META: Resumen de su Política de Privacidad

Actualizada a 10 de septiembre de 2023

Javier Yáñez López, 2023

javieryanezlop@gmail.com

En este artículo se tratará de desglosar de una manera breve, clara y accesible la Política de Privacidad que posee una de las empresas internacionales más grandes hasta la fecha en la era digital. Intentaré ser todo lo conciso que pueda para crear un resumen de las claves esenciales y que así puedas evitar la lectura de +100 páginas, aunque sería recomendable hacerlo.

El 7 de septiembre de 2023 se ha actualizado la Política de Privacidad de Meta. La finalidad de este cambio es dejar constancia de que ahora se basan en la decisión de adecuación de la Comisión Europea respecto al Marco de Privacidad de Datos EU-EEUU cuando transfieren determinada información a los Estados Unidos. Se amparan en las decisiones de la Comisión Europea que reconocen que determinados países y territorios externos al Espacio Económico Europeo garantizan un nivel suficiente de protección de la información personal. Estas resoluciones se denominan “decisiones de adecuación”, más adelante profundizaremos más en esto.

La Política comienza por ampliarnos un poco el tipo de información que recogen y tratan sobre ti, y nos especifican que depende de cómo uses sus Productos, -recordemos que Instagram, Facebook, Messenger, Oculus o WhatsApp forman parte del ecosistema de Meta-. Por ejemplo, recogen información diferente si vendes muebles en su marketplace o publicas un reel en Instagram. Y que sepas que recogen información sobre ti incluso si no tienes una cuenta con ellos.

Recogen la actividad que realizas a través de todas sus plataformas y productos y la información que proporcionas. Así las más relevantes o curiosas me parecen los audios; configuración de tu galería y ubicación desde donde se han tomado las fotos; contenido de tus mensajes (excepto los cifrados de extremo a extremo, a no ser que exista denuncia por medio); anuncios que ves; ubicación general a través de tu IP (incluso si tienes el GPS desactivado); aplicaciones que usas; historial web en su navegador interno; datos de tu tarjeta de crédito; tus contactos y su correo electrónico o número de teléfono (al sincronizar la libreta de direcciones); o la hora, frecuencia y duración del tiempo que consumes en sus plataformas. Sin embargo, los datos de categoría especial como religión, etnia, orientación sexual, etc. son optativos y solo serán recopilados si les permites hacerlo. También recopilan información de cómo interactúas con amigos, seguidores, cuentas…y en qué medida; tu tipo de dispositivo, características, señal de tu dispositivo y un largo etcétera.

Sin embargo, hay algo curioso que también reciben y comparten, y es información de terceros, socios o proveedores que utilicen Meta Audience Network (entre los que se encuentra el famoso motor de desarrollo de videojuegos Unity o Media.net, una de las redes mundiales más grandes de publicidad contextual, por ejemplo). Y esto significa que saben lo que compras pese a que lo hagas a través de plataformas que no formen parte de Meta, conocen tus cookies o las aplicaciones que usas, independientemente de que tengas o no una cuenta con ellos. Vamos, que si tu intención es escapar de las garras de Meta, se antoja bastante complicado hoy en día. Sí es cierto que en las preferencias de anuncios puedes configurar que no se muestren anuncios basados en tu actividad en otros sitios web y aplicaciones, aunque esta opción es desconocida por gran parte de su público.

Sin ir más lejos, Instagram en 2021 y según un estudio de pCloud compartido por Statista compartía con terceros un 79% de los datos de sus usuarios.

Si eres de esas personas que está preocupada constantemente acerca de no compartir su ubicación GPS con terceros… bueno… simplemente decirte que lo saben igual. La diferencia radica en que en un caso les estás otorgando permiso directamente para conocer el punto con precisión prácticamente exacta y en otro caso ellos se encargarán de analizar y recopilar los datos que tu teléfono comparta a través de señales como Bluetooth, puntos de acceso wifi cercanos, torres de telefonía móvil o balizas. Es decir, no conocen tu punto exacto pero casi.

Con lo mencionado hasta ahora vemos que los datos llegan a las manos de Meta a través de los propios usuarios. Sin embargo, el hambre de datos no termina ahí. Y es que, a mayores, Meta sale en busca de fuentes externas y públicas como foros, documentos académicos, proveedores de márketing, autoridades gubernamentales, etc. para alimentar y mejorar, entre otras muchas cosas, sus tecnologías de IA y, usando sus propias palabras, «apoyar la investigación y el desarrollo de productos de IA”.

Si bien es cierto que en algunos casos Meta aclara que seudonimiza o anonimiza información a través de terceros para impedir que se te identifique, habría que pararse a analizar qué tipo de cifrado utiliza. Pero ya tendremos tiempo en otro artículo futuro para hablar de la Identidad Digital y potenciales casos de uso, especialmente en blockchain y de una manera descentralizada, identificadores descentralizados (DID), Identity Hubs, etc.

Una cosa que desconocía y me resultó curiosa es que Meta, a través de un algoritmo y su IA, es capaz de diagnosticar cuando alguien podría necesitar ayuda -especialmente diagnosticando conductas suicidas- y un supervisor revisa la publicación manualmente, siendo capaz de ofrecer asistencia de ser necesario.

¿Cómo comparte Meta tu información entre sus Productos o con sus socios?

Cuando te comunicas y compartes información a través de Instagram o Facebook, a veces puedes elegir quién puede ver lo que compartes. Cuando interactúas con personas o empresas, éstas pueden ver aspectos como artículos que compartas, información que añadas a tu perfil, fotos, stories… Por ejemplo, si en Messenger o en un juego de móvil estás online esto puede ser visible por las empresas u otros usuarios.

Cierta información y algunos datos sobre tu actividad son siempre públicos, como tu nombre, tu nombre de usuario de Facebook e Instagram, la foto del perfil y la actividad que realizas en páginas y grupos públicos de Facebook. Otro contenido que se puede definir como público son los comentarios que publiques en un perfil o página pública.

Es importante aclarar que también es posible descargar contenido categorizado como público, así como acceder a ello, a través de servicios de terceros, como motores de búsqueda, APIs, televisiones, etc. Por ejemplo, si publicas un reels este puede ser descargado por cualquier persona para hacer un remix o subir una reacción con tu contenido; aparecerá que es tu contenido, pero perderás el control de cómo es difundido. Existe una opción para desactivar esta posibilidad de que cualquiera pueda utilizar tu contenido, pero sin embargo viene desactivada por defecto.

A mayores, los socios integrados de Meta solicitan tu permiso para acceder a determinada información adicional desde tu cuenta de Facebook, Instagram o Messenger. En la solicitud, se te debe indicar la información a la que se quiere acceder y podrás especificar si deseas que se comparta o no. En Facebook, esto incluye datos como la dirección de correo electrónico, el lugar de residencia habitual o el cumpleaños. En Instagram, se aplica a contenido que has compartido desde tu cuenta, cuando la tenías configurada como privada.

Las aplicaciones o los sitios web a los que hayas accedido mediante el inicio de sesión con Facebook o que hayas conectado a tu cuenta de Instagram pueden acceder a tu información no pública en los Productos de Meta, a menos que les conste que no has utilizado dichas aplicaciones o sitios web en un periodo de 90 días. Ten en cuenta que, aunque caduque el acceso a tu información dentro de una aplicación, esta aún puede conservar la información que hayas compartido con ella en el pasado. Este aspecto puede ser consultado en la configuración de aplicaciones y sitios web para revisar qué aplicaciones y sitios web siguen teniendo acceso a tu información a través de Instagram o del inicio de sesión con Facebook.

Antes mencionamos a los socios integrados y es que, bajo la definición de Meta, estos son “los que utilizan tecnologías que ayudan a que conectes con él a través de sus Productos, como plugins, inicios de sesión, experiencias de finalización de compra, juegos instantáneos y otras integraciones”.  Y proceden a aclarar que son esos socios integrados, a través de sus métodos, los que administran la información que compartes con ellos según sus propias condiciones y políticas, no las de Meta.

Me parece importante mencionar que en caso de usar el inicio de sesión con Facebook para entrar a una aplicación, su desarrollador puede solicitar acceso a tu lista de amigos. Si le concedes permiso para ver esa lista, este podrá ver cuales de tus amigos usan la misma aplicación, así que es importante considerar si a tu amigo realmente le gustaría ser incluido en los datos recopilados por esa aplicación a la que accedes, aunque también cabe la posibilidad de que tu amigo decida retirar el permiso para aparecer en las listas de otros amigos que se comparten con diferentes aplicaciones.

En relación a la información que Meta comparte de ti especifican que no venden tu información ni la venderán, pero sí que la compartirán con terceros como socios, anunciantes, analistas, proveedores de márketing, medición o servicios. Podrían compartir que la mayoría de personas que han visto un anuncio o hicieron clic son mujeres, entre 25 y 34 años, desde qué dispositivo se ha realizado dicho clic y en qué horario o lugar, por ejemplo. Sin embargo, no comparten información que se pueda usar para contactar contigo o identificarte (como tu nombre o dirección de correo electrónico), salvo que les des permiso para ello.

Otro ejemplo, si realizas una compra en una tienda de Instagram con la función de finalización de compra, dicha tienda recibirá información para completar tu transacción, como los artículos del pedido, tus datos de contacto y detalles sobre el envío. Si la tienda realiza esta transacción a través de un proveedor de servicios de pago, como PayPal, este recibirá el importe de la operación, una descripción (que aparecerá en el extracto de tu tarjeta de crédito) e información sobre la tarjeta que uses en la operación (por ejemplo, el nombre del titular, el número de tarjeta, la fecha de caducidad y la dirección de facturación).

Otra curiosidad es que si Meta vendiese su negocio, de forma total o parcial, proporcionarán tu información a los nuevos propietarios como parte de dicha transacción, pero únicamente según lo permita la legislación aplicable. Y ya que mencionamos la legislación, es obvio que compartirán información con terceros en respuesta a requerimientos judiciales. Me parece importante aclarar, por si alguien no se acuerda, de que también Meta y sus Productos (Instagram, Facebook, Messenger, etc.) comparten información tuya con las Empresas de Meta, como WhatsApp.

¿Cuál es la base jurídica para tratar tus datos y cuáles son tus derechos?

Como aclara Meta, de conformidad con la legislación sobre Protección de Datos aplicable, las empresas deben estar legitimadas para poder tratar datos personales. Cuando hablamos de “tratamiento de datos personales”, nos referimos a cómo son recogidos, usados y compartidos. Siempre tendrás derecho a solicitar el acceso a tu información, su rectificación y su eliminación.

De esta manera, Meta tratará tu información si les das consentimiento. Por ejemplo, puedes permitir que te muestren anuncios personalizados, así como retirar el consentimiento en cualquier momento. Si estás mínimamente familiarizado con el RGPD sabrás que siempre podrás ejercer los siguientes derechos:

• Acceder y/o rectificar tu información.
• Retirar el consentimiento que has otorgado para el tratamiento de tus datos en cualquier momento. Sin embargo, ello no afectará a la licitud de los tratamientos realizados basados en el consentimiento antes de su retirada.
• Solicitar que se suprima tu información, si existen fundamentos para hacerlo. También puedes realizar la acción de borrado por tu cuenta, eliminando información específica o tu perfil. Recuerda que la información podría tardar hasta 90 días en borrarse y una vez eliminada la información, Meta puede tardar hasta 90 días adicionales en borrarla de sus sistemas de recuperación. Es decir, podrían transcurrir hasta 6 meses desde tu solicitud.
• Oponerse a ciertos tratamientos de tu información y a limitarlos. Puedes utilizar el enlace de cancelación de suscripción que se incluye en los diferentes medios de comunicación comercial. Puedes oponerte a que traten tu información cuando se basen en intereses legítimos o realicen una tarea de interés público.

Y recuerda que en caso de entender vulnerado alguno de estos derechos siempre podrás presentar una reclamación ante la AEPD, para ello necesitarás disponer de pruebas o indicios que acrediten la vulneración de tu derecho.

Respecto a la duración de conservación de los datos, Meta conserva la información durante el tiempo que considere necesario, también para cumplir con sus obligaciones legales, de las que hablaremos más tarde,  o para proteger sus intereses o los de otras partes. Ellos deciden por cuánto tiempo necesitan la información en función de cada caso en particular.

En algunos casos hasta pueden conservar tu información incluso después de que solicites que se elimine tu cuenta o parte de su contenido, aludiendo motivos como un requerimiento u obligación legal, una investigación gubernamental, investigaciones acerca de posibles infracciones de sus condiciones o políticas, para prevenir daños, o por si es preciso en relación a reclamaciones, quejas, litigios o procedimientos reglamentarios. También podrían conservar información de cuentas desactivadas y contenido eliminado por infringir sus condiciones y políticas. Añaden que también se reservan el derecho de transferir información personal a las autoridades competentes en caso de situaciones de emergencia como un riesgo de muerte o peligro de daño inminente.

Pasando al ámbito de cómo transfieren tu información y por qué consideran necesario hacerlo. Meta es una plataforma global y necesita poder operar y proporcionar los servicios ofrecidos en todo el mundo, sin embargo su nacimiento se produce en los EEUU, y buena parte de su negocio se lleva a cabo en dicho país. Hasta hace unos años, los ciudadanos miembros de la UE, se encontraban protegidos por el Privacy Shield -un mecanismo de transferencia transatlántica de datos entre la UE y EEUU-, pero una sentencia del TJUE (16 de julio de 2020) anuló la Decisión 2016/1250 de la Comisión, que declaraba el nivel adecuado de protección que poseía el mencionado Privacy Shield. Desde la Sentencia, Meta ha dedicado esfuerzos para garantizar poder seguir transfiriendo datos de forma segura y protegida de conformidad con el RGPD, más estricto que el Privacy Shield. Meta se ampara en las decisiones de la Comisión Europea que reconoce que determinados países y territorios externos al EEE (Espacio Económico Europeo) garantizan un nivel suficiente de protección de la información personal; son las llamadas decisiones de adecuación. En virtud de las mencionadas decisiones de adecuación, pueden transferir la información recogida en el Espacio Económico Europeo a Argentina, Israel, Nueva Zelanda, Suiza, el Reino Unido, EEUU o Canadá.

Para finalizar, Meta advierte de que cualquier cambio sustancial en su Política de Privacidad será notificada, dándote así la opción de leer y revisar antes de decidir si continuas usando sus Productos.

Como vemos, resulta fundamental para un consumidor y usuario estar informado sobre las políticas de privacidad de empresas como Meta, ya que esto garantiza la protección de sus datos personales y les permite tomar decisiones informadas sobre su participación en la plataforma. Desde la perspectiva de un abogado especializado en nuevas tecnologías, el conocimiento de estas políticas es esencial para asesorar a los clientes en cuestiones legales relacionadas con la privacidad digital y garantizar el cumplimiento de las leyes de protección de datos.