El pasado 25 de mayo entró en vigor el nuevo RGPD (Reglamento General de Protección de Datos), que proporciona un nuevo marco normativo a las condiciones para almacenar y usar datos de carácter personal. Y, además, endurece considerablemente las sanciones por su utilización fraudulenta.
¿Qué es Change.org?
Por otra parte, como sabrás, Change.org es una plataforma que acoge recogida de firmas para campañas de todo tipo propiciadas por organizaciones no gubernamentales e incluso por ciudadanos particulares. Maneja, por tanto, un alto número de datos personales. En consecuencia, es de vital importancia que tanto las citadas organizaciones como las plataformas de este tipo se ajusten al nuevo RGPD.
¿Cómo se produjo el grave fallo de Change.org y la denuncia de Facua?
Precisamente, hace unos días, la asociación de consumidores Facua denunció ante la Agencia Española de Protección de Datos a Change.org debido a un grave fallo en su sistema de recogida y almacenamiento de datos. Concretamente, Facua observó que el mecanismo utilizado para ello por la plataforma era incorrecto. Permitía que cualquiera pudiese suplantar la identidad de otra persona dada de alta en Change.org y firmar una petición en su nombre.
Por ello, ha solicitado a este portal que elimine las firmas cuyo origen no sea comprobable y advierta a los afectados, que no habían dado su consentimiento, por esta situación. Además, se pide a la Agencia Española de Protección de Datos que abra expediente sancionador contra la plataforma.
De hecho, la sencillez de este sistema de suplantación te sorprende. Porque bastaba que entrases en cualquiera de las peticiones de firmas, introdujeses un nombre y apellido falsos junto a la dirección de correo electrónico verdadera de una persona dada de alta en ella y firmases. Lo único que hacía Change.org era comprobar si, efectivamente, ese correo figuraba en su base de datos. Y, si era así, admitía la firma sin problemas.
La problemática de este riesgo generaba que el afectado podía verse apoyado en público una petición a la cual, en el mejor de los casos, no te habías adherido y, en el peor, dando tu firma a algo con lo que estás en profundo desacuerdo.
Pero es que la situación podía ser todavía peor. Una vez Change.org aceptaba esa primera suplantación de identidad, esta podía continuar, no solo firmando otras peticiones, sino además publicando comentarios en ellas.
Todo ello es muy grave. Pero, además, debes tener en cuenta que el nuevo RGPD es muy estricto en lo que se refiere al manejo, por ejemplo, de opiniones políticas o creencias religiosas. Y, si tú fueras uno de los afectados, podrías estar apoyando involuntariamente una petición que chocase de manera frontal con tus convicciones de esa clase.
¿Se avisó a Change.org y ha dado explicaciones la plataforma?
Antes de denunciar la situación a la Agencia Española de Protección de Datos, Facua advirtió a la plataforma del problema que tenía. No obstante, ha señalado públicamente que no ha sufrido ninguna brecha de seguridad en su sistema y que cumplen escrupulosamente el RGPD. Sin embargo, también dicen haber tomado medidas para que el problema no se repita. La principal de ellas es que, si ahora quieres iniciar una petición y eres un nuevo usuario, te pedirán verificación.
En su comunicado, que apareció el pasado 3 de diciembre, Change.org señala que, en 2017, tan solo recibieron 20 mensajes de queja por parte de usuarios que indicaban no haber prestado su apoyo a una petición donde aparecía su firma. Dicen que es un número ridículo en proporción a las firmas que reciben (concretamente, un 0,00001 % de ellas) y que no hay tanta diferencia con los casos de suplantación de identidad que sufren otras páginas web. Finalmente, afirman haber pedido a la propia Agencia Española de Protección de Datos que les asesore para que todo esto no ocurra en el futuro.
¿Qué opina Facua de la reacción de Change.org?
Sin embargo, estas medidas no resultan suficientes para Facua, que pide la eliminación de todas las firmas y comentarios fraudulentos existentes en la plataforma.
Más aún, Facua cree que Change.org sí ha vulnerado las directrices del nuevo Reglamento General de Protección de Datos y, además, lo ha hecho en cuestiones que esta norma considera especialmente delicadas, como creencias u opiniones políticas. Por todo ello ha procedido a denunciar a la plataforma ante la Agencia por incumplimiento de los artículos 6, 9 y 32 del citado reglamento.
En conclusión, con el nuevo RGPD, tanto las organizaciones no gubernamentales como las plataformas de recogida de firmas deben ser muy cuidadosas en el manejo de tus datos personales. Y, si no lo fueran, no debes dudar en denunciarlo para que corrijan tal situación.