Cuando hablamos de rastreo en plataformas que contienen a millones de usuarios en su ecosistema como es el caso de Facebook, es difícil discernir hasta donde llega la realidad y donde comienzan las conspiraciones sin sentido. El caso de la red social durante el último mes se ha intensificado con una serie de revelaciones que ponían en tela de juicio la privacidad de los usuarios ante las prácticas de Facebook, finalizando con una noticia que podría darle luz verde para realizar un seguimiento de cualquiera, tenga o no cuenta.
A través de tres casos vamos escenificar el problema que se plantea finalizando con una de las acciones que se plantean ante la problemática aportada por un usuario en Alemania, en este caso por vías legales que ofrece la Unión Europea.
Facebook realiza seguimiento con la sesión cerrada
La primera vez que se tuvo constancia de la posibilidad ocurrió hace un mes. En ese momento un blogger australiano, Cubrilovic, destapaba en una entrada en su blog que había estado estudiando el comportamiento de la red social durante un largo tiempo.
El resultado de la investigación del blogger arrojó que la red social realizaba un seguimiento y rastreaba nuestros hábitos aún después de haber cerrado la sesión el usuario. Lo que se exponía era la práctica por la cual cada usuario estaba registrado bajo un identificador único que permanecía en el disco duro del usuario y que se enviaba a la red social cada vez que se visitaba una web de terceros que contenía algún plugin de Facebook. Lo peor como decía era que no hacía falta estar registrado.
La respuesta de la red social fue explicar que en algunas ocasiones se trataba de un fallo y en otras eran cookies que buscaban frustrar posible spam o phising.
Primera demanda por seguimiento sin consentimiento
Amparada en el estudio realizado por Cubrilovic, la usuaria estadounidense Broke Ruedge presentó el 14 de octubre la primera demanda contra la red social por violar las leyes federales sobre escuchas telefónicas en el país.
La mujer presentó la demanda en una corte federal de Misisipi con un informe donde demostraba el incumplimiento de contrato de la red social. Su acusación indicaba enriquecimiento injusto y violación e invasión de la privacidad, pidiendo daños y perjuicios por la misma y esperando alentar a otros tantos usuarios que crean estar en su misma situación. Se buscaba así crear la primera demanda colectiva ante los posibles usos en los que incurría la compañía.
Se investiga el posible mantenimiento de los datos borrados por usuarios
El 21 de octubre se avanzada en otra dirección. La denominación derecho al olvido era motivo de controversia. Al parecer, una investigación indirecta llevada a cabo por un estudiante en Australia acabó con la petición de este de los datos que tenía Facebook de su persona.
El resultado, sorprendente, indicaba que existían en el "disco duro" de la compañía información que había sido eliminada por el usuario en el tiempo. Así lo explicaba Max Schrems:
>Descubrí que Facebook había guardado mensajes muy personales que yo había escrito y después eliminado, datos que podrían salir a la luz y dañar mi reputación. […] No quiero decir que haya algo criminal o prohibido en mis datos pero alguien que aspira a trabajar en el mundo del derecho debe velar porque sus conversaciones privadas no se conviertan en un material que le impidan conseguir un empleo. Si Facebook guarda todos esos datos está actuando de la misma manera que el KGB o la CIA. […] La información es poder y la información sobre la gente es poder sobre la gente, por tanto, asusta ver la cantidad de datos que Facebook almacena sobre las personas. ¿Y si alguien pudiese hackear Facebook y accediese a todos esos datos?
Aunque Facebook alega que actuó bajo el marco de la legalidad con respecto a la solicitación del usuario, la retención de nuestros datos, los cuales creemos borrados, añadía más leña a lo que se hace o no en la compañía con nuestra información. El estudiante acabó acusando a la red social y ésta podría enfrentarse a sanciones de 100.000 euros si prospera la investigación.
Investigador revela solicitud de patente que rastrea a usuarios que no tienen cuenta
Y así llegamos al día de hoy, momento en el que Bruce Schneier, investigador de seguridad, revela en una entrada de su blog que la compañía se encuentra en solicitud de patente que permita rastrear a los usuarios sin que estos estén conectados. La solicitud no queda ahí, ya que también permitiría el seguimiento de terceros que ni siquiera tienen cuenta en Facebook.
La red social se ha defendido explicando que es sólo una solicitud y que no se rastrearán ni crearán perfiles en torno a los "no-usuarios".
La patente dice así bajo el número 2011/023240:
>Comunicación de la información en un sistema de red social acerca de las actividades en otro dominio:
>Para realizarlo, se describe como un método para el seguimiento de la información sobre las actividades de los usuarios de un sistema de redes sociales mientras se encuentre en otro dominio. El método incluye el mantenimiento del perfil para uno o más usuarios del sistema, cada perfil identifica una conexión con uno o más usuarios del sistema así como información sobre el usuario.
>El método incluye, además de recibir una o más comunicaciones desde un sitio web de terceros con un dominio diferente del sistema de redes sociales, mensajes de comunicación de las acciones tomadas por un usuario del sistema de redes sociales en el sitio web de terceros. El método además incluye el registro de las acciones registradas por uno o más anunciantes y a uno o más usuarios de ese sitio web de terceros.
Solución a los datos que tiene Facebook de nosotros (si vives en la UE)
¿Qué podemos hacer ante la posibilidad de que todo esto sea cierto? Bien, aunque cada país tiene sus propias leyes en torno a la privacidad de los usuarios con las compañías que operan en la red, un joven austriaco mostró hace unos días una primera acción para los ciudadanos de la Unión Europea.
Max Schrems, de 24 años, se propuso requerir a la UE que Facebook le facilitara todos los datos que tienen de él, consiguiendo actualmente un CD enviado por la compañía con toda la información. Con ellos ha emitido 22 denuncias contra Facebook en la oficina del Comisionado de Protección de Datos de Irlanda.
En las denuncias podemos encontrar acusaciones de todo tipo que van desde retención de datos borrados, retención de datos sin conocimiento del usuario, retención de conversaciones en el chat...
Estos son los pasos a seguir que colgó Schrems, sólo aplicable en ciudadanos de la Unión Europea:
- Ir al siguiente enlace.
- Rellenar el formulario.
- Especificar en el mismo (y según explica la Naked Security) lo siguiente:
>Section 4 DPA + Art. 12 Directive 95/46/EG
- Darle a Enviar y esperar la aprobación.
Aunque sea un comienzo, esta es la forma legal de que la red social nos haga llegar toda la recopilación de nuestros datos en la Unión Europea. Si vivís en otra zona y sabéis como hacer llegar el envío, podéis ayudar a otros usuarios interesados a través de los comentarios.