LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS SANCIONA A FACEBOOK CON MULTA DE UN MILLÓN DOSCIENTOS MIL EUROS POR VULNERAR LA NORMATIVA DE PROTECCIÓN DE DATOS

  • La Agencia constata que Facebook trata datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento y no cancela totalmente la información de los usuarios cuando ya no es útil para el fin para el que se recogió ni cuando estos lo solicitan.
  • Los datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación son recogidos directamente, mediante la interacción con sus servicios o desde páginas de terceros sin informar claramente al usuario sobre el uso y finalidad que le va a dar a los mismos
  • Facebook no obtiene un consentimiento inequívoco, específico e informado de los usuarios para tratar sus datos, ya que la información que ofrece no es adecuada
  • La Agencia declara la existencia de dos infracciones graves y una muy grave de la Ley de Protección de Datos e impone a Facebook una sanción total de 1.200.000 euros
  • La Agencia forma parte de un Grupo de Contacto junto a las Autoridades de Bélgica, Francia, Hamburgo y Países Bajos, que también iniciaron sus respectivos procedimientos de investigación a la compañía

Continuar leyendo “LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS SANCIONA A FACEBOOK CON MULTA DE UN MILLÓN DOSCIENTOS MIL EUROS POR VULNERAR LA NORMATIVA DE PROTECCIÓN DE DATOS”

NO TODO VALE…

A finales de Agosto, WhatsApp dio opción a sus más de mil millones de usuarios a desactivar la opción de “compartir datos” (número de teléfono, lista de contactos…). Y fijó un límite para poder hacerlo: 30 días. El objetivo era que los datos de WhatsApp pasaran, de manera oficial, a pertenecer a Facebook, su empresa matriz, y así potenciar su herramienta publicitaria (su verdadero negocio). Era un cambio importante en su política de uso y los usuarios que no lo hicieron antes de finalizar el plazo, o abandonaban WhatsApp o quedaban obligados a aceptar la nueva política.

Pero, pasado el plazo, llegó la primera denuncia desde Alemania al considerar que la decisión no se ajustaba a la normativa relativa a la protección de datos, y prohibió a Facebook “recopilar y registrar” los datos de los usuarios alemanes de WhatsApp. La Agencia de Protección de Datos de Hamburgo impuso una orden administrativa para detener la recolección masiva de información personal, así como borrar los datos ya enviados a la empresa a través de la aplicación-

  • «Tiene que ser decisión de los usuarios si quieren que sus cuentas estén vinculadas con Facebook, quien debería pedirles una autorización previa. Y esto no ha sucedido»

declararon desde el órgano regulador alemán, quienes también recordaron que Facebook y WhatsApp se califican de “empresas independientes”, por lo que esta situación de recabar datos atenta contra los acuerdos firmados para la adquisición de la compañía de mensajería. También añadieron que

  • «El hecho de que esto suceda ahora no es solo engañar a sus usuarios y al público, también constituye una infracción de la legislación nacional de protección de datos. Este intercambio es solo admisible si ambas empresas han establecido una base legal para hacerlo. Facebook, sin embargo, ni ha obtenido una aprobación previa de los usuarios de WhatsApp, ni tampoco cuenta con una base legal para los datos».

“CASO SCHREMS”

El Abogado General del Tribunal de Justicia de la UE ha dictado sentencia: Un Estado miembro de la Unión Europea podrá suspender la transferencia de datos de abonados a Facebook a los servidores de EEUU (bajo la premisa de que la supervisión al servicio de inteligencia extranjero es “masiva, no directa”). Las opiniones de los abogados generales de la UE son orientativas pero no vinculantes para la resolución del tribunal.

A raíz del caso Snowden, el austriaco Maximilian Schrems, con presencia en Facebook desde 2008, presentó una denuncia ante la autoridad irlandesa de protección de datos al considerar que la normativa y la práctica de EEUU no ofrecía protección real alguna frente a la supervisión, por parte del Estado americano, de los datos transferidos a ese país (sus datos se transfieren de la filial irlandesa de Facebook a servidores de EEUU). Pero la autoridad irlandesa desestimó la denuncia al haber considerado la Comisión (en julio de 2000) que, en el marco del denominado de “puerto seguro” (safe harbor), Estados Unidos garantizaba un nivel adecuado de protección de los datos personales transferidos,

El Abogado General del Tribunal de Justicia de la UE, Yves Bot, ha considerado que la existencia de una decisión de la Comisión (que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos) no puede anular, ni tan siquiera reducir, las facultades que tienen las autoridades nacionales de control en virtud de la Directiva sobre el tratamiento de datos personales. Así, considera que la decisión de 2000 de la Comisión Europea es nula. Bot afirma que dada la importancia de su función en materia de protección de datos, las facultades de intervención de las autoridades nacionales deben permanecer íntegras.

El Abogado General concluye a partir de ello que, si una autoridad de control nacional considera que una transferencia de datos socava la protección de los ciudadanos de la UE en relación con el tratamiento de sus datos personales, puede suspender esta transferencia, con independencia de la evaluación general que haya realizado la Comisión en su decisión y valora que la Comisión no dispone del poder de restringir las facultades de las autoridades de control nacionales. También considera que, en caso de que se detecten deficiencias sistemáticas en el país tercero al que se transfieren los datos personales, los Estados miembros deben poder adoptar las medidas necesarias para proteger los derechos fundamentales protegidos por la Carta de los Derechos Fundamentales de la UE (entre ellos, el derecho al respeto de la vida privada y familiar y el derecho a la protección de los datos personales). Bot asegura que el acceso de que disponen los servicios de información estadounidenses a los datos transferidos constituye una injerencia en el derecho al respeto de la vida privada y en el derecho a la protección de los datos personales garantizados por la Carta.

COLGAR LAS FOTOS DE TUS HIJOS EN LAS REDES SOCIALES

Un padre no puede publicar fotografías de un hijo menor de edad en las redes sociales si la madre no está de acuerdo. Así lo ha determinado una sentencia de la Audiencia Provincial de Pontevedra: para la publicación de las fotografías de su hijo menor en las redes, el padre tiene que recabar previamente el consentimiento de la madre y, de oponerse ésta, la opción que le queda al padre es acudir a la vía judicial para lograr una autorización, del modo previsto en el artículo 156 del Código Civil (la pareja está inmersa en un proceso de divorcio).

El artículo 4 de la Ley de Protección Jurídica del Menor (entre otros extremos) considera intromisión ilegítima en el derecho al honor, a la intimidad personal y familiar y a la propia imagen del menor ”cualquier utilización de su imagen o su nombre en los medios de comunicación que pueda implicar menoscabo de su honra o reputación, o que sea contraria a sus intereses incluso si consta el consentimiento del menor o sus representantes legales”.

El derecho a la propia imagen se configura como un derecho de la personalidad disponible por su titular si media su autorización, y que la representación fotográfica de un menor constituye un dato de carácter personal, de forma que la disposición de la misma habrá de otorgarse con el consentimiento de su representante legal.

RESUMEN NOTICIAS ABRIL 2015

CAUTELAS EN EL USO DE “WHATS APP”, “GOOGLE DRIVE”, “DROPBOX”, Y OTROS, EN LAS EMPRESAS

  Artículo de IRENE LÓPEZ – Socia Directora

Estamos en tiempos de ciberataques y las empresas invierten recursos en la protección de sus sistemas de información. Pero el día a día nos demuestra que los usuarios de estos sistemas tienen a su alcance una serie de herramientas cuyo uso puede resultar una amenaza para la seguridad y confidencialidad de los datos de la empresa.

Deben detectarse vulnerabilidades evidentes, como lo son el uso de aplicaciones de mensajería instantánea o de servicios en la nube (“cloud”) que se han popularizado entre los usuarios a nivel particular y cuya utilización se extiende en las empresas comprometiendo la seguridad de éstas.

Pongamos como ejemplo el uso de WhatsApp por parte de los empleados de una empresa como vía de comunicación con clientes, otros empleados, colaboradores… transmitiendo, a través de este canal, información privada o datos importantes del negocio. WhatsApp tiene serias deficiencias frente a la privacidad y la seguridad; pero, sin embargo, se llega a ofrecer a los clientes como alternativa para el envío de información.

Pensemos también en el uso de servicios de almacenamiento de datos en la nube como Google Drive y Dropbox. Desde el punto de vista de protección de datos personales, cualquier empresa sujeta al cumplimento de esta normativa es responsable del tratamiento de los datos de sus clientes, clientes potenciales… Por lo tanto, al almacenar estos datos en servicios como Google Drive y Dropbox, la empresa debe suscribir con los proveedores el correspondiente contrato de encargado del tratamiento conforme al artículo 12 de la LOPD, hecho que -normalmente- no se lleva a cabo. Además, en las condiciones del servicio que estos proveedores facilitan, prevén la modificación de éstas de modo unilateral por su parte y en cualquier momento, y no concretan el uso que se da a los datos, ni el destino de la información una vez finalice el servicio. Estos servicios, a priori, presentan ciertas garantías de cumplimiento de la normativa de protección de datos, como su adhesión al acuerdo US-EU-Safe Harbor y certificaciones sobre medidas de seguridad (ISO 27001); pero la deslocalización de los datos (ya que en sus políticas se prevé la posibilidad de almacenar información en cualquier parte del mundo) supone una pérdida de control de la información por parte de la empresa. La ausencia de auditorías de protección de datos personales, que establezcan la conformidad de las medidas de seguridad que establece el Reglamento de la LOPD, hace que estos servicios presenten carencias que pueden afectar a la seguridad y confidencialidad de la información almacenada.

Por lo tanto, hay que reflexionar a la hora de compartir documentos relevantes, datos de carácter personal o información que pueda comprometer el negocio en este tipo de aplicaciones o servicios, y determinar qué otras herramientas se encuentran en el mercado para cubrir las necesidades de la empresa y que presentan menos riesgos para nuestro negocio, tras el estudio de las opciones de privacidad y seguridad que nos ofrecen.

Es indudable la necesidad de formar al usuario, que también debe aprender a protegerse y ser consciente de que la seguridad en el negocio depende también de él mismo, además de establecer -por la empresa- normas internas de uso de los recursos informáticos y llevar a cabo un control sobre su cumplimiento.

PROTECCIÓN DE DATOS

LA AEPD RESUELVE COMO INFRACCIÓN LEVE LA NO COLOCACIÓN DE CARTELES INFORMATIVOS DE VÍDEO-VIGILANCIA EN PRISIONESconcluyendo así el expediente abierto contra Instituciones Penitenciarias por las supuestas anomalías detectadas en el sistema de vídeo-vigilancia de las 70 cárceles españolas. Según la resolución, se considera que el Ministerio del Interior ha vulnerado el artículo 5.1 de la LOPD, que obliga a colocar en las zonas vídeo-vigiladas distintivos informativos ubicados en lugar suficientemente visible, y a tener a disposición de las personas que pudieran resultar grabadas impresos con la información relacionada con sus derechos en este sentido. El fallo da a Instituciones Penitenciarias un mes de plazo para subsanar la deficiencia.

MAXIMILLIAN SCHREMS y su demanda contra FACEBOOK ¿Recordáis la conocida como “ley Bosman”?. Fue un “David contra Goliat”, versión años 90. Bosman era un modesto jugador de la Primera División de la Liga belga de fútbol, cuya demanda originó la sentencia del Tribunal de Justicia de la Unión Europea, el ya lejano 15 de diciembre de 1995, que declaraba ilegales las indemnizaciones por traspaso y los cupos de extranjeros de jugadores nacionales de estados miembros de la Unión Europea (UE).

Pues bien… ¿veremos pronto una futura “Ley Schrems”?.

Éste es el nombre de este joven abogado austriaco que ayer, 9-4-2014, interpuso -y fue aceptada por el Tribunal de Viena- una demanda colectiva contra Facebook en la que acusa al gigante estadounidense de vulnerar el derecho europeo de protección de datos y de no proteger la privacidad de los usuarios ante la Agencia Nacional de Seguridad de Estados Unidos (NSA).

A través de su plataforma Facebook claim, él y otros 25.000 usuarios (limitó él mismo el número) reclaman el cese de la vigilancia masiva que ejerce.

Schrems también creó el proyecto Europe vs. Facebook a favor de la revisión del acuerdo Safe Harbor, el pacto de intercambio de datos que firmaron Estados Unidos y la Unión Europea en el año 2000.

AUNQUE NO TENGAS CUENTA EN FACEBOOK, FACEBOOK “TE RASTREA”, según se indica en un reciente informe elaborado por la Agencia de Privacidad belga, instalando una cookie cuando consultas sitios web con el dominio “facebook.com“, aunque estos sitios web sean abiertos al público -páginas de negocios, deportistas, famosos- y no necesiten de una cuenta de Facebook para poder ser visitados. En este caso, Facebook instala un archivo -llamado datr.- que informa a la red social de todos los sitios web visitados que tienen el botón de “Me gusta” incorporado, aún cuando el visitante no le haya dado al botón.

Según el informe, Facebook estaría “violando” la Directiva de protección de datos de la Unión Europea, ya que “no cumplen con los requisitos” de la normativa europea, y más concretamente los del artículo 5 (3) de la Directiva de la UE sobre privacidad y comunicaciones electrónicas, ya que en él se explicita que se requiere el consentimiento previo, libre e informado del individuo antes de llevar a cabo el rastreo de su dispositivo.

A preguntas de “The Guardian”, la red social se ha defendido de la acusación asegurando que la información revelada por el estudio es “incorrecta”:

-“Virtualmente todas las páginas web, incluida Facebook, usan legalmente cookies para ofrecer servicios…

-“Si la gente quiere dejar de recibir publicidad basada en las páginas que visitan, pueden hacerlo a través del (acuerdo) EDAA”, pactado entre más de 100 compañías y la Unión Europea”…

-“Decepcionados con la opinión de la Agencia de Protección de Datos belga (…) que se ha negado a reunirse con nosotros o a clarificar la información incorrecta sobre éste y otros asuntos”…

Dos de los seis autores del estudio han afirmado al periódico británico que:

-“hasta la fecha no hemos sido contactados directamente por Facebook, ni hemos recibido ninguna solicitud de encuentro. No nos sorprende que Facebook tenga una opinión distinta sobre lo que requieren las leyes europeas de protección de datos. Pero si Facebook cree que el informe contiene errores, estaremos encantados de recibir cualquier observación específica que quiera hacer”.

AMAZON OFRECERÁ UN NIVEL DE SEGURIDAD EUROPEO DE PROTECCIÓN DE DATOS. Amazon Web Services (AWS) y el Grupo de Trabajo del Artículo 29, han aprobado el Acuerdo de Procesamiento de Datos (APD) de AWS, lo que asegura a sus clientes el cumplimiento de los niveles de seguridad de la normativa europea en protección de datos. La aprobación del APD de AWS, que enuncia las cláusulas contractuales estándar (frecuentemente denominadas “cláusulas modelo”), significa que los clientes de AWS que deseen transferir datos personales desde el Espacio Económico Europeo (EEE) a otros países pueden estar totalmente seguros de que su contenido en AWS tendrá el mismo alto nivel de protección que reciben en el EEE.

DERECHO AL OLVIDO: CASI UN AÑO DESPUÉS. La Audiencia Nacional ha dictado en un año 72 sentencias sobre el derecho al olvido, en 54 de las cuales (un 75%) ha ordenado retirar los enlaces de los resultados de búsqueda. La aplicación de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) “no implica en ningún caso eliminar la información original, que continúa intacta en la web que lo publicó y que sigue siendo accesible a través del buscador realizando la búsqueda por cualquier otro término que no sea el nombre del afectado”. De acuerdo con datos proporcionados por Google en Enero, habían recibido un total de 18.567 solicitudes en España para borrar enlaces siguiendo las directrices marcadas por el TJUE sobre el derecho al olvido. Las solicitudes de petición de este derecho comenzaron a final de mayo de 2014.

DELITOS INFORMÁTICOS

POSIBLE “PHISHING” DURANTE LA CAMPAÑA DE RENTA. Para prevenir posibles ataques informáticos, queremos alertar e informar del aumento de casos de “phishing” durante la campaña de la declaración de renta. ¿y qué esel “phishing”?

El “phishing”, o suplantación de identidad, es el intento de adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, o información detallada sobre tarjetas de crédito, u otra información bancaria).

En estos caso, el estafador -conocido como “phisher”- se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso también mediante llamadas telefónicas.

¿Cómo afecta en la campaña de la declaración de la renta?

Durante este período, los “phishers” envían un falso correo electrónico del Ministerio de Hacienda, con el asunto  Mensajes de devolución de impuestos, en el que envían un enlace que dirige a una página web que contiene un formulario en donde se solicitan los datos de la persona, con la excusa de devolver cierta cantidad de dinero.

En el citado enlace solicitan el nombre, NIF, número de tarjeta, fecha de caducidad, el código PIN y la fecha de nacimiento de la persona, cuando ninguna entidad bancaria, ni organismo oficial, solicita datos de este tipo a través de correo electrónico o formulario.

Recomendación: Si recibe este tipo de correos, elimínelos de la bandeja de entrada y, posteriormente, de la bandeja de correo suprimido.

DETENIDA UNA PERSONA POR BORRAR BASES DE DATOS DE UN HOTEL. Agentes de la Policía Nacional han detenido a una persona como presunta autora de un delito de daños informáticos tras haberse introducido en el servidor de un hotel, cuya base de datos contable fue eliminada, afectando con ello a las nóminas de todos los empleados.

Gracias al análisis forense que fue practicado “in situ” por los investigadores se pudo identificar, y detener, al presunto autor de los hechos, que resultó ser un ex-trabajador del establecimiento (recientemente despedido) y que en dependencias policiales reconoció haber accedido remotamente al servidor del hotel desde su domicilio particular.

PREVENCIÓN BLANQUEO CAPITALES

 IDENTIFICACIÓN FORMAL DE CLIENTES. Desde 1993 las entidades financieras tenían la obligación de obtener y conservar la copia del DNI de sus clientes. En la Ley de 10/2010 se estableció de forma expresa que esa conservación tenía que realizarse en soporte electrónico para evitar que se perdiera. En 2010 se dio a las entidades un plazo de 5 años (que expira este próximo 30 de abril) para que tuvieran esa documentación digitalizada.

Por lo que parece, a algunas entidades “les ha pillado el toro” con los plazos y ahora andan, muy a última hora, remitiendo a sus clientes cartas o comunicaciones para que pasen por sus oficinas a mostrar su DNI para poder digitalizarlo (es obligación de la entidad la identificación, no del cliente). Aunque también te ofrecen la posibilidad de que se lo remitas digitalizado a una cuenta de correo que te facilitan en la comunicación. En juego está el tener que bloquear automáticamente la cuenta no identificada a partir del 1 de mayo (que se desbloqueará, de igual modo, previa identificación formal).

Atentos al posible “phishing” de los listos de turno, aprovechando el momento:

Tu entidad financiera NO pedirá que confirmes tu número de cuenta ni la contraseña de acceso: te indicará -si ese es tu caso- que te persones en la oficina para mostrar tu DNI para su digitalización (o que se lo remitas digitalizado a su cuenta de correo).

INVESTIGACIONES DEL SEPBLAC EN 2014. España investigó 4.637 casos de blanqueo de capitales en 2014, un 15 % más que en 2013, siendo la mayoría de los asuntos abiertos por el SEPBLAC originados por las comunicaciones de operativa sospechosa (4.508). Al margen de las entidades financieras, la principal aportación al sistema de prevención proviene de las comunicaciones de notarios (288) y de los registradores (147).

Por otro lado, en los procedimientos iniciados por el incumplimiento de obligaciones de declaración de movimiento de dinero en efectivo, se intervinieron fondos no declarados por un valor de 38 millones y se tramitaron 659 expedientes, que dieron origen a sanciones por importe superior a 28 millones.

COMPLIANCE

 REFORMA CÓDIGO PENAL Y COMPLIANCE. A modo de primer avance, éstas son algunas de sus concreciones:

1- La responsabilidad penal queda limitada a las personas jurídicas, sólo a los supuestos en los que el incumplimiento del deber de vigilancia haya tenido carácter ”grave” (en el caso de delitos cometidos por sus dependientes cuando existe una infracción del deber de supervisión sobre los mismos).

2- El que se cuente con un programa de prevención (programa de compliance penal), que puede conducir a una reducción significativa del riesgo de comisión de delitos, puede ser causa de exención de la responsabilidad penal de la persona jurídica; pero habrá que tener en cuenta los requisitos que deberá cumplir ese modelo:

-Identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

-Establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

-Disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

-Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

-Establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

-Realizar una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

3- Se prevé la existencia de un órgano de supervisión y control (compliance officer) del modelo de prevención implantado.

MAXIMILLIAN SCHREMS y su demanda contra FACEBOOK

¿Recordáis la conocida como “ley Bosman”?. Fue un “David contra Goliat”, versión años 90.

Bosman era un modesto jugador de la Primera División de la Liga belga de fútbol, cuya demanda originó la sentencia del Tribunal de Justicia de la Unión Europea, el ya lejano 15 de diciembre de 1995, que declaraba ilegales las indemnizaciones por traspaso y los cupos de extranjeros de jugadores nacionales de estados miembros de la Unión Europea (UE).

Pues bien… ¿veremos pronto una futura “Ley Schrems”?.

Éste es el nombre de este joven abogado austriaco que ayer, 9-4-2014, interpuso -y fue aceptada por el Tribunal de Viena- una demanda colectiva contra Facebook en la que acusa al gigante estadounidense de vulnerar el derecho europeo de protección de datos y de no proteger la privacidad de los usuarios ante la Agencia Nacional de Seguridad de Estados Unidos (NSA).

A través de su plataforma Facebook claim, él y otros 25.000 usuarios (limitó él mismo el número) reclaman el cese de la vigilancia masiva que ejerce.

Schrems también creó el proyecto Europe vs. Facebook a favor de la revisión del acuerdo Safe Harbor, el pacto de intercambio de datos que firmaron Estados Unidos y la Unión Europea en el año 2000.

AUNQUE NO TENGAS CUENTA EN FACEBOOK….

Facebook “te rastrea”, según se indica en un reciente informe elaborado por la Agencia de Privacidad belga, instalando una cookie cuando consultas sitios web con el dominio “facebook.com“, aunque estos sitios web sean abiertos al público -páginas de negocios, deportistas, famosos- y no necesiten de una cuenta de Facebook para poder ser visitados. En este caso, Facebook instala un archivo -llamado datr.- que informa a la red social de todos los sitios web visitados que tienen el botón de “Me gusta” incorporado, aún cuando el visitante no le haya dado al botón.

Según el informe, Facebook estaría “violando” la Directiva de protección de datos de la Unión Europea, ya que “no cumplen con los requisitos” de la normativa europea, y más concretamente los del artículo 5 (3) de la Directiva de la UE sobre privacidad y comunicaciones electrónicas, ya que en él se explicita que se requiere el consentimiento previo, libre e informado del individuo antes de llevar a cabo el rastreo de su dispositivo.

A preguntas de “The Guardian”, la red social se ha defendido de la acusación asegurando que la información revelada por el estudio es “incorrecta”:

-“Virtualmente todas las páginas web, incluida Facebook, usan legalmente cookies para ofrecer servicios…

-“Si la gente quiere dejar de recibir publicidad basada en las páginas que visitan, pueden hacerlo a través del (acuerdo) EDAA”, pactado entre más de 100 compañías y la Unión Europea”…

-“Decepcionados con la opinión de la Agencia de Protección de Datos belga (…) que se ha negado a reunirse con nosotros o a clarificar la información incorrecta sobre éste y otros asuntos”…

Dos de los seis autores del estudio han afirmado al periódico británico que

-“hasta la fecha no hemos sido contactados directamente por Facebook, ni hemos recibido ninguna solicitud de encuentro. No nos sorprende que Facebook tenga una opinión distinta sobre lo que requieren las leyes europeas de protección de datos. Pero si Facebook cree que el informe contiene errores, estaremos encantados de recibir cualquier observación específica que quiera hacer”.