Facebook podría enfrentarse a un nuevo escrutinio en Europa luego de un informe de TechCrunch sobre el uso de una aplicación VPN para monitorear la actividad de los teléfonos inteligentes de las personas, incluidos adolescentes de 13 años.
La Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés) nos dijo que le pidió a Facebook que proporcione más información sobre qué datos se recopilan a través del programa de investigación de mercado, cuyo nombre en código es "Proyecto Atlas", para que pueda determinar si existen motivos para una investigación adicional.
“El DPC irlandés solo se dio cuenta de esta historia a través de los informes de los medios de esta mañana. Antes de poder realizar una evaluación sobre si existe o no algún problema de protección de datos, deberemos comprender mejor en qué medida, cómo y sobre qué base se procesan y utilizan los datos personales en cuestión. Hemos pedido a Facebook que nos brinde esta información ", dijo el jefe de comunicaciones del DPC, Graham Doyle.
Según la legislación de la Unión Europea, existen requisitos especiales para el procesamiento de datos personales de menores. Y, como informamos anteriormente, el programa de investigación de Facebook está abierto a personas de todo el mundo, aunque la compañía aún tiene que confirmar si hay algún adolescente participante en Europa. (Hemos pedido y actualizaremos este informe con cualquier respuesta).
Si resulta que los adolescentes europeos han estado participando en el esfuerzo de investigación, Facebook podría enfrentar otro aluvión de quejas en virtud del Reglamento General de Protección de Datos (GDPR) del bloque, y la posibilidad de multas importantes si alguna agencia local determina que no cumplió con el consentimiento. y los requisitos de 'privacidad por diseño' incorporados al régimen de privacidad del bloque. (La sede internacional de Facebook se encuentra en Irlanda, lo que convierte al DPC irlandés en la agencia líder para cualquier investigación del proyecto).
Menos conscientes de los riesgos
Al establecer las condiciones aplicables al consentimiento para procesar los datos personales de niños de 13 años o más, una sección del texto del GDPR dice: "Los niños merecen una protección específica con respecto a sus datos personales, ya que pueden ser menos conscientes de los riesgos y consecuencias. y las garantías pertinentes y sus derechos en relación con el tratamiento de datos personales ".
"Dado que los niños merecen una protección específica, cualquier información y comunicación, donde el procesamiento está dirigido a un niño, debe estar en un lenguaje tan claro y claro que el niño pueda entender fácilmente", comenta otro.
La aplicación VPN que Facebook ha estado usando como un vehículo de recolección de datos (ya que informamos sobre la historia de que está cerrada la versión iOS de la aplicación) requiere que los participantes den acceso de raíz a su dispositivo, lo que podría ofrecer a la empresa una vista de muy alta resolución de Su actividad digital en efecto.
Según una investigación que encargamos que los datos recopilados de forma continua a través de la aplicación VPN podrían incluir mensajes privados en aplicaciones de redes sociales; chats desde aplicaciones de mensajería instantánea, incluidas fotos / videos enviados a otros; correos electrónicos búsquedas web; actividad de navegación web; y la información de ubicación en curso.
Aunque Facebook tampoco ha confirmado exactamente qué tipo de datos obtiene a través del programa.
A los participantes se les ofrecen pagos de hasta $ 20 (en fichas de regalo electrónico) para incentivarlos a que se registren para que sus datos se recopilen de manera continua, con el programa abierto para personas de 13 a 35 años.
Facebook dice que se requiere el consentimiento de los padres para los menores de 13 a 17 años. Pero no está claro qué tan sólido es el proceso de verificación de edad de la compañía, después de que el periodista de la BBC Dave Lee informara que pudo inscribirse para participar en el Proyecto Atlas, más temprano hoy, como un "niño de 14 años … con dos niños".
"No se requiere ninguna prueba de consentimiento de los padres en absoluto. Me acaban de enviar un enlace para descargar la aplicación iOS ", agregó a través de Twitter.
Entonces, aunque Facebook nos dijo anteriormente que menos del 5% de los (número desconocido de) participantes en el programa de investigación son adolescentes, no está claro si puede hacer ese tipo de afirmación, o incluso poner una cifra verificable sobre la participación de los niños en el programa, si su proceso de verificación de la edad falla en el primer obstáculo.
Hemos contactado con Facebook para hacer preguntas y con las compañías de pruebas de aplicaciones con las que ha estado trabajando para administrar el programa, es decir, Applause / uTest y BetaBound – para preguntar cómo verifican la edad de los participantes y cómo se recopilan los consentimientos de los padres. Al momento de escribir este artículo, ninguno había contestado.
En una declaración anterior, proporcionada en respuesta a nuestro primer informe sobre el Proyecto Atlas, Facebook defendió la iniciativa y dijo:
Al igual que muchas compañías, invitamos a personas a participar en investigaciones que nos ayuden a identificar cosas que podemos estar haciendo mejor. Dado que esta investigación tiene como objetivo ayudar a Facebook a comprender cómo las personas usan sus dispositivos móviles, hemos brindado amplia información sobre el tipo de datos que recopilamos y cómo pueden participar. No compartimos esta información con otras personas y las personas pueden dejar de participar en cualquier momento.
Preguntas sobre la verificación
Regresando a la GDPR, el Artículo 8, que se refiere a la aplicación de las condiciones al consentimiento de los niños para el procesamiento de datos personales, establece que los controladores de datos deben hacer "esfuerzos razonables" para verificar el consentimiento al procesar los datos personales de los niños:
El controlador deberá hacer esfuerzos razonables para verificar, en tales casos, que el titular de la responsabilidad parental sobre el niño otorga o autoriza el consentimiento, teniendo en cuenta la tecnología disponible.
Y en una guía adicional sobre las condiciones para procesar los datos de los niños, la agencia de protección de datos del Reino Unido dice que "la protección de datos por diseño y por defecto" debe ser la línea de base.
"La transparencia también es clave", continúa. “Puede aumentar la conciencia de los niños (y de sus padres) sobre los riesgos, consecuencias, salvaguardas y derechos de protección de datos al: Contarles lo que está haciendo con sus datos personales; Ser abierto sobre los riesgos y salvaguardas involucrados; y hacerles saber qué hacer si no están contentos. Esto también les ayudará a tomar decisiones informadas sobre qué datos personales desean compartir ”.
Facebook ha dicho que los formularios de consentimiento de los padres fueron "firmados" y también afirma que proporcionó "información extensa" sobre los datos que se recopilan. Sin embargo, quedan muchas preguntas sobre cuán sólidamente se verificaron las edades de los participantes; cómo se obtuvieron los consentimientos de los padres; así como la calidad y accesibilidad de la información proporcionada a padres y adolescentes.
A un experto en protección de datos de la UE con sede en el Reino Unido, le Pat Walshe, sugirió que el enfoque del consentimiento descrito en el artículo no pasaría a ser considerado bajo el GDPR.
Además de ofrecer hasta $ 20 al mes para incentivar a los adolescentes a que dejen de lado su privacidad, el programa de Facebook también incluía un esquema de referencia, lo que significaba que los usuarios podían aumentar sus "ganancias" al recomendar a un amigo. Tácticas de "piratería de crecimiento" implementadas por desarrolladores de aplicaciones en todo el mundo con la esperanza de provocar una carrera viral para su último lanzamiento.
Pero una ejecución viral en la privacidad de los niños no sería del todo buena.
En los casos en que los menores se inscribieron para ser vistos por Facebook, el programa parece haberlos recompensado por molestar a sus compañeros para que hagan lo mismo.
Sin embargo, un sistema de verificación de edad que no puede distinguir a un hombre adulto de un niño de 14 años parece poco probable que sea capaz de identificar correctamente a un niño menor de 13 años que, digamos, pretende ser un adulto para obtener algo de dulce. -recompensas …
El otoño pasado, el comisionado para niños de Inglaterra publicó un informe que planteaba preocupaciones sobre la forma en que los datos de los menores se recopilan y comparten de forma generalizada, tanto en el sector privado como en el público, y escriben que: "Los niños y los padres deben ser mucho más conscientes de lo que Ellos comparten y consideran las consecuencias ".
El ICO del Reino Unido actualmente está trabajando en un Código de práctica de diseño apropiado para su edad, que una vocera nos dijo que saldrá a finales de este año, luego de las respuestas a una solicitud de evidencia el verano pasado.