Resolución del Parlamento Europeo, de 25 de octubre de 2018, sobre la utilización de los datos de los usuarios de Facebook por parte de Cambridge Analytica y el impacto en la protección de los datos.
El Parlamento Europeo,
– Vistos el Tratado de la Unión Europea (TUE), el Tratado de Funcionamiento de la Unión Europea (TFUE), la Carta de los Derechos Fundamentales de la Unión Europea, en particular sus artículos 7, 8, 11, 12, 39, 40, 47 y 52, el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, en particular sus artículos 8, 9, 10, 11, 13, 16, 17, y el protocolo adicional al Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales, en particular su artículo 3,
– Visto el Pacto Internacional de Derechos Civiles y Políticos y, en particular, sus artículos 2, 17, 19, 20 y 25,
– Vistos el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (1), y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (2),
– Vistos el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo adicional,
– Vistos la investigación de la Cámara de los Comunes sobre las noticias falsas y el 5.º Informe provisional de su Comisión de Asuntos Digitales, Cultura, Medios de Comunicación y Deporte sobre desinformación y «noticias falsas»,
– Vistas las audiencias celebradas en la Comisión de Energía y Comercio de la Cámara de Representantes de los Estados Unidos,
– Vista la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU. (3),
– Vista la Resolución del Parlamento Europeo, de 5 de julio de 2018, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. (4),
– Vista la sentencia del Tribunal de Justicia de la Unión Europea, de 25 de enero de 2018, en el asunto C-498/16 Maximilian Schrems v. Facebook Ireland Limited (6),
– Vista la sentencia del Tribunal de Justicia de la Unión Europea, de 5 de junio de 2018, en el asunto C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH (7),
– Vista la solicitud formal de David Caroll en la que solicita a Cambridge Analytica que recupere su información personal y que revele su fuente,
– Visto el Dictamen 3/2018 del Supervisor Europeo de Protección de Datos (SEPD), de19 de marzo de 2018 sobre la manipulación en línea y los datos personales (8),
– Vistas las Directrices del Grupo de Trabajo del artículo 29 de 3 de octubre de 2017 sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento (UE) 2016/679 (9),
– Vistas las dos series de respuestas escritas a preguntas que se dejaron sin responder en la reunión entre los líderes de los grupos políticos del Parlamento Europeo y el director ejecutivo de Facebook, Mark Zuckerberg, publicadas por Facebook el 23 de mayo de 2018( 10) y el 4 de junio de 2018 respectivamente (11),
– Vistas la Recomendación (UE) 2018/234 de la Comisión, de 14 de febrero de 2018, con vistas a reforzar el carácter europeo y el desarrollo eficiente de las elecciones de 2019 al Parlamento Europeo (12), la Recomendación de la Comisión, de 12 de septiembre de 2018, relativa a las redes de cooperación electoral, la transparencia en línea, la protección contra los incidentes de ciberseguridad y la lucha contra las campañas de desinformación en el contexto de las elecciones al Parlamento Europeo (C(2018)5949), y la Comunicación de la Comisión, de 12 de septiembre de 2018, titulada «Garantizar unas elecciones europeas libres y justas» (COM(2018)0637),
– Vista la propuesta de la Comisión, de 12 de septiembre de 2018, de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE, Euratom) n.º 1141/2014 sobre un procedimiento de verificación relativo a las infracciones a las normas relativas a la protección de los datos personales en el contexto de las elecciones al Parlamento Europeo (COM(2018)0636),
– Visto el Documento de orientación de la Comisión, de 12 de septiembre de 2018, relativo a la aplicación de la legislación sobre protección de datos de la Unión en el contexto electoral (COM(2018)0638),
– Vistas las audiencias exhaustivas realizadas por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior encomendadas por el Parlamento Europeo sobre la utilización de los datos de usuarios de Facebook por parte de Cambridge Analytica y su impacto en la protección de datos,
– Vistos los informes de la Oficina del Comisionado de Información del Reino Unido sobre la investigación del uso de análisis de datos en campañas políticas, y el informe titulado «Democracy Disrupted?» (¿Funciona aún la democracia?) (13),
– Vistas las declaraciones de la Oficina Europea de las Uniones de Consumidores (BEUC), de 25 de junio de 2018 (14),
– Vista la declaración de la Comisión, de 23 de octubre de 2018,
– Vista la propuesta de Resolución de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior,
– Visto el artículo 123, apartado 2, de su Reglamento interno,
A. Considerando que el periodismo de investigación puso al descubierto e hizo públicas importantes fugas de datos de usuarios de Facebook en relación con el acceso concedido por Facebook a aplicaciones de terceros, y el subsiguiente uso indebido de estos datos para campañas electorales, así como otras violaciones de datos personales en poder y recogidos por las principales empresas de redes sociales descubiertas posteriormente;
B. Considerando que esas violaciones de datos personales afectaron a ciudadanos del todo el mundo, incluidos los ciudadanos europeos y no europeos residentes en el territorio de la Unión Europea; que varios Parlamentos nacionales han realizado audiencias e investigaciones sobre el asunto y han publicado sus conclusiones;
C. Considerando que estos casos de violación de datos personales se produjeron durante un período prolongado; que, sin embargo, las empresas afectadas incumplían la legislación de la UE sobre protección de datos aplicable en ese momento, en particular la Directiva 95/46/CE y la Directiva 2002/58/CE;
D. Considerando que el uso indebido de datos que se reveló en el contexto del escándalo de Cambridge Analytica ocurrió antes de la aplicación del Reglamento general de protección de datos;
E. Considerando que Facebook ha afirmado que no se ha compartido con Cambridge Analytica información alguna sobre cuentas bancarias, tarjetas de crédito o datos nacionales de identidad;
F. Considerando que Cambridge Analytica afirmó haber realizado el tratamiento de los datos oficialmente con fines de investigación, pero que posteriormente transfirió los datos recopilados para fines políticos y comerciales;
G. Considerando que la reacción inicial de las empresas afectadas no se ajustó a lo que cabía esperar y no permitió una investigación y un control completos e independientes por parte de las autoridades correspondientes ni a escala nacional ni europea;
H. Considerando que el Parlamento Europeo celebró un primer intercambio de puntos de vista a puerta cerrada con el director ejecutivo y fundador de Facebook, Mark Zuckerberg, el 22 de mayo de 2018, y que esta reunión dio lugar a la solicitud de la Conferencia de Presidentes de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, junto con las Comisiones de Asuntos Constitucionales, Asuntos Jurídicos e Industria, Investigación y Energía, de celebrar exhaustivas audiencias de seguimiento;
I. Considerando que, el 4 y el 25 de junio y el 2 de julio de 2018, se celebraron tres audiencias sobre el impacto del caso Facebook / Cambridge Analytica en las cuestiones relacionadas con la protección de datos, los procesos electorales, noticias falsas y la posición de las redes sociales en el mercado, con la participación de los correspondientes comisarios europeos, el director ejecutivo de la Agencia de Seguridad de las Redes de la Información de la Unión Europea (ENISA), el Supervisor Europeo de Protección de Datos (SEPD), el presidente del Comité Europeo de Protección de Datos (CEPD), la Oficina del Comisionado de Información del Reino Unido, el director ejecutivo de la Comisión Electoral del Reino Unido, ciudadanos afectados y Facebook;
J. Considerando que Facebook se negó a delegar a miembros del personal con el nivel técnico y de responsabilidad adecuado y que disponen de los conocimientos técnicos requeridos por los presidentes de las comisiones en cuestión y, en su lugar, envió a las tres audiencias a miembros del equipo responsable de la política pública; que la información facilitada por los representantes de Facebook durante las audiencias carecía de precisión por lo que respecta a las medidas concretas y específicas adoptadas para garantizar el pleno cumplimiento de la legislación de la UE en materia de protección de datos y tuvo un carácter más general;
K. Considerando que, en su dictamen 3/2018, el SEPD indica que existen varios motivos de preocupación por cuestiones relativas a la manipulación en línea de datos personales, si bien afirma también que la legislación en materia de competencia desempeña un papel fundamental a la hora de garantizar la rendición de cuentas de los actores dominantes en el mercado y de proteger la democracia contra un excesivo poder de mercado; que conviene reflejar mejor los intereses de las personas a la hora de evaluar el posible abuso de posición dominante o las fusiones de las empresas, que pueden haber acumulado un importante poder de información:
L. Considerando que, en su dictamen de 3 de octubre de 2017, el Grupo de Trabajo del artículo 29 declaraba que la elaboración de perfiles y la toma de decisiones automatizada pueden plantear riesgos significativos para los derechos y las libertades de las personas que requieren salvaguardias adecuadas;
M. Considerando que el presidente del CEPD destacó que el caso Facebook / Cambridge Analytica ocurrió antes de la entrada en vigor del Reglamento general de protección de datos, por lo que no se aplica el sistema de la autoridad de control principal en virtud del Reglamento general de protección de datos; que las investigaciones fueron dirigidas por la Oficina del Comisionado de Información del Reino Unido;
N. Considerando que Facebook ha admitido que celebró un contrato con un desarrollador de aplicaciones sin haber llevado a cabo una verificación previa de sus términos y condiciones, que estipulaban el derecho de este último a revelar datos personales a terceros; que esta negligencia tuvo graves consecuencias y que esta práctica ya era ilegal con arreglo a la legislación en materia de protección de datos aplicable en aquel momento;
O. Considerando que están en curso las negociaciones sobre el Reglamento relativo a la privacidad electrónica;
P. Considerando que el CEPD indicó que alrededor de 100 casos transfronterizos ya están siendo tratados con el mecanismo de coherencia del Reglamento general de protección de datos; que este mecanismo coordina las acciones de las autoridades nacionales de protección de datos con el fin de garantizar un enfoque común en la aplicación de la legislación de la UE en materia de protección de datos;
Q. Considerando que Facebook, uno de los firmantes del Escudo de la privacidad, ha confirmado que, entre los datos personales utilizados de forma irregular por la consultoría política Cambridge Analytica, se encontraban los datos de 2,7 millones de ciudadanos de la Unión;
R. Considerando que el 28 de septiembre de 2018, Facebook hizo público que un agente externo había atacado sus sistemas y se había aprovechado de una vulnerabilidad que permitía acceder a los códigos de seguridad de Facebook de 50 millones de cuentas, y que la Comisión de Protección de Datos irlandesa y otras autoridades de protección de datos han iniciado investigaciones de estos hechos a fin de comprobar el cumplimiento de la legislación de la Unión en materia de protección de datos;
S. Considerando que la Comisión Federal de Comercio de los Estados Unidos está investigando si Facebook ha incumplido sus promesas de privacidad, incluido el cumplimiento del Escudo de la privacidad, o si ejerce actividades desleales que hayan causado un grave perjuicio a los consumidores, infringiendo la Ley de la Comisión Federal de Comercio y la solución anterior alcanzada en 2011 entre la Comisión Federal de Comercio y Facebook;
T. Considerando que cuatro organizaciones de consumidores de Bélgica, Italia, España y Portugal han presentado una demanda colectiva contra Facebook, solicitando una compensación para los usuarios de Facebook afectados en sus respectivos países;
U. Considerando que la Oficina Europea de Uniones de Consumidores (BEUC) señaló, en su testimonio presentado el 25 de junio de 2018, la necesidad de garantizar la rendición de cuentas de las plataformas para el acceso de terceros a los datos personales; que, en el mismo testimonio, la BEUC sostiene igualmente que las empresas deberían hacer más para garantizar unas sólidas estructuras de rendición de cuentas para el acceso de los socios a los datos personales y la ulterior explotación de los mismos;
V. Considerando que la investigación llevada a cabo por la Oficina del Comisionado de Información del Reino Unido cubría también el vínculo entre Cambridge Analytica, su sociedad matriz SCL Elections Limited y Aggregate IQ e incluye presunciones de que los datos personales, obtenidos de Facebook, pueden haber sido objeto de un uso indebido por ambas partes en el referéndum del Reino Unido sobre la pertenencia a la UE y utilizado para orientar a los electores durante el proceso electoral presidencial de 2016; que la investigación de la Oficina del Comisionado de Información del Reino Unido se llevó a cabo principalmente con arreglo a la Ley de Protección de Datos de 1998 y a los Reglamentos sobre la privacidad y las comunicaciones electrónicas de 2003, teniendo también en cuenta, en su caso, el Reglamento general de protección de datos;
W. Considerando que la Comisión Especial de Cultura, Medios de Comunicación y Deporte de la Cámara de los Comunes ha oído testimonios relativos a presuntas injerencias rusas en los procesos electorales en la UE y ha instado a las autoridades nacionales competentes a que investiguen esas denuncias; que, en mayo de 2017, se nombró en los Estados Unidos a un abogado especial para investigar las injerencias rusas en las elecciones presidenciales de 2016 y asuntos relacionados y que esta investigación sigue en curso;
X. Considerando que la Oficina del Comisionado de Información del Reino Unido transmitió a Facebook una notificación de su intención de imponerle una sanción pecuniaria de 500 000 libras esterlinas por falta de transparencia y por cuestiones de seguridad relacionadas con la recogida de datos que constituyen violación de los principios primero y séptimo de la Ley de Protección de Datos de 1998;
Y. Considerando que la Oficina del Comisionado de Información del Reino Unido ya emitió 23 comunicaciones de información destinadas a 17 diferentes organizaciones y particulares, incluido Facebook el 23 de febrero de 2018, solicitándoles información de manera estructurada; que, el 18 de mayo de 2018, Facebook confirmó que Aggregate IQ había creado y, en algunos casos, insertado mensajes publicitarios de la campaña del Partido Democrático Unionista (DUP) a favor de la retirada, y de Vote Leave, BeLeave y Veterans for Britain;
Z. Considerando que la Oficina del Comisionado de Información del Reino Unido ha expresado su preocupación por lo que respecta a las condiciones en las que se ha facilitado la información de que disponen los usuarios sobre las fuentes de los datos, y a la disponibilidad y transparencia de los controles ofrecidos a los usuarios; que la Oficina del Comisionado de Información del Reino Unido ha declarado igualmente que la información general sobre la privacidad y los controles puestos a disposición en Facebook no informaba realmente a los usuarios de los posibles usos de su información personal; que la Oficina del Comisionado de Información del Reino Unido manifiesta su preocupación por el hecho de que se haya accedido a los datos a través de la plataforma de Facebook y que estos se hayan utilizado para fines distintos a los previstos o para fines que los interesados no podían haber previsto razonablemente;
AA. Considerando que las cifras de la Comisión Electoral del Reino Unido revelan que los partidos políticos del Reino Unido gastaron 3,2 millones de libras esterlinas en publicidad directa en Facebook durante las elecciones generales de 2017;
AB. Considerando que las redes sociales constituyen una plataforma importante para los partidos políticos y las instituciones públicas, al permitirles conectar con los ciudadanos;
AC. Considerando que las plataformas en línea a nivel mundial se enfrentan a dificultades para hacer frente a las noticias falsas de manera eficaz, debido a las diferentes amenazas y panoramas mediáticos en los diferentes países y regiones;
AD. Considerando que el análisis de datos y los algoritmos tienen un impacto cada vez mayor en la información que se facilita a los ciudadanos; que dichas técnicas, en caso de utilizarse indebidamente, podrían poner en peligro los derechos fundamentales a la información, así como la libertad de los medios de comunicación y el pluralismo;
AE. Considerando que la responsabilidad y la transparencia algorítmica son esenciales para garantizar una información adecuada y una clara comprensión por parte de los ciudadanos del tratamiento de sus datos personales; que esto debe implicar la aplicación de medidas técnicas y operativas que garanticen la transparencia y el carácter no discriminatorio de la toma de decisiones automatizada y la prohibición del cálculo de probabilidades del comportamiento individual; que la transparencia debe facilitar a las personas información fiable sobre la lógica aplicada, el significado y las consecuencias previstas; y que debe incluir información sobre los datos utilizados para la formación en materia de análisis de macrodatos y permitir a las personas comprender y controlar las decisiones que los afectan;
AF. Considerando que, en la reunión con los comisarios europeos del 2 de julio de 2018, Facebook prometió cooperar y permitir el acceso de académicos independientes a los datos sobre la presunta manipulación de votos;
1. Espera que todas las plataformas en línea garanticen el pleno cumplimiento de la legislación de la Unión en materia de protección de datos, concretamente el Reglamento general de protección de datos y la Directiva 2002/58/CE (privacidad electrónica), y que estas ayuden a los usuarios a comprender cómo se tratan sus datos personales en la publicidad dirigida a grupos específicos de usuarios, y que se disponga de controles eficaces, lo cual incluye la garantía de que se utilizan consensos diferentes para diferentes finalidades de tratamiento y que existe una mayor transparencia en relación con los parámetros de privacidad, el diseño y la visibilidad de las declaraciones de confidencialidad;
2. Subraya que en ningún caso se podrá recurrir al argumento de la excepción con fines de investigación previsto en la legislación de la Unión en materia de protección de datos como coladero para un uso indebido de los datos;
3. Toma nota de la declaración de Facebook, según la cual, utiliza los datos de usuarios ajenos a Facebook exclusivamente para crear conjuntos de datos agregados de los que extrae conclusiones sobre la manera en que se utiliza el servicio;
4. Hace hincapié en la necesidad de un grado de transparencia y de una responsabilidad algorítmica mucho mayor por lo que respecta al tratamiento y la analítica de datos por los sectores público y privado y cualquier otro agente que utilice la analítica de datos como herramienta de base para garantizar que los ciudadanos estén informados adecuadamente sobre el tratamiento de sus datos personales;
5. Opina que la era digital exige que se adapten las leyes electorales a esta nueva realidad digital y sugiere que las salvaguardias electorales convencionales («fuera de línea»), tales como unas normas aplicables a las comunicaciones políticas durante los períodos electorales, la transparencia y los límites de los gastos electorales, el respeto de los períodos de reflexión electoral y la igualdad de trato de los candidatos también deben aplicarse en línea; considera que los Estados miembros deben introducir un sistema obligatorio de impresiones digitales para la campaña y la publicidad electrónicas y aplicar la Recomendación de la Comisión destinada a aumentar la transparencia de la publicidad y las comunicaciones políticas pagadas en línea; considera que cualquier tipo de publicidad política debe incluir información fácilmente accesible y comprensible sobre la organización que la pública y que esta deberá ser jurídicamente responsable del gasto, de modo que esté claro quién patrocina las campañas, de manera similar a los requisitos actualmente vigentes en diversos Estados miembros relativos al material impreso utilizado en las campañas; insiste en que los ciudadanos de la Unión deben poder reconocer fácilmente la publicidad y las comunicaciones políticas pagadas en línea, así como el partido, la fundación o la organización que las promueva; insiste, igualmente, en que la transparencia debe incluir también información completa sobre los criterios de selección del grupo destinatario de la publicidad política específica y el tamaño previsto del grupo destinatario;
6. Toma nota de que Facebook ha actualizado su configuración de privacidad para permitir a los usuarios acogerse a la exclusión voluntaria de la publicidad específica, incluidos la presentación de anuncios basados en la información obtenida de terceros y el uso de su información personal recogida por Facebook para mostrar anuncios en otros sitios web o plataformas;
7. Recomienda que todas las plataformas en línea establezcan una distinción entre el uso político de sus productos publicitarios en línea y su uso para fines comerciales; recuerda que el tratamiento de datos personales para la publicidad política requiere una base jurídica distinta a la de la publicidad comercial;
8. Considera que el requisito de verificar la identidad, la ubicación y el patrocinador de la publicidad política recientemente introducida por Facebook en los Estados Unidos es una buena iniciativa que aumentará la transparencia y contribuirá a la lucha contra la intromisión electoral por parte de agentes extranjeros; insta a Facebook a que introduzca los mismos requisitos para la publicidad política en Europa; pide a los Estados miembros que ajusten sus leyes electorales a tal efecto;
9. Considera que debe prohibirse la elaboración de perfiles para fines políticos y electorales, y la elaboración de perfiles sobre la base de comportamientos en línea que puedan revelar preferencias políticas, como la interacción con contenidos políticos, en la medida en que, con arreglo a la legislación de la Unión en materia de protección de datos, se hace referencia a opiniones políticas o filosóficas, y opina que las plataformas de redes sociales deben supervisar e informar activamente a las autoridades si se produce tal comportamiento; considera que, igualmente, debe prohibirse la elaboración de perfiles sobre la base de otros datos, como factores socioeconómicos o demográficos, para fines políticos o electorales; pide a los partidos políticos y a otros actores que participen en las elecciones que se abstengan de utilizar perfiles para fines políticos y electorales; pide a los partidos políticos que sean transparentes en lo que respecta a su utilización de las plataformas y los datos en línea;
10. Recuerda las medidas propuestas por la Comisión para garantizar unas elecciones europeas libres y justas, en particular la enmienda legislativa destinada a endurecer las normas sobre la financiación de los partidos políticos europeos, que establece la posibilidad de imponer sanciones financieras por infringir las normas de protección de datos con el fin de influir deliberadamente en los resultados de las elecciones europeas; recuerda que el tratamiento de datos personales por parte de partidos políticos en la UE está sujeto al Reglamento general de protección de datos, y que la violación de los principios, los derechos y las obligaciones previstos en él daría lugar a multas y sanciones adicionales;
11. Considera que la injerencia en las elecciones constituye un importante reto para la democracia, y para combatirla se requiere el esfuerzo conjunto de los proveedores de servicios, los reguladores y los agentes y partidos políticos;
12. Celebra el paquete presentado por la Comisión el 12 de septiembre de 2018 relativo a los preparativos para las elecciones europeas;
13. Recuerda la promesa hecha por Facebook sobre la concesión de acceso a los datos sobre la supuesta manipulación de votos a académicos independientes y espera que se le informe antes de finales de 2018 de las principales conclusiones y de las soluciones propuestas;
14. Toma nota de las acciones emprendidas por Facebook para luchar contra el uso indebido de datos, incluidas la desactivación o la prohibición de aplicaciones sospechosas de utilizar indebidamente los datos de los usuarios; espera que Facebook actúe con rapidez en cuanto a los informes relativos a solicitudes sospechosas o abusivas y que impida la presencia de dichas solicitudes en la plataforma;
15. Hace hincapié en que las plataformas de redes sociales no son solo plataformas pasivas que agrupan exclusivamente contenidos generados por los usuarios, subraya que, por el contrario, la evolución tecnológica ha ampliado el alcance y el papel de estas empresas mediante la introducción de publicidad basada en algoritmos y la publicación de contenidos; concluye que esta nueva función debe reflejarse en el ámbito normativo;
16. Observa con pesar que Facebook no ha querido enviar a las audiencias a agentes con las cualificaciones técnicas y el nivel de responsabilidad empresarial adecuados, y señala que este enfoque es perjudicial para la confianza de los ciudadanos europeos en las plataformas sociales; lamenta que Mark Zuckerberg no deseara participar en una audiencia pública con los diputados;
17. Considera que Facebook no solo ha defraudado la confianza de los ciudadanos europeos, sino que también ha violado el Derecho de la UE, y recuerda que, durante las audiencias, un representante de Facebook confirmó que Facebook era consciente de que los términos y las condiciones de la aplicación «This is Your Digital Life» (Esta es tu vida digital) preveían que los datos recogidos por la aplicación pudieran enviarse a terceros; concluye que Facebook firmó un contrato con un desarrollador de aplicaciones sabiendo que este había anunciado abiertamente que se reservaba el derecho a revelar datos personales a terceros; concluye, además, que Facebook es el responsable del tratamiento de datos personales y que, por consiguiente, es jurídicamente responsable cuando celebra un contrato con un procesador que viola la legislación de la UE en materia de protección de datos;
18. Toma nota de las mejoras en materia de privacidad introducidas por Facebook después del escándalo Facebook / Cambridge Analytica, pero recuerda que Facebook prometió realizar una auditoría interna completa de la que el Parlamento Europeo todavía no ha sido informado, y recomienda a Facebook que introduzca modificaciones sustanciales en su plataforma para asegurar su conformidad con la legislación de la Unión en materia de protección de datos;
19. Insta a Facebook a que permita y posibilite a ENISA y al CEPD, dentro de los límites de sus respectivos mandatos, llevar a cabo una auditoría completa e independiente de su plataforma y presentar los resultados de dicha auditoría a la Comisión Europea, al Parlamento Europeo y a los parlamentos nacionales; opina que este ejercicio debe llevarse a cabo también en otras plataformas importantes;
20. Destaca la urgencia de contrarrestar cualquier intento de manipular las elecciones de la UE y de reforzar las normas aplicables a las plataformas en línea con respecto a la interrupción de los ingresos publicitarios de las cuentas y sitios web que difunden información falsa; acoge con satisfacción los planes de trabajo individuales que establecen acciones concretas para luchar contra la desinformación en todos los Estados miembros de la UE que las plataformas en línea y la industria de la publicidad presentaron a la Comisión el 16 de octubre de 2018; insta a las plataformas en línea a que etiqueten los contenidos compartidos por bots mediante la aplicación de normas de transparencia para acelerar la eliminación de cuentas falsas para cumplir las órdenes judiciales de proporcionar información sobre las personas que crean contenido ilegal y a trabajar con verificadores independientes de hechos y con el mundo académico para informar a los usuarios sobre información falsa con alcance significativo y para ofrecer correcciones cuando sea posible.
21. Pide a todas las plataformas en línea que presten servicios publicitarios a partidos políticos y a campañas electorales que incluyan en el equipo de ventas a personal experto que pueda prestar a los partidos políticos y las campañas un asesoramiento específico sobre transparencia y responsabilidad en relación con la manera de evitar que se utilicen los datos para los usuarios destinatarios; pide a todas las plataformas en línea que permitan a los compradores de publicidad realizar determinadas selecciones para proporcionar asesoramiento jurídico sobre las responsabilidades de dichos compradores en calidad de corresponsables de los datos, a raíz de una sentencia del TJUE en el asunto C-210/16;
22. Pide a todas las plataformas en línea que desplieguen con carácter de urgencia las medidas de transparencia previstas en relación con la publicidad política, que deberán incluir la consulta y la evaluación de estas herramientas por parte de las autoridades nacionales encargadas de la observación y el control electorales; insiste en que dicha publicidad política y electoral no debe realizarse sobre la base de perfiles de usuarios individuales;
23. Pide a los Estados miembros que adapten las normas electorales a las campañas en línea, incluidas las relativas a la transparencia sobre la financiación, los periodos de reflexión electoral y el papel de los medios de comunicación y de la desinformación;
24. Recomienda que se exija la realización de auditorías por terceros una vez concluidas las campañas de referéndum con el fin de garantizar la eliminación de los datos personales recogidos en el marco de la campaña o, en caso de haberse compartido, que estos se han obtenido con el correspondiente consentimiento;
25. Pide a Facebook que mejore la transparencia con el fin de permitir a los usuarios comprender el modo y el motivo por el que un partido político o una campaña pueden dirigirse a ellos;
26. Opina que debe dotarse a las autoridades de protección de datos de financiación adecuada para desarrollar unos conocimientos técnicos equivalentes a los que poseen las organizaciones sujetas al control; pide a los Estados miembros que garanticen que las autoridades responsables de la protección de datos dispongan de los recursos humanos, técnicos y financieros necesarios para el desempeño eficaz de sus tareas y el ejercicio de sus competencias, de conformidad con el artículo 52 del Reglamento general de protección de datos; insta a la Comisión a que controle estrechamente a los Estados miembros por lo que respecta a su obligación de poner estos recursos a disposición y, en caso necesario, a que inicie procedimientos de infracción;
27. Recuerda que Facebook es una organización autocertificada en el marco del Escudo de la privacidad UE-Estados Unidos y, como tal, se ha beneficiado de la decisión de adecuación como fundamento jurídico para la transferencia y posterior tratamiento de datos personales de la Unión Europea a los Estados Unidos;
28. Recuerda su Resolución, de 5 de julio de 2018, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU. y, a la luz de la confirmación por parte de Facebook de que se han producido graves violaciones de la privacidad, pide a las autoridades de los Estados Unidos responsables de la aplicación del Escudo de la privacidad que reaccionen a tales revelaciones sin demora en pleno cumplimiento de las garantías y los compromisos hechos para mantener el actual acuerdo del Escudo de la privacidad y, en caso necesario, para retirar a dichas empresas de la lista del Escudo de la privacidad; celebra, en este contexto, la supresión de Cambridge Analytica del escudo de la privacidad en junio de 2018; pide también a las autoridades de la Unión competentes para la protección de datos que investiguen esas revelaciones y, si fuera necesario, suspendan y prohíban la transferencia de datos en el marco del Escudo de la privacidad; espera que la Comisión Federal de Comercio, como autoridad estadounidense responsable, facilite a la Comisión un resumen detallado de sus conclusiones una vez concluida su investigación sobre la violación de datos en la que están involucrados Facebook y Cambridge Analytica y que adopte las medidas coercitivas oportunas contra las empresas implicadas que tengan un efecto disuasorio eficaz;
29. Lamenta que no se haya respetado el plazo del 1 de septiembre de 2018 para que los Estados Unidos cumplan plenamente lo dispuesto en el Escudo de la privacidad; considera, por consiguiente, que la Comisión no ha actuado de conformidad con el artículo 45, apartado 5, del Reglamento general de protección de datos; insta, por lo tanto, a la Comisión a que, de acuerdo con la Resolución del Parlamento, de 5 de julio de 2018, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU., suspenda el Escudo de privacidad hasta que las autoridades de los Estados Unidos cumplan las condiciones de este acuerdo;
30. Señala que el uso indebido de datos personales afecta a los derechos fundamentales de miles de millones de personas en todo el mundo; considera que el Reglamento general de protección de datos y la Directiva sobre la privacidad electrónica prevén las normas de protección más estrictas; lamenta que Facebook decidiera excluir a 1 500 millones de usuarios no pertenecientes a la UE del ámbito de protección del Reglamento general de protección de datos y de la Directiva sobre la privacidad electrónica; pone en tela de juicio la legalidad de esta medida; insta a todas las plataformas en línea a que apliquen las normas del Reglamento general de protección de datos (y la privacidad electrónica) a todos sus servicios, independientemente del lugar en el que se ofrezcan, ya que un elevado nivel de protección de los datos personales se considera cada vez más una ventaja competitiva importante;
31. Pide a la Comisión que mejore las normas de competencia para reflejar la realidad digital y que examine el modelo empresarial de las plataformas de redes sociales y su posible situación de monopolio, teniendo debidamente en cuenta el hecho de que tal monopolio puede estar presente debido al carácter específico de la marca y a la cantidad de datos personales de que dispone más que a una situación de monopolio tradicional, y que adopte las medidas necesarias para remediar esta situación; pide a la Comisión que proponga modificaciones del Código Europeo de las Comunicaciones Electrónicas con el fin de exigir igualmente a los proveedores de comunicaciones de transmisión libre que se interconecten entre ellos, con el fin de evitar el efecto de bloqueo para sus usuarios;
32. Solicita que el Parlamento Europeo, la Comisión, el Consejo y todas las demás instituciones, agencias y organismos de la Unión Europea verifiquen que las páginas de redes sociales y los instrumentos analíticos y de comercialización en sus respectivos sitios web no ponen en modo alguno en riesgo los datos personales de los ciudadanos; sugiere que evalúen sus actuales políticas de comunicación desde esta perspectiva, lo que podría implicar la posibilidad de cerrar sus cuentas de Facebook como condición necesaria para proteger los datos personales de todas las personas que se pongan en contacto con ellos; encarga a su propio servicio de comunicaciones que se adhiera estrictamente a las directrices del SEPD relativas a la protección de datos personales a través de servicios web prestados por las instituciones de la UE (15);
33. Considera que la próxima Comisión Europea debe asignar específicamente a uno de sus miembros la cartera de protección de datos y protección de la privacidad, con vistas a comprometer proactivamente a socios, dentro y fuera de la Unión, a velar por que todas las propuestas legislativas cumplan plenamente el acervo jurídico de la Unión en materia de protección de datos y protección de la privacidad;
34. Insta al Consejo a que ponga fin al bloqueo con respecto al Reglamento sobre la privacidad electrónica y a que alcance por fin un acuerdo con el Parlamento sin rebajar el nivel de protección actual con el fin de garantizar la protección que ofrece en la actualidad la Directiva relativa a la privacidad electrónica, de modo que se garanticen los derechos de los ciudadanos, en particular los relativos a la protección de los usuarios contra el «targeting» (clasificación del público objetivo);
35. Solicita que la Comisión lleve a cabo una auditoría de las actividades del sector publicitario en los medios sociales y que presente propuestas legislativas en el caso de que el sector y las partes interesadas no puedan llegar a un acuerdo sobre códigos de conducta voluntarios con medidas disuasorias;
36. Pide a las autoridades responsables de la protección de datos a escala nacional y europea que lleven a cabo una investigación a fondo de Facebook y sus actuales prácticas de modo que el nuevo mecanismo de coherencia del Reglamento general de protección de datos sirva para garantizar una respuesta adecuada y eficaz a escala de la Unión;
37. Pide a los Estados miembros que adopten medidas para hacer frente a los riesgos para la seguridad de las redes y los sistemas de información utilizados para la organización de elecciones;
38. Opina que los Estados miembros deben colaborar con terceras partes, incluidos los medios de comunicación, plataformas en línea y proveedores de tecnología de la información, en actividades de sensibilización destinadas a aumentar la transparencia de las elecciones y crear la confianza en el proceso electoral;
39. Considera que los Estados miembros deben iniciar urgentemente, con el apoyo de Eurojust, si fuera necesario, una investigación sobre el supuesto uso indebido del espacio político en línea por las potencias extranjeras;
40. Encarga a su presidente que transmita la presente Resolución al Consejo, a la Comisión, a los Gobiernos y los Parlamentos de los Estados miembros y de los Estados Unidos de América, al Consejo de Europa y al director ejecutivo de Facebook.
—————————————————————————–
(1) DO L 119 de 4.5.2016, p. 1.
(2) DO L 119 de 4.5.2016, p. 89.
(3) DO L 207 de 1.8.2016, p. 1.
(4) Textos Aprobados, P8_TA(2018)0315.
(5) ECLI:EU:C:2015:650.
(6) ECLI:EU:C:2018:37.
(7) ECLI:EU:C:2018:388.
(8) https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf
(9) http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053
(11)http://www.europarl.europa.eu/resources/library/media/20180604RES04911/20180604RES04911.pdf
(12) DO L 45 de 17.2.2018, p. 40.
(13) https://ico.org.uk/media/action-weve-taken/2259369/democracy-disrupted-110718.pdf https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/07/findings-recommendations-and-actions-from-ico-investigation-into-data-analytics-in-political-campaigns/
(14) https://www.beuc.eu/publications/beuc-x-2018-067_ep_hearing_facebook-cambridge_analytica.pdfhttp
(15) https://edps.europa.eu/sites/edp/files/publication/16-11-07_guidelines_web_services_en.pdf