miércoles, 28 de noviembre de 2018

LinkedIn usó datos de 18 millones de personas ajenas a su red para anuncios en Facebook

LinkedIn empleó información personal de 18 millones de personas que no eran usuarios de esta red social para llevar a cabo anuncios personalizados en Facebook. La compañía ha reconocido la mayor y ha confirmado que ha cesado esta práctica, completamente contraria al GDPR.
Continuamos conociendo casos de empresas cuya política de privacidad es, cuanto menos, discutible. La espiral, iniciada por el gran escándalo de Facebook con Cambridge Analytica, se ha visto corroborada con los problemas de Amazon por proteger los datos personales de sus usuarios (incluso sin mediar ciberataque alguno) o los errores de compañías como Microsoft (que podría recibir la primera gran multa por el GDPR europeo) o British AirwaysY el último ejemplo de esta negativa tendencia lo encontramos, ni más ni menos que en LinkedIn.
No en vano, la Comisión de Protección de Datos de Irlanda (DCP, por sus siglas en inglés) emitió un duro informe en el que denunciaba que LinkedIn usó 18 millones de direcciones de correo electrónico de personas que no eran miembros de esta red social, con el fin último de mostrarles anuncios personalizados en Facebook. Se desconoce de dónde obtuvo la filial de Microsoft estos datos, pero sí que no estaba autorizada para su uso de esta manera en ningún caso, tal y como detalla el GDPR.
La denuncia -motivada por una queja de un usuario que se vio afectado por esta política- llevó a una “solución amistosa”, en palabras del DCP, que en la práctica consistió en que LinkedIn cesara en esta clase de prácticas. Por su parte, LinkedIn reconoció la mayor por medio de Denis Kelleher, su jefe de Privacidad para EMEA: “Desafortunadamente, no se siguieron los procesos y procedimientos sólidos que hemos implementado, y lo lamentamos. Hemos tomado las medidas adecuadas y hemos mejorado la forma en que trabajamos para garantizar que esto no vuelva a suceder”.
Sin embargo, los problemas no acaban aquí. Ya puestos, el DCP decidió iniciar una auditoría más amplia sobre la gestión de datos personales por parte de la red social de Microsoft, debido a preocupaciones “por problemas sistémicos más amplios” y dudas sobre la “seguridad técnica y las medidas organizativas” de esta compañía. Y, en esta segunda investigación, LinkedIn tampoco superó el examen.
Aunque parezca un tecnicismo, LinkedIn decidió que sus algoritmos encargados de sugerir contactos y crear redes profesionales fueran ejecutados por la matriz de la firma (con sede en Estados Unidos) en lugar de por una de sus sociedades en Europa (como hasta ahora llevaba a cabo de manera centralizada LinkedIn Ireland). De este modo, LinkedIn podía saltarse las normas de protección de datos y privacidad impuestas por el GDPR a la hora de unir a distintos miembros de la plataforma.
También en este caso, el asunto se resolvió de forma amistosa: Microsoft reconoció el problema (“durante la auditoría también identificamos un área adicional en la que podríamos mejorar la privacidad de los datos y, como resultado, hemos cambiado nuestras prácticas voluntariamente”) y cesó en sus prácticas antes de la entrada en vigor del GDPR, el pasado 25 de mayo.