El tribunal superior de Europa agudiza la orientación para sitios que usan complementos sociales con fugas

El tribunal superior de Europa agudiza la orientación para sitios que usan complementos sociales con fugas

El máximo tribunal de Europa ha dictado una sentencia que podría afectar a numerosos sitios web que incorporan Facebook Botón "Me gusta" y recibe visitantes de la región.

El fallo del Tribunal de Justicia de la UE establece que dichos sitios son responsables conjuntamente del procesamiento inicial de los datos, y deben obtener el consentimiento informado de los visitantes del sitio antes de que los datos se transfieran a Facebook, o poder demostrar una base legal de interés legítimo para procesando estos datos.

El fallo es significativo porque, como parece ser el caso actualmente, los botones Me gusta de Facebook transfieren datos personales automáticamente, cuando se carga una página web, sin que el usuario tenga que interactuar con el complemento, lo que significa que si los sitios web confían en los visitantes " Al aceptar que se compartan sus datos con Facebook, es probable que deban cambiar la forma en que funcionan los complementos para garantizar que no se envíen datos a Facebook antes de que se pregunte a los visitantes si desean que el gigante de adtech rastree su navegación.

Los antecedentes del caso son una queja contra el minorista de ropa en línea, Fashion ID, por parte de una asociación alemana de protección al consumidor, Verbraucherzentrale NRW, que tomó medidas legales en 2015 para solicitar una medida cautelar contra el uso por parte de Fashion ID del complemento que, según afirma, infringió datos europeos. ley de proteccion

Los botones "Me gusta" de Facebook son un componente imposible de perder de la web general. Aunque es probable que la mayoría de los usuarios de Internet no sepan que Facebook utiliza los complementos sociales para realizar un seguimiento de los otros sitios web que visitan con fines de orientación de anuncios.

El año pasado, la compañía le dijo al parlamento del Reino Unido que entre el 9 de abril y el 16 de abril el botón apareció en los sitios web de 8.4M, mientras que su complemento social Share button apareció en los sitios de 931K. (Facebook también admitió en las instancias 2.2M de otra herramienta de seguimiento que utiliza para cosechar la actividad de navegación que no es de Facebook, llamada Pixel de Facebook, que está incrustada de forma invisible en sitios web de terceros).

El caso de Fashion ID es anterior a la introducción del marco de privacidad actualizado de la UE, GDPR, que refuerza aún más las reglas para obtener el consentimiento, lo que significa que debe ser específico para el propósito, informado y otorgado libremente.

La decisión de hoy de CJEU también sigue a otra decisión hace un año, en un caso relacionado con las páginas de fans de Facebook, cuando el tribunal tuvo una visión amplia de las responsabilidades de privacidad en torno a las plataformas, diciendo que tanto los administradores de páginas de fans como las plataformas anfitrionas podrían ser controladores de datos. Aunque también dijo que el control conjunto no implica necesariamente una responsabilidad igual para cada parte.

En la última decisión, el TJUE ha intentado establecer algunos límites en el alcance de la responsabilidad conjunta, encontrando que un sitio web donde está incrustado el botón Me gusta de Facebook no puede considerarse un controlador de datos para ningún procesamiento posterior, es decir, después de que los datos se hayan transmitido a Facebook Irlanda (el controlador de datos para los usuarios europeos de Facebook).

La responsabilidad conjunta cubre específicamente la recopilación y transmisión de datos Me gusta de Facebook a Facebook Irlanda.

"Parece, desde el principio, imposible que Fashion ID determine los propósitos y los medios de esas operaciones", el tribunal escribe en un comunicado de prensa anunciando la decisión.

"Por el contrario, Fashion ID puede considerarse un controlador junto con Facebook Ireland en lo que respecta a las operaciones relacionadas con la recopilación y divulgación por transmisión a Facebook Ireland de los datos en cuestión, ya que pueden concluirse (sujeto a las investigaciones que es para el Oberlandesgericht Düsseldorf [German regional court] para llevar a cabo) que Fashion ID y Facebook Ireland determinan conjuntamente los medios y propósitos de esas operaciones ".

En respuesta a la sentencia en una declaración atribuida a su abogado general asociado, Jack Gilbert, Facebook nos dijo:

Los complementos de sitios web son características comunes e importantes de la Internet moderna. Agradecemos la claridad que la decisión de hoy brinda a los sitios web y a los proveedores de complementos y herramientas similares. Estamos revisando cuidadosamente la decisión del tribunal y trabajaremos en estrecha colaboración con nuestros socios para asegurarnos de que puedan continuar beneficiándose de nuestros complementos sociales y otras herramientas comerciales en pleno cumplimiento de la ley.

La compañía dijo que podría realizar cambios en el botón "Me gusta" para garantizar que los sitios web que lo usan puedan cumplir con el GDPR de Europa.

Aunque no está claro qué cambios específicos podrían ser, como, por ejemplo, si Facebook cambiará el código de sus complementos sociales para garantizar que no se transfieran datos en el momento en que se carga una página. (Hemos pedido a Facebook y actualizaremos este informe con cualquier respuesta).

Facebook también señala que otros gigantes de la tecnología, como Twitter y LinkedIn, implementan complementos sociales similares, lo que sugiere que la sentencia CJEU se aplicará a otras plataformas sociales, así como a miles de sitios web en toda la UE donde este tipo de complementos surgir.

"Los sitios con el botón deben asegurarse de que sean lo suficientemente transparentes para los visitantes del sitio, y deben asegurarse de que tengan una base legal para la transferencia de los datos personales del usuario (por ejemplo, solo la dirección IP del usuario y otros datos almacenados en el usuario). dispositivo de cookies de Facebook) a Facebook ", dijo a TechCrunch Neil Brown, un abogado de telecomunicaciones, tecnología e internet en la firma de abogados del Reino Unido Decoded Legal.

"Si su base legal es el consentimiento, entonces deberán obtenerlo antes de implementar el botón para que sea válido; de lo contrario, habrán realizado la transferencia antes de que el visitante haya dado su consentimiento.

“Si se basa en intereses legítimos, que podría Rastreo: entonces deberán haber realizado una evaluación de intereses legítimos y haberla guardado en el archivo (contra el día (ciertamente improbable) que un regulador solicita ver), y necesitarán un mecanismo mediante el cual El visitante del sitio puede objetar la transferencia ".

"Básicamente, si las organizaciones están tomando en cuenta la guía reciente de ICO y CNIL sobre el cumplimiento de cookies, incluir en Facebook" Me gusta "y otras cosas similares con ese trabajo sería sensato", agregó Brown.

Comentando también la sentencia, Michael Veale, un investigador del Reino Unido que se dedica a las leyes / políticas de tecnología y privacidad, dijo que suscita dudas sobre cómo cumplirá Facebook con el marco de protección de datos de Europa para cualquier procesamiento adicional que lleve a cabo de los datos del complemento social.

"Para mí, todo el juicio deja abierta la pregunta" ¿por qué motivos puede justificar Facebook el procesamiento posterior de los datos de su código de seguimiento web? ", Nos dijo. “Si tienen que proporcionar transparencia para este procesamiento adicional, ¿qué les llevaría a ser controladores únicos a un controlador exclusivo, a quién y cuándo se proporcionará?

"Si tienen que demostrar que obtendrían una prueba de intereses legítimos, ¿cómo se verá afectado por la dificultad de brindar esa transparencia a los interesados?"

“¿Puede Facebook hacer un backflip y decir que para los usuarios de su servicio, sus términos de servicio en su plataforma justifican el uso adicional de los datos para los cuales los individuos deben haber sido informados por separado por el sitio web donde se recopiló?

"Entonces, la pregunta se reduce claramente a los no usuarios, o a los usuarios que efectivamente no son usuarios de Facebook mediante el uso efectivo de tecnologías como el aislamiento de la pestaña del navegador de Mozilla".

¿Hasta qué punto un píxel de seguimiento podría considerarse un "dispositivo similar" a una cookie es otra pregunta que se debe tener en cuenta?

El seguimiento de los usuarios que no son de Facebook a través de complementos sociales ciertamente sigue siendo un problema legal candente para Facebook en Europa, donde la compañía ha perdido dos veces en los tribunales el control de la privacidad de Bélgica sobre este tema. (Facebook ha seguido apelando.)

El fundador de Facebook, Mark Zuckerberg. También se enfrentaron preguntas sobre el seguimiento de los no usuarios el año pasado, por parte de los eurodiputados en el Parlamento Europeo, que lo presionaron sobre si Facebook utiliza los datos de los no usuarios para otros usos frente al propósito de seguridad de "mantener fuera el contenido" que, según él, exige que Facebook para rastrear a todos en Internet.

Los eurodiputados también querían saber cómo los no usuarios pueden evitar que sus datos se transfieran a Facebook. Zuckerberg no dio respuesta, probablemente porque actualmente no hay manera de que los no usuarios eviten que sus datos sean absorbidos por los servidores de Facebook, a menos que se queden fuera de Internet.


Source link