¿Por qué la autoridad de datos irlandesa investiga a Instagram en relación con datos de menores?

Durante esta semana hemos tenido conocimiento de que la Comisión de Protección de Datos de Irlanda (la Autoridad de Control de dicho país) ha iniciado una investigación acerca del tratamiento que Instagram (y en última instancia, Facebook) hace de los datos de menores de edad en su red social.

Para conocer la razón por la cual la Comisión de Protección de Datos irlandesa ha decidido investigar este asunto, debemos remontarnos al año 2019 cuando, David Stier un analista de datos estadounidense llevó a cabo un análisis de más de 200.000 cuentas de usuarios en Instagram de numerosos países. Dicho estudio reveló que, en poco más de un año, más de 60 millones de usuarios menores podrían haber modificado su cuenta personal de Instagram a una cuenta de negocios, suponiendo esto que su número de teléfono y su dirección de correo se hubieran hecho públicamente visibles a toda la red.

Pero esto, ¿cómo pudo ocurrir? Cuando un usuario se registra en Instagram, puede optar bien por crear una cuenta personal o bien utilizar una cuenta de negocios. Una de las principales diferencias entre ambas es que la cuenta de negocios ofrece a sus usuarios información a través de métricas y analíticas sobre el número de visualizaciones de sus posts y stories, por lo que muchos menores aprovecharon que en la red social resulta realmente sencillo modificar la cuenta (aun cuando no dispongas de ningún negocio real) para cambiarla y obtener información sobre las visualizaciones de su último post en París.

La otra cara de esta moneda es que la cuenta de negocios, además, estaba configurada de manera que el número de teléfono o el email que el usuario incluía en Instagram para crearse su cuenta aparecía públicamente, no solo en la App sino también en la versión HTML.

Si, además, tenemos en cuenta que un gran número de los usuarios que optaban por este cambio eran menores de edad, que sus datos de contacto estaban siendo públicamente comunicados a toda la red, y que resultaba realmente sencillo tanto dar con ellos como hacer web scrapping de esta información, tenemos servido un cocktail explosivo.

Tras las averiguaciones de Stier, éste contactó con Facebook, como titular de la red social Instagram, para hacerle llegar sus preocupaciones. Si bien en un primer momento no fueron tenidas en cuenta por la red social, posteriormente han realizado algunos cambios al eliminar la información de contacto pública del código HTML que permite evitar, precisamente, las técnicas de web scrapping y la recolección de esta información de forma masiva, así como ofrecer la opción de no incluir los datos de contacto de forma pública en las cuentas de negocios.

No obstante, para Facebook ya fue tarde puesto que una vez ha llegado a manos de la Comisión de Protección de Datos de Irlanda, ésta pretende realizar una doble investigación:

  • a) Por un lado, con el fin de verificar el nivel de cumplimiento de Instagram de la normativa europea de protección de datos en cuanto al tratamiento de datos de menores, y más especialmente en relación con las medidas de protección instaladas en la red social dirigidas a menores, así como las restricciones y limitaciones existentes.
  • b) Por otro lado, la configuración de las cuentas de negocios en Instagram, así como la idoneidad de las medidas existentes para el uso por parte de menores, todo ello desde la perspectiva del principio de privacidad desde el diseño y por defecto que establece el RGPD.

Lo cierto es que, a día de hoy, Instagram no parece haber hecho grandes esfuerzos por proteger y garantizar los derechos de los menores en el uso de su herramienta, en la medida en que no existen verdaderos controles y medidas técnicas que permitan detectar un posible mal uso de la misma, teniendo en cuenta el importante papel que Instagram juega en las vidas de los jóvenes.

Sin embargo, sí que dispone de numerosos medios para poder monitorizar y controlar la utilización de la red social de forma correcta, detectar registros de usuarios que ni siquiera cumplan con la edad mínima de acceso a la red social, asegurar la seguridad de su información y optar por configuraciones de la herramienta que, por defecto, procuren la privacidad del usuario. En España tenemos como ejemplo la antigua red social Tuenti que causó furor entre los jóvenes españoles allá por 2009 que, sin embargo, optó por adoptar numerosos controles proactivos con el fin de proteger los derechos de los menores, con fuertes sistemas de control parental y verificación de la identidad.

Hoy día nuestros datos y (casi) nuestra vida está en manos de las grandes tecnológicas que gobiernan cómo nos mostramos, cómo conectamos con otros y cómo compartimos nuestros recuerdos, pero también ponemos en sus manos lo que es más importante, nuestra privacidad y, sobre todo, la de nuestros menores. Esperemos que este tipo de investigaciones sirvan para concienciar, dar a conocer los riesgos derivados de internet, y permitan seguir mejorando y ofreciendo cada día una red más segura.

Loreto Jiménez | Head of Privacy | Legal Army

Let’s start?

Tell us more about your business and we will contact you within 24 hours.