Airbnb y Tripadvisor violan la ley de protección de datos

Contactamos con seis aplicaciones que obtienen datos personales a través de Facebook. Sólo una accede a aportarnos los datos, tal como exige la ley

Al menos dos aplicaciones que acceden a datos privados de Facebook vulneran la ley de protección de datos en España. Se trata de Airbnb y Tripadvisor, dos empresas que obtienen datos privados de los usuarios en Facebook, que incluyen la lista de amigos, fotografías e interacciones en las publicaciones, como los populares “me gusta”.

A raíz del escándalo de la filtración a terceros de datos privados de los usuarios de Facebook para campañas publicitarias y de intoxicación política, Economía Digital se ha puesto en contacto con seis de las aplicaciones que obtienen información privada de los usuarios a través de esta red social.

Aunque son decenas de aplicaciones populares las que acceden a datos privados cada vez que un usuario se da de alta a través de Facebook, hemos decidido contactar con seis: Airbnb, Tripadvisor, Glovo, Blablacar, Spotify y Mytaxi.

Cualquier usuario de una app tiene derecho a saber qué datos personales almacenan las empresas

La ley de protección de datos vigente en España dictamina que cualquier usuario tiene el derecho a conocer todos los datos personales que las empresas almacenan. Al disponer de estos datos, el usuario podrá modificarlos o solicitar su eliminación.

La Agencia de Protección de Datos confirma que para tener acceso a esta información, la empresa sólo exigirá que el usuario aporte su documento nacional de identidad. Sólo con esta información basta para que entregue todos los datos que almacena sobre el usuario, tal como exige la normativa española.  

Las excusas de Airbnb y Tripadvisor

De las seis compañías a las que solicitamos acceso a los datos, dos, Airbnb y Tripadvisor, han comunicado que no pueden aportar esa información.

Airbnb ha respondido nuestra petición vía telefónica. Una empleada de la compañía ha explicado, desde Estados Unidos, que la información que maneja la empresa es toda la que el usuario ha ingresado de forma voluntaria en la web. También asegura no contar con los datos de bancarios ni de pago de los usuarios.

Es una información oculta a la que ningún trabajador de la empresa puede acceder. Pero se trata de información bancaria almacenada en algún lugar no especificado.

La multinacional no aclara qué tipo de información obtiene a través de Facebook y niega la posibilidad de entregarla por escrito, tal como exige la ley española. “No podríamos hacerlo. Y si lo hiciésemos, tampoco tendría ningún tipo de valor”, explica la trabajadora de Airbnb en su llamada desde Estados Unidos. Horas antes de la publicación de este trabajo, y ante la insistencia de que la compañía debe facilitar la información, por ley española, la misma empleada volvió a contactar con nosotros para informar que ha derivado la petición a otro compañero

Airbnb y Tripadvisor no facilitaron la información reclamada por Economía Digital e incumplieron la ley de protección de datos

Tripadvisor, la aplicación que valora lugares, locales y destinos turísticos en función de las opiniones de los visitantes, explica que todos los datos que guarda son los que el usuario ha ingresado. Pero también obvia, como Airbnb, el resto de la información que obtiene a través de Facebook y que el propio perfil de la red social delata.

Las aplicaciones tienen acceso hasta a la lista de amigos de cada usuario. Frente a la insistencia de que la compañía debe responder, por ley a esta petición, recibimos una respuesta: la solicitud será atendida por otro departamento. Pero la web envió a otro usuario contactado por este diario una respuesta completamente distinta: la única información de la que dispone es la que el usuario facilita en su perfil. 

Cruce de datos

Las aplicaciones obtienen datos personales en Facebook cuando los usuarios se dan de alta a través de esa red social para ahorrarse el trabajo de ingresar todos los datos para su inscripción en esas aplicaciones. De este modo, captan información personal que el usuario es incapaz de imaginar: estado civil, situación sentimental, fotos subidas y fotos de otros usuarios en las que están etiquetados, videos, comentarios, creencias religiosas, antecedentes laborales y formación académica. Además, pueden tener acceso a los grupos administrados por el usuario.

Algunas aplicaciones como “Cities that I have visited (las ciudades que he visitado)” o todas aquellas del tipo: “¿A qué personaje histórico te pareces?” son las que suelen almacenar mayor cantidad de información personal de los usuarios.

Las sanciones

Glovo y Blablacar no han respondido a las peticiones. Es un retraso que permite la ley. Según la normativa española, las empresas tienen margen de hasta un mes para enviar la información solicitada por los usuarios.

Para entregar esa información, Spotify pide datos adicionales: una carta firmada (impresa y escaneada) por el usuario con copia del DNI o el año de nacimiento. Una vez entregado ese requisito, la empresa segura que enviará la información.

La que sí responde

Y sólo Mytaxi ha respondido rápidamente con la información solicitada. Asegura sólo contar con el correo electrónico y el teléfono del usuario. No aclara si, además, tiene acceso a los trayectos realizados en los taxis que controla la aplicación. 

La negación al usuario de sus datos personales supone una infracción grave según la ley orgánica de Protección de Datos.

Las empresas que incurran en este tipo de actos afrontan sanciones entre 40.000 y 300.000 euros. Si en el plazo de un mes, la empresa no entrega los datos, será requerida por la Agencia de Protección de Datos para que lo haga. En el caso de que se niegue, estaría incurriendo en una falta muy grave y se enfrenta a sanciones de hasta 600.000 euros.

a.
Ahora en portada