La Comisión de Protección de Datos irlandesa (CPD) ha multado a la plataforma de redes sociales Instagram, propiedad de Meta, con 405 millones de euros por violaciones del Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE)[1].
La sanción ha sido impuesta después de una investigación de dos años por la CPD, donde se determinó que Instagram había permitido a los usuarios de entre 13 y 17 años operar cuentas comerciales en la plataforma, que mostraba los números de teléfono y las direcciones de correo electrónico de los usuarios. Por lo tanto, la autoridad concluyó que Meta había estado realizando un tratamiento de datos personales de niñas, niños y adolescentes ilegalmente sin una base legal conforme el RGPD.
El DPC también descubrió que la plataforma había operado un sistema de registro de usuarios mediante el cual las cuentas de los usuarios de 13 a 17 años se configuraban como “públicas” de forma predeterminada, por lo que se hacía también público el contenido de sus redes sociales. La multa, que es la segunda más alta según el RGPD, después de una sanción de 746 millones de euros contra Amazon, es la tercera para una empresa propiedad de Meta impuesta por la autoridad irlandesa[2]. Además de la multa, la CPD resolvió amonestar a Meta y la exigencia de adoptar una serie de medidas correctivas específicas para cumplir con el adecuado tratamiento de datos.
La CPD presentó en diciembre de 2021 un proyecto de decisión a todos los reguladores homólogos de la UE, también conocidos como Autoridades de supervisión competentes, en virtud del artículo 60 del RGPD. Seis de estos reguladores nacionales plantearon objeciones al proyecto de decisión del CPD. La CPD no pudo llegar a un consenso con los reguladores sobre el tema de las objeciones y, por lo tanto, remitió el caso al Comité Europeo de Protección de Datos (CEPD), conforme el artículo 65 del RGPD.
El 28 de julio de 2022, el CEPD adoptó su decisión vinculante[3], donde exigió a la CPD que modificara su proyecto de decisión para incluir una determinación de infracción del artículo 6 (1) del RGPD y que reevaluara sus multas administrativas propuestas debido a esta infracción adicional[4]. Con la incorporación de estas consideraciones, la CPD adoptó su decisión el 2 de septiembre de 2022[5] y confirmó el 15 de septiembre de 2022 la conclusión de la investigación sobre Instagram y la multa por 405 millones de euros[6]. La CPD tiene al menos otras seis investigaciones en curso que involucran a empresas propiedad de Meta[7].
La emisora estatal irlandesa RTE citó a un portavoz de Meta, que expresó que apelarán la multa, pues esta investigación se basó en configuraciones antiguas que habrían actualizado hace más de un año. Desde entonces, han implementado muchas características nuevas para ayudar a mantener a los adolescentes seguros y su información privada. Entre ellas, la de determinar que las cuentas de los usuarios menores de 18 años automáticamente son configuradas como “privadas” cuando se dan de alta en Instagram[8].
Esta sanción es de gran relevancia, ya que es la primera multa impuesta respecto a datos personales de los niños y adolescentes, y una muestra de que las sanciones financieras por incumplimiento del RGPD están imponiéndose cada vez con valores mayores. Esto podría ser un anticipo de lo que serán las investigaciones y multas que podrá iniciar e imponer la futura Autoridad de Protección de Datos Personales de Ecuador, una vez que el régimen sancionatorio de la Ley Orgánica de Protección de Datos Personales (LOPDP) entre en vigencia el 26 de mayo de 2023.
Los datos personales constituyen cualquier información que permita identificar a una persona, y exigen especial cuidado cuando se trata de datos personales de los niños en un entorno digital, como el de las redes sociales. La LOPDP tendrá un mayor impacto en aquellas personas naturales y jurídicas que traten datos personales de niñas, niños y adolescentes, pues sus datos son categorizados en dicha normativa como datos especiales, lo cual implica la existencia de obligaciones adicionales para el encargado y el responsable del tratamiento, como realizar evaluaciones de impacto, y derechos adicionales para los titulares de los datos[9]. En este sentido, a los datos personales de los niños y adolescentes les corresponden una protección reforzada y específica, principalmente, cuando estos son utilizados con fines como mercadeo, su perfilamiento y a la recopilación de estos a través de servicios ofrecidos directamente a ellos, como las redes sociales.
Ecuador ya cuenta desde 2020 con una política pública dirigida a garantizar el internet seguro para niñas, niños y adolescentes[10], la cual va encaminada a proteger la dignidad e integridad física, psicológica, emocional y sexual de la niñez y adolescencia, y potenciar las oportunidades y habilidades que ofrecen las tecnologías digitales en su vida y desarrollo integral. Ahora, con la LOPD, las empresas deberán estar alertas para cumplir con esta norma, so pena de las sanciones respectivas.
Si bien la sanción de la CPD aplica en la UE, Meta debería rectificar este problema y adoptar las medidas correctivas no solo en esa jurisdicción, sino también cambiar la configuración predeterminada de las cuentas comerciales de niñas, niños y adolescentes en Latinoamérica, pues hasta el momento las cuentas comerciales de Instagram se configuran como “públicas” de forma predeterminada. De lo contrario, las autoridades de protección de datos latinoamericanas tienen algo de trabajo que hacer.
[1] BBC. (5 de septiembre de 2022). Instagram fined €405m over children’s data privacy. https://www.bbc.com/news/technology-62800884
[2] La sanción, actualmente la más alta para una empresa propiedad de Meta, después de una multa de 225 millones de euros para WhatsApp y una multa de 17 millones de euros para Facebook.
[3] El CEPD público su decisión el 15 de septiembre de 2022.
[4] CEPD. (15 de septiembre de 2022). Binding Decision 2/2022. https://edpb.europa.eu/system/files/2022-09/edpb_bindingdecision_20222_ie_sa_instagramchildusers_en.pdf
[5] CPD. (2 de septiembre de 2022). Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Article 60 of the General Data Protection Regulation, DPC Inquiry IN-20-7-4. https://edpb.europa.eu/system/files/2022-09/in-20-7-4_final_decision_-_redacted.pdf
[6] Comisión de Protección de Datos irlandesa. (15 de septiembre de 2022). Data Protection Commission announces decision in Instagram Inquiry. https://dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-instagram-inquiry
[7] Independent. (5 de septiembre de 2022). Instagram fined €405m by Irish regulator for breaching children’s privacy rights. https://www.independent.ie/business/technology/instagram-fined-405m-by-irish-regulator-for-breaching-childrens-privacy-rights-41962706.html
[8] Le Monde. (5 de septiembre de 2022). Irish data watchdog fines Instagram €405 million over children’s privacy. https://www.lemonde.fr/en/pixels/article/2022/09/05/irish-data-watchdog-fines-instagram-405-million-euros-over-children-s-privacy_5995936_13.html
[9] En virtud del artículo 21 de la LOPDP las niñas, niños y adolescentes además de los presupuestos establecidos en el derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas, no se podrán tratar datos sensibles o datos de niñas, niños y adolescentes a menos que se cuente con la autorización expresa del titular o de su representante legal.
[10] Consejo Nacional para la Igualdad Intergeneracional. (2020). Política pública por una internet segura para niños, niñas y adolescentes. https://www.igualdad.gob.ec/wp-content/uploads/downloads/2020/09/pol%C3%ADtica_publica_internet_segura.pdf
Rafael Serrano y Christian Razza
Asociados en CorralRosales
rserrano@corralrosales.com