- Global Voices en Español - https://es.globalvoices.org -

¿VKontakte, el gigante de los medios sociales rusos, elude el RGPD? Un usuario intenta averiguarlo

Categorías: Europa Central y del Este, Rusia, Activismo digital, Censura, Libertad de expresión, Medios ciudadanos, Política, Tecnología, RuNet Echo, GV Advox

Como si revelar la información personal de sus usuarios a las autoridades rusas no fuese suficientemente malo, VKontakte podría enfrentar ahora problemas serios en Europa // Martinsson Serg [1], CC2.0.

La red de medios sociales rusa VKontakte ha tenido varios meses malos. Muchos usuarios de las diversas plataformas han tenido problemas por sus publicaciones [2], y la compañía recibó el escarnio público por su falta de transparencia [3] al compartir la información de los usuarios con las autoridades.

Ahora, VKontakte (VK) encara un nuevo desafío relacionado con la privacidad: Kristian Shinkevich, activista bielorruso que vive en Polonia, solicita que VK entregue toda la información personal que tenga sobre él. La compañía aún no ha cumplido con la solicitud, pero le suspendió el acceso a su cuenta.

Shinkevich comenzó a preguntarse sobre las prácticas de recopilación de datos de VK luego de enfrentar amenazas legales por participar en una manifestación en Bielorrusia. Poco después, lo expulsaron de la universidad, donde afirma [4] que un administrador le dijo que la escuela tuvo acceso a toda la información de VKontakte de sus estudiantes, incluidas las publicaciones que les gustaban. En su caso, esto habría expuesto su participación en las manifestaciones.

Entre esto, y que arrestaron a otros activistas bielorrusos por publicaciones en VKontakte que promueven protestas [5] (indicio de que las autoridades en Bielorrusia controlan también la actividad en la red social), a Shinkevich le despertó el interés por conocer más sobre las prácticas de recopilación de datos de la plataforma.

Por lo tanto, revisó el nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPD), conjunto de políticas [6] para que compañías y organizaciones estandaricen el manejo de la información personal. Según este reglamento, cualquier compañía que procese información personal de ciudadanos de la Unión Europea debe acatar algunas reglas en relación a la protección y transferencia de esos datos.

En otra disposición se estipula que los ciudadanos de la Unión Europea tienen derecho a tener acceso a la información personal que las compañías mantengan sobre ellos, y tienen derecho de saber cómo la utilizan.

Aunque Shinkevich es ciudadano de Bielorrusia, Estado que no pertenece a la Unión Europea, tiene el derecho de solicitar esta información según el RGPD, por vivir en la Unión Europea (o «como persona», tal como describe el RGPD), en Polonia. Además, pese a que VKontakte es una compañía rusa, debe acatar el reglamento puesto que brinda el servicio a personas de la Unión Europea en el extranjero y maneja su información.

Incumplir con el reglamento facultaría a las autoridades de la Unión Europea a poder de imponer una multa de 20 millones de euros o el 4 % del ingreso bruto global, dependiendo de cuál sea más alto.

Cuando Shinkevich presentó una solicitud al Departamento de Asistencia Técnica de VKontakte para obtener acceso a toda la información que la plataforma recabó sobre él, recibió el archivo que solicitó. Luego, describió lo que recibió en Facebook [7]:

Today I have received the file, and that's freaking serious.

They store:
1. the whole name and surname changes history
2. groups and public pages I've managed
3. name of files uploaded, from which IP address, city, links to the deleted files, moreover, even simple voice messages from deleted conversations are there
4. complete list of files I've removed from my page, their exact address, name, date added, direct link – no matter that they all have been removed – voice messages, PDF documents etc.
5. adresses [sic] of pictures from Saved Photos album (protected). Direct links can be opened without being logged in
6. complete history of conversations, including removed, up to 27.06.2018 20:43:51 (the first message is dated 01.09.2016 21:40:30), with all the attachments including removed ones.
7. complete history of phone number ever linked to the account
8. history of password retrieval requests
9. all the comments and posts from my page timeline, including ones removed about 1-2 years ago (the section is titled «Messages posted on the user's wall»)
This file is about 1,5 Mbytes but it has al [sic] the history of my activity on VK since 2016 (when my page was created).

Hoy recibí el archivo y, vaya, es serio.
Almacenaron:
1. historial de las modificaciones de nombre y apellido
2. grupos y páginas públicas que administré
3. nombre de los archivos que publiqué, dirección IP desde donde publiqué, ciudad, enlaces a archivos eliminados, hasta simples mensajes de voz de conversaciones eliminadas
4. una lista completa de los archivos que eliminé de mi página, dirección exacta, nombre, fecha en que fueron añadidos, el enlace directo –sin importar que ya fueron eliminados– mensajes de voz, documentos PDF, etc.
5. direcciones de las imágenes que provienen de álbumes de fotografías guardados (protegidos). Enlaces directos que se pueden abrir sin necesidad de iniciar sesión
6. el historial completo de las conversaciones, incluso las eliminadas, hasta la fecha del 27 de junio de a las 20:43:51 horas (el primer mensaje es del 1 de septiembre de 2016, a las 21:40:30 horas), con todos los archivos adjuntos, incluidos los eliminados
7. historial completo de números de teléfono vinculados a la cuenta
8. historial de solicitud de recuperación de contraseña
9. todos los comentarios y publicaciones que realicé desde el muro de mi página, incluso los que eliminé aproximadamente hace uno o dos años (la sección se denomina «Mensajes publicados en el muro del usuario»).

El tamaño del archivo es casi de 1,5 Mbytes, pero tiene todo el historial de mi actividad en VK desde 2016 (cuando creé mi página).

Shinkevich no se sorprendió del contenido del archivo –pero le extrañó lo que faltaba. «Estoy completamente seguro de que lo que me enviaron no es toda la información, tienen mucho más», escribió en Facebook.

En efecto, la política de privacidad [8] de VKontakte indica (en la sección 4.2.1) que la compañía procesa una amplia gama de información de los usuarios y sus actividades, entre otros aspectos, información sobre «el sistema operativo del usuario, el navegador, la ubicación geográfica, el proveedor de internet, los contactos, datos obtenidos a través de la cámara, micrófono y dispositivos similares». La política no define claramente cómo manera tratan esta información después de procesarla. Los términos del servicio [9] de VK (7.2.5) indican que «la administración del sitio tiene derecho a mantener copias para archivo del contenido del usuario por un periodo indefinido».

¿Califica esta y otra información como «datos personales»? Depende dónde preguntes. Aunque la ley federal rusa 152 [10] define la información personal como cualquier información que se relacione directa o indirectamente con una persona específica, el RGPD realiza un desglose bastante específico de esta extensa interpretación. No obstante, como los términos del reglamento se aplican a todas las compañías que brinden servicios a personas de la Unión Europea, la ley exige a VKontakte seguir estos términos cuando trata con clientes en la Unión Europea.

Cuando Shinkevich solicitó a la plataforma el resto de la información, evadieron su solicitud. La compañía le bloqueó luego el acceso a su cuenta a finales de julio. Su página aún está conectada, pero no puede iniciar sesión ni restablecer su contraseña.

Cuando TJournal, agregador de noticias ruso, contactó a VKontakte [11], dijeron:

Страницу пользователя мы не блокировали. Доступ к ней был ограничен после того, как пользователь изменил несколько ключевых параметров, в том числе имя, фамилию, пол и другие. Такие действия считаются подозрительными и могут свидетельствовать, например, о продаже аккаунта или передаче другому лицу.
>Ограничение доступа к странице никак не связано с запросом пользователем информации по GDPR.

No bloqueamos la página del usuario. Se restringió el acceso luego de que el usuario cambiara varios parámetros claves, como nombre, apellido, género, etcétera. Esa actividad se considera sospechosa y podría ser prueba de que vendieron la cuenta o la cedieron a otra persona.

Restringir el acceso a la página no tiene ninguna relación con la solicitud de información, según el RGPD, que realizó el usuario.

Después, Shinkevich presentó una queja ante el Servicio de Seguridad de Datos Personales de Polonia y ha asumido el controvertido paso de solicitar el bloqueo de VKontakte en el país. Se unió a un creciente número [12] de voces que insta a los usuarios a dejar de utilizar [13] la plataforma y eliminar sus páginas.

En 2017, el ingreso total de VKontakte fue de más de $200 000 000 [14]. Si se descubre que infringió el RGPD, su multa sería el 10 % de esa cantidad. Con más de dos millones de usuarios de la Unión Europea [15], la red social pronto podría pagar un alto precio si no soluciona los problemas de privacidad.