La regulación y ordenación de las actividades desarrolladas en la Red resulta con frecuencia una tarea compleja, en ocasiones agravada por la “deslocalización” propia de algunas de esas actividades que dificulta la determinación de los órganos competentes para la aplicación de la ley o la identificación del régimen jurídico aplicable (así como en su caso la localización de los responsables). Sin embargo, además de complejidad a veces hay que hablar de perplejidad ante la deficiente aplicación del ordenamiento jurídico (con sus eventuales carencias). Así ha ocurrido en España tradicionalmente en relación con los juegos de azar en línea, con la tutela de la propiedad intelectual (lo que no justifica recurrir a crear un Comisión como la recién regulada en el RD 1889/2011 y que merece su propia entrada) y en la UE en materia de protección de datos personales. En relación con este aspecto, y al hilo de alguna de las entradas anteriores, resulta apropiado hacer referencia al Informe de la auditoría en materia de protección de datos de Facebook Ireland Ltd publicado el pasado 21 de diciembre por el Comisario de protección de datos de Irlanda, acompañado de un Análisis técnico de ciertos aspectos de la arquitectura, infraestructura y funcionalidad de Facebook.
El particular interés de este Informe desde la perspectiva española y europea se vincula con la circunstancia de que los usuarios de Facebook residentes en España (en realidad todos los residentes fuera de EEUU y Canadá) al aceptar las condiciones de uso de Facebook quedan vinculados contractualmente con Facebook Ireland Ltd y no con Facebook Inc según esas condiciones. De hecho en la medida en que quepa considerar que el responsable del tratamiento de los datos personales es esa empresa establecida en Irlanda, del artículo 4.a) de la Directiva 95/46/CE (que tiene su reflejo en el artículo 2 LOPD) se desprende que al tratamiento de datos por ella en principio es aplicable la legislación irlandesa, salvo que quepa apreciar que el responsable también está establecido en España y efectúa el tratamiento en el marco de las actividades de su establecimiento en España o se considere que el verdadero responsable del tratamiento es Facebook Inc de modo que no está establecido en la UE y utiliza en el tratamiento medios situados en territorio español (en relación con Facebook Inc. y Facebook Spain, S.L. vid. –aunque sin plantear estas cuestiones- la resolución de archivo de actuaciones del Director de la AEPD de 21 de marzo de 2011 en el expediente Nº: E/01109/2010, disponible en http://www.agpd.es/).
El Informe de la auditoría realizado en el marco de la autoridad irlandesa de protección de datos contiene un elaborado análisis de las prácticas en materia de protección de datos de Facebook, detallando ciertas recomendaciones para mejorar esas prácticas, las respuestas de Facebook al respecto incluyendo sus intenciones de adoptar medidas correctoras y los plazos anunciados para la introducción de esas medidas. El informe advierte de que sus recomendaciones no implican que las prácticas actuales de Facebook Ireland Ltd. violen la legislación irlandesa de protección de datos personales ni la toma de decisiones respecto de las reclamaciones frente a Facebook presentadas ante la autoridad irlandesa de protección de datos.
La formulación de recomendaciones en el Informe pone de relieve el contraste entre las prácticas de Facebook y lo que se considera el modo apropiado o preferible de proceder en el marco de la legislación europea (conforme a su transposición en Irlanda) sobre protección de datos personales en cuestiones de importancia como las siguientes: la configuración y puesta a disposición de la política de privacidad; la información a los afectados acerca del uso de sus datos personales para generar publicidad dirigida; la practica de retención por tiempo indefinido de los llamados “ad-click data”; el respeto al ejercicio del derecho de acceso tanto de los usuarios como de tercero cuyos datos son objeto de tratamiento; las prácticas de retención de datos respecto de los contenidos suprimidos por los usuarios; la necesidad de eliminar los datos recogidos para su tratamiento con una finalidad que ha desaparecido; el tiempo y las finalidades con las que pueden ser tratados los datos recogidos de los llamados “social plug-ins” (“me gusta”); la obtención del consentimiento informado de los usuarios con respecto a la autorización a los proveedores de aplicaciones externas a acceder a su información personal; la aplicación de técnicas de reconocimiento facial; las medidas de seguridad aplicadas; la eliminación definitiva de las cuentas de los usuarios y su información en un determinado periodo de tiempo desde que lo soliciten…
En el ámbito de la protección de datos personales, la práctica del Grupo de Trabajo del artículo 29 -órgano consultivo establecido en virtud del artículo 29 de la Directiva 95/46/CE- y de las autoridades nacionales en materia de protección de datos refleja la importancia atribuida en el ejercicio de las funciones de estas autoridades –y como complemento del ejercicio de la potestad sancionadora- a actividades tendentes a facilitar la adecuación del funcionamiento de sectores de actividad a la legislación sobre protección de datos –como ilustran en España las Recomendaciones adoptadas por el Director de la AEPD-. Asimismo, la reciente evolución normativa en España refuerza una cierta flexibilización en la imposición de sanciones por incumplimiento de la legislación sobre protección de datos, como deriva del nuevo apartado 6 añadido al artículo 45 LOPD por la disposición final quincuagésima sexta de la Ley 2/2011 de 4 de marzo de Economía Sostenible, que permite que excepcionalmente el órgano sancionador pueda “no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes”. Asimismo, tampoco cabe desconocer que el marco normativo europeo en esta materia se halla actualmente en fase de revisión, en buena medida para adaptarlo a las exigencias de la evolución de la sociedad de la información.
Ahora bien, la lectura del informe reseñado y de las prácticas que describe viene a confirmar las dudas acerca de cómo las autoridades de protección de datos europeas (de Estados miembros de la UE) han desempeñado sus funciones de velar por la aplicación de la legislación en la materia en relación con ciertos grandes prestadores de servicios de la sociedad de la información procedentes de terceros Estados para los que el tratamiento de datos personales constituye un activo fundamental determinante de su principal fuente de ingresos (la publicidad), al tiempo que el respeto a la legalidad por parte de tales prestadores resulta esencial para la salvaguarda del derecho fundamental a la protección de datos personales de decenas de millones de afectados en el conjunto de la Unión Europea. En este contexto puede ser relevante comparar esa situación con el rigor con el que la legislación sobre protección de datos personales se ha venido aplicando por las autoridades de ciertos Estados miembros mediante los correspondientes expedientes sancionadores a las empresas de los más variados sectores y tamaños (incluidas microempresas para las que los costes de la adaptación para evitar riesgos legales en esta materia resultan proporcionalmente muy elevados).