);
(3) Your mobile device’s unique identifier (UDID);
(4) Your telephone number;
(5) Transaction identifiers for purchases;
(6) Your email address used to login the social network;
(7) Your profile picture or its URL; or
(8) Any other relevant information included in your application, social network or other online profile.
En el punto 2, se informa que recolectará nuestro ID de Facebook, el cuál está vinculado -y por lo tanto también se recolectará- con toda información disponible en modo público del usuario, así como toda otra información pública de tus amigos. Si, “toda otra información pública de tus amigos” implica al menos, nombre, apellido, foto de perfil y toda aquella información pública que tenga cualquiera de tus amigos en Facebook. Además recolectarán otros datos que no estaban en la lista inicial prometida por Facebook, tales como nuestro correo electrónico utilizado en la red social, nuestro número de teléfono, entre otros datos.

Sin embargo, como dirían los animadores de un viejo programa de televentas, “y eso no es todo”. El contrato de privacidad continúa con otra sección, sobre la recolección de información no personal (dudo que el concepto se ajuste a lo establecido a la Ley de Protección de Datos Personales Nº 25.326). Según la empresa, con este tipo de información, ellos no podrán contactarnos o identificarnos, así que podemos quedarnos tranquilos... ¿Será?. El listado de la información no personal que recolectarán cuenta con:
(1) Your age and date of birth;
(2) Your gender;
(3) Information about the hardware you may own;
(4) Your country;
(5) If applicable, your physical geolocation and that of the devices you use to access our Services;
(6) Your favorite websites, friend information and fan pages; or
(7) Any other information included in your application, social network or other online profile.
Los puntos 6 y 7 son los más complicados (dentro de lo ya complicado que estamos...). De acuerdo al punto 6, la empresa podrá recolectar (estamos dando consentimiento) nuestros sitios webs favoritos, información de amigos y fan pages. Nuevamente aparece la información de nuestros amigos sobre la que parece haber mucho interés. Y para cerrar la mesa, el punto 7 agrega que también recolectarán “toda otra información incluida en tu aplicación, red social o perfil online”. Pero... podemos jugar al poker online! GRATIS!!!

Si aún no desistieron de leer todo esto, les adelanto que por quedarse hasta aquí, tendrán una yapa doble de regalo de último momento. La primera es esta cláusula:
If non-personal information is collected for an activity that also requires personal information, Playtika may combine your non-personal information with your personal information in an attempt to provide you with a better user experience [...]
Es decir, si alguna actividad lo necesita (a criterio de ellos por supuesto), la empresa podrá “combinar” la información no personal con la personal, evaporándose así toda ilusión de privacidad o “no identificación” que nos habían prometido tres cláusulas antes. Pero eso no es todo, gentilmente nos detallan, a que información podrán referirse cuando se dice “other information”:

Other information Playtika may collect includes your occupation, language, zip code, area code, location, and the time zone where a Service is used, as well as information about your computer, mobile device, software, platform, incident data, Internet Protocol (IP) address, network Media Access Control (MAC) address and connection, browser type, browser language, referring pages, exit pages and URLs, number of clicks, domain names, landing pages, pages viewed and the order of those pages, statistics about your interactions with the Service, the amount of time spent on particular pages, and the date and time of this activity, so that Playtika can better understand customer behavior and improve its products, Services, and advertising.

En definitiva, podrá el lector haber observado que la cantidad de datos recolectados empieza a incrementarse y que lo prometido inicialmente por Facebook no se estaría cumpliendo, o bien, que su cláusula abierta de “otra información pública” incluye una importante cantidad de información personal que nos están sacando.

Como hemos dicho al comenzar el artículo, Facebook nos había advertido varias veces que, en caso de existir “discrepancias” -como estamos encontrando aquí- prevalecerán los contratos especiales de las aplicaciones, por lo tanto desde el punto de vista jurídico, las promesas jurídicas de Facebook quedan desplazadas y será el acuerdo con la empresa creadora de la app con quien deberemos acordar el cuidado de nuestra privacidad.

A modo de frutilla del postre, por si algún usuario quiere ejercer sus derechos de acceso a la información personal (y casualmente la empresa no responde), no se preocupen, la jurisdicción fijada en el contrato para resolver cualquier conflicto judicial es en Tel Aviv (Israel). Al menos es un lugar con buenas playas para disfrutar mientras esperamos que avance nuestro pedido judicial.

¿Podría Facebook realmente exigir que las empresas propietarias de las aplicaciones ofrezcan mejores condiciones de privacidad hacia los usuarios?. En principio, esas ganas de cuidar la privacidad no quedan tan demostradas desde lo jurídico, toda vez que en las “Política de la Plataforma de Facebook”, el propio Facebook les dice a los desarrolladores:
1. Ofrece una política de privacidad que esté a disposición del público y a la cual sea fácil acceder. La política debe explicar qué datos recopilas y cómo los utilizarás.
2. Puedes usar la información de la cuenta de acuerdo con tu política de privacidad y otras políticas de Facebook. Todos los otros datos solo se pueden usar fuera de tu aplicación, luego de obtener el consentimiento explícito del usuario.
Es decir, como la empresa desarrolladora analizada en este caso definió en sus propias políticas todos los datos que recolectará sobre nosotros -y nuestros amigos-, y nosotros lo aceptamos al momento de hacer click sobre el botón “Jugar” en Facebook, toda la recolección es legítima.

Recordemos que analizamos la primera aplicación entre los resultados propios de la búsqueda en Facebook, buscando el término “poker” (cualquier debería probarlo en sus propios perfiles). De acuerdo a lo informado por Facebook, esta app tiene alrededor de 500.000 usuarios (casi el doble de usuarios que habían aceptado la app encuesta que tanto se habló por el escándalo de Cambridge Analytica). Si multiplicamos este número por 2000 -cantidad promedio de amigos que podrían tener los usuarios que usan la aplicación- esta pequeña empresa podría llegar a tener en su poder información sobre mil millones de usuarios de Facebook. Pero... podemos jugar “GRATIS!!!” al Póker Online...

Haciendo una analogía con lo sucedido con los datos de Cambridge Analytica, ¿Qué garantías existen de que este tipo de empresas no cedan -vendan- nuestros datos?. ¿Es posible que Facebook (o cualquier otra empresa o incluso Estado) pueda garantizar que esto no suceda o vaya a suceder? Aquí mi respuesta deja de ser jurídica y pasa a ser desde la Seguridad de la Información. No, no es posible garantizar esto al usuario. La información ya no está bajo control de Facebook, y el cuidado de la misma ya depende de los adecuados niveles de seguridad que tenga la organización.

De hecho, si el usuario accede a la configuración de las aplicaciones dentro de su propia cuenta de Facebook, podrá observar que si decidimos desactivar por completo la Plataforma, se nos advierte que “Las aplicaciones que ya tengas instaladas pueden tener información que hayas compartido anteriormente. Por favor, ponte en contacto con estas aplicaciones para informarte sobre cómo eliminar estos datos”. Es decir, por más que ahora decidas eliminar todas las aplicaciones que tenías, los datos compartidos con estas empresas no se borrarán automáticamente y deberás ir empresa por empresa solicitando la eliminación de tus datos...

Alguien podría opinar que tuve mala suerte al seleccionar la app, y que seguramente existirán otras aplicaciones (los juegos cuentan como aplicaciones) que tienen políticas de privacidad mucho más protectoras de los usuarios. Es posible, así como también es muy posible encontrar otras tantas con políticas iguales o peores de las aquí analizadas, o que directamente ni tengan políticas de privacidad. Sería cuestión de ponerse a revisar todos y cada uno de los contratos, algo que Facebook ya nos prometió que haría en su pedido de disculpas pública...

El objetivo no es demonizar esta app de Póker ni mucho menos, es más, quizás el juego (que por las dudas no acepte) es maravilloso y entretenido. Bromas de lado, el problema no es esta app, sino que dicha situación jurídica sobre el acceso a nuestros datos es similar en la mayoría de las aplicaciones. Y recordemos que estas mismas condiciones se aplican si usan la app directamente desde Android, desde IOs o desde Facebook. El contrato es el mismo.

Cabría la realización de una importante cantidad de comentarios y preguntas sobre lo analizado, pero creo que la tarea que motivó el artículo se encuentra cumplida. Desenmarañar la ingeniería contractual no es nada fácil, implica ir interpretando y buceando de contrato en contrato, de cláusula en cláusula, algo que difícilmente (por no decir imposible) pueda realizar cualquier usuario promedio.

A modo de conclusión final, creo que el repaso sobre la letra chica debe servir como un llamado a la reflexión sobre el valor de nuestros datos personales. Datos que cada uno de nosotros decide voluntariamente ceder al momento de aceptar una aplicación o utilizar cualquier tipo de servicio. El núcleo está en el compromiso de privacidad, y sobre todo, en la posibilidad de control efectiva sobre el cumplimiento de ese compromiso.

Tampoco hay que irse a empresas en EEUU o Tel Aviv para descubrir la falta de interés en el cuidado de los datos personales y la privacidad de los usuarios. Esto también pasa a la vuelta de tu casa. En Argentina, hace 18 años tenemos una normativa (mejorable pero aceptable) de protección de datos personales y sin embargo, casi nadie la conoce o la cumple. Hagan los lectores el ejercicio, piensen en la última clínica u hospital donde dejaste te hiciste algún estudio y tienen datos de tu salud (datos sensibles), y la próxima vez que vayas probá hacer el ejercicio de preguntar por el cumplimiento de la Ley Datos de Personales Nro. 25.326. Y estamos hablando de datos más valiosos aún que los “Me gusta” de los perfiles de Facebook. Y es una norma vigente, exigible. No puedo dejar de hacer aquí mi comentario.

Todas las empresas hacen su negocio y hoy, el negocio son los datos de los usuarios. Creo que hay responsabilidades para repartir para todos lados. Facebook y su laxitud a la hora de exigir compromiso por parte de los desarrolladores. Los desarrolladores, en la falta de compromiso de extraer solamente los datos pertinentes para la prestación del servicio. Y por supuesto, una importante responsabilidad reside en el usuario, que se muestra desinteresado y estático en relación al cuidado de sus propios datos.

Creo que en el fondo debemos preguntarnos, qué tantos datos o cuánta privacidad estamos dispuestos a ceder por una aplicación o servicio “GRATIS”. La decisión es tuya...

(*) Autor: Marcelo Temperini: Abogado, especializado en Derecho Informático y Seguridad de la Información. Socio Fundador de AsegurarTe, Consultora en Seguridad de la Información. Doctorando en Derecho (FCJS - UNL) dedicado a la investigación de Delitos Informáticos y Cibercrimen.. Es Técnico Analista de Seguridad y Vulnerabilidad de Redes de Información (ESR-CISCO). Es Co-Director del Observatorio Latinoamericano de Delitos Informáticos: ODILA. Es Miembro de la Comisión Directiva de la Asociación de Derecho Informático de Argentina (ADIAr). Es Prosecretario en la Comisión de Derecho Informático y Nuevas Tecnologías del Colegio Público de Abogados de Santa Fe, 1ra. Circ. Judicial. Es docente en el Ministerio Público de la Acusación de la Provincia de Santa Fe, dictando capacitaciones a fiscales y miembros de la PDI en materia de Utilización de la tecnología al servicio de la investigación del delito. Es investigador y conferencista invitado en congresos y jornadas nacionales e internacionales.

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!