facebook login

¿El Facebook Login incumple el RGPD?

 

El objetivo de este post es poner en sus justos términos, desde un punto de vista práctico, esa sonora equiparación entre Google analytics, el Facebook pixel y el Facebook login que se viralizó la semana pasada.

En mi modesta opinión, el Facebook login no infringe el Capítulo Quinto del Reglamento, porque no constituye siquiera una transferencia internacional de datos.

 

La resolución de la autoridad austriaca

La semana pasada NOYB publicó una extraña resolución de la autoridad austriaca que declaraba que:

  • La inclusión del combo “Facebook Connect” en la web de un medio de comunicación denunciado por NOYB, incumplía el capítulo V del RGPD. Esto es como decir que el agua moja: en el momento de la denuncia -agosto de 2020- hace sólo mes y medio que el Privacy Shield ha sido anulado, y nadie sabe qué hacer: aún no se han formalizado SCCs, ni se ha invocado excepción del art 49 alguna. Todo el mundo está incumpliendo en ese momento.
  • Ni Facebook Inc ni Facebook Ireland pueden calificarse como responsables de tratamiento en esta relación. Posfale. Posbueno.
  • No se impone sanción alguna (como ya es tradicional), aun declarándose el incumplimiento, al haber eliminado el editor de la web el código correspondiente a estas herramientas, durante el procedimiento (se escucha de fondo el pataleo de Max).

 

¿De qué hablamos cuando hablamos de Facebook Connect?

El paquete Facebook Connect integra dos cosas muy distintas:

  • De una parte, el Facebook pixel: maligno artefacto de vigilancia masiva que registra para Zuckerberg y sus amiguis hasta el número de empastes del incauto visitante de la web que lo tenga incrustado. Facebook registra todos los detalles de su navegación, pero sólo muestra información agregada sobre dichos “eventos” al dueño de la web facilitadora, porque ¡eh! hay que cumplir el RGPD.

 

  • Por otra, el login federado de Facebook. Ese botoncito que te permite loguearte en tu web favorita simplemente introduciendo tu usuario y contraseña de dicha plataforma, o de Google, por ejemplo. Sin tener que crear una distinta para cada servicio.

 

El Facebook login es un servicio muy apreciado por los editores porque elimina casi toda fricción en la conversión de nuevos usuarios y en el acceso al servicio de los ya existentes.

Y lo que es mejor, evita que los malos pongan sus zarpas sobre las contraseñas de esos mismos usuarios en caso de brecha de seguridad del servicio que lo utiliza.

No me puedo creer lo que estoy escribiendo: ¡¡Cualquiera diría que estoy defendiendo a Facebook!!

Nope, nada más lejos de la realidad: Facebook impone a los editores un “planteamiento lentejas” en toda la regla.

Al contratar los servicios de Facebook, Zuckerberg impone una mecánica de funcionamiento, y se autoatribuye interesadamente el título de encargado, responsable o corresponsable que más le conviene en relación con cada tratamiento concreto. En los casos más sensibles, la letra no tiene nada que ver con la realidad. Y, sobra decirlo, el editor no puede hacer otra cosa que aceptar o irse a otro sitio.

Desde cualquier punto de vista, el rol de Facebook en esto rebasa por los cuatro puntos cardinales el del “encargado de tratamiento” en sentido tradicional. Diga lo que diga la autoridad austriaca. Pero no es ese el tema hoy.

Por cierto, los tribunales austriacos también fallaron en su día que la publicidad personalizada por la conducta observada era un tratamiento ínsito al modelo de negocio de Facebook y que, por tanto, se podía legitimar en el art 6.1.b) RGPD. Simplemente hay países rezagados en según qué cosas.

“No es lo mismo”

No nos engañemos: el Facebook login, unido al pixel, constituye un sistema redondo de vigilancia masiva.

Sin embargo, por sí solo, y esta es mi tesis, el Facebook login es un bicho distinto: un ornitorrinco que no infringe el Capítulo Quinto del Reglamento, porque no constituye siquiera una transferencia internacional de datos. Al menos con la configuración adecuada.

NOYB, en cada una de sus famosas 101 denuncias referidas a Facebook connect, incluye un archivo HAR, del que resulta que determinados datos técnicos del navegador y dispositivo del usuario, se han remitido a los servidores de Facebook. También las hay sobre Analytics, como sabemos.

De acuerdo.

Pero ¡ojo! ellos mismos reconocen que no son capaces de determinar cuál de los dos elementos (pixel o login) propicia técnicamente esa transferencia. Vean:

facebook login

 

En la misma resolución, al autoridad austriaca describe la información que Facebook puede recibir a través del Facebook Login:

facebook login

La enumeración quita el aliento, es verdad. Pero sigan conmigo un momento. Pretendo convencerles de dos cosas:

  • En el 99% de los casos, Facebook no recibe datos que no tuviera antes.
  • El Facebook login, no constituye una transferencia internacional de datos.

¿Cómo funciona el Facebook Login? La primera vez

Sin entrar en lo técnico -sólo en lo jurídico-, y centrándonos en el funcionamiento del Facebook login en una web convencional, no en una app, describiré cómo está configurado su funcionamiento en una web que conozco bien, web que llamaremos “cuchicuchi.com”.

  • Cuando un usuario utiliza el Facebook Login para crear su cuenta en cuchicuchi.com, se abre en su navegador una nueva ventana controlada por Facebook y bajo su dominio, en la que el usuario se loguea (en la práctica, sucede lo mismo que si el usuario hubiera introducido el dominio “facebook.es” en la barra de direcciones de su navegador).

 

  • Directamente en dicha “ventana modal” (en el dominio de Facebook) el usuario introduce sus datos (nombre de usuario y contraseña), consiente el tratamiento compartido por Facebook y cuchicuchi.com y es informado de los tratamientos realizados por ambas empresas.

 

  • Cuchicuchi.com obtiene el nombre de usuario y foto de perfil y, sólo si el interesado lo consiente, la dirección de correo electrónico -esta es la configuración que menos datos personales implica de entre las preconfiguradas por Facebook-.

 

  • Facebook obtiene, a través de dicha “ventana modal” -que se abrirá cada vez que el usuario se loguee en Cuchicuchi mediante el Facebook login-, los datos determinados en este cuadro resumen.

 

Es cierto que hay otras configuraciones que implican mayor tráfico de datos, pero no es el caso de esta, que es la elegida por cuchicuchi.

Facebook login

Las siguientes veces

Desde ese momento, cada vez que el usuario quiera entrar en cuchicuchi.com y pinche el botón del Facebook login, ese botón le redirigirá a una ventana modal de Facebook. Tanto si ya estaba logueado, como si lo hace en ese momento, Facebook enviará un token de conformidad a Cuchicuchi, y esta le dará paso.

Un buen resumen que cualquiera puede entender de cómo va esto, aquí.

Ese token es, sin duda un dato personal, pero viaja desde Facebook hacia cuchicuchi, my austrian friends, no al revés. Ca-da-vez.

 

¿Datos nuevos?

Además, en la práctica, Facebook no obtiene datos nuevos a través de esta herramienta: los datos personales obtenidos por Facebook a través del Facebook Login ya obraban en su poder.Veamos:

Caben dos posibilidades: que (a) el interesado tenga o (b) que no tenga previamente cuenta en Facebook. Veamos los dos supuestos:

 

  • (a) Alice no es usuaria de Facebook y accede a Cuchicuchi.com .

 

Como Alice no es usuaria de Facebook no utilizará el Facebook Login, y en consecuencia, no se produce a su través tratamiento ni transferencia alguna de datos.

Fin. Despedida y cierre.

 

  • (b) Bob es usuario de Facebook y accede a cuchicuchi.com a través del Login federado.

 

Facebook en este caso puede obtener (y no a través de la web de Cuchicuchi.com, sino directamente a través de la ventana modal bajo dominio de Facebook en la que Bob introduce sus credenciales) los datos descritos en el cuadro resumen publicado por Facebook y disponible en este enlace.

Pero todos estos datos, o bien ya estaban previamente en posesión de Facebook, al tratarse de un usuario registrado de Facebook, o bien los obtiene directamente del usuario, a través de esa “ventana modal”.

Facebook, durante el curso del registro, informa al usuario de que “cuchicuchi.como tendrá acceso continuo a la información que compartas y Facebook registrará cuándo cuchicuchi.com acceda a la información compartida”.

Es decir, Facebook recoge la fecha, hora y cantidad de veces que el usuario acceda al servicio de cuchicuchi.com a través del Facebook Login.

Esta es la única información nueva que Facebook obtiene a través del login federado, pero es relevante que la obtiene directamente del usuario.

Todo esto es cierto salvo un par de cosas, que diría Rajoy, pero este post ya se ha hecho largo.

 

Conclusión

Hay más argumentos lógicos y evidentes en contra de denunciar y responsabilizar a los editores por los (graves) pecados de Facebook, Google y cía, pero requieren una sana y distante perspectiva.

Perspectiva que hasta ahora ha brillado por su ausencia tanto en quienes han presentado denuncias de 101 en 101, como en quienes las han resuelto.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos