Disqus fue irresponsable haciendo el tratamiento de datos de sus usuarios sin seguir lo indicado por el RGPD.
En mayo pasado, la Autoridad de Protección de Datos de Noruega notificó a Disqus la posibilidad de una sanción de 2.5 millones de euros por cometer infracciones del RGPD. Se le acusa de cometer violaciones relacionadas con la responsabilidad proactiva, la licitud y la transparencia.
Disqus es una empresa que ofrece un plugin para implementar una sección de comentarios en cualquier web. El cual es frecuentemente utilizado por páginas de diversos medios de comunicación. Sin embargo, una investigación precisamente de una cadena de televisión noruega, NRK, fue la que alertó de lo que estaba sucediendo.
Así, la Autoridad de Control Noruega se enteró de que Disqus, a partir de este plugin, estaba realizando tratamientos de datos de usuarios. Lo hacía a partir de su rastreo, perfilado y la posterior cesión de esta información a terceros para fines publicitarios y de marketing.
Interés legítimo
Esta práctica se habría llevado a cabo mayormente en Noruega y Disqus ha alegado que no sabían que el Reglamento General de Protección de Datos aplicaba también en este país.
Resulta bastante interesante como, a pesar de esas declaraciones, Disqus declaró ante la Autoridad de Control que el tratamiento realizado se basaba en el interés legítimo, concepto del propio Reglamento. La investigación realizada por la Autoirdad noruega concluyó que el tratamiento realizado por esta empresa, en tanto era un rastreo de los hábitos de navegación de los usuarios, requería de su consentimiento. Por lo tanto, no tenía cabida alguna este argumento.
Responsabilidad proactiva
Además, esto mismo ha demostrado que Disqus cometió infracciones relacionadas con la transparencia y con el principio de responsabilidad proactiva. Por no cumplir con las obligaciones relativas al deber de información del artículo 13 del Reglamento.
Además para la Autoridad de Control, el hecho de que Disqus ni siquiera fuese consciente de la aplicación del Reglamento en Noruega constituye, en sí mismo, una infracción del principio de responsabilidad proactiva.
En definitiva, estas actividades de rastreo oculto, perfilado y cesión a terceros suponen una grave intrusión en la privacidad de los ciudadanos noruegos. Y, por tanto, a la autoridad no le ha temblado el pulso a la hora de determinar una sanción.
Aunque es cierto que estamos ante una propuesta de sanción y Disqus tuvo hasta el 31 de mayo para presentar alegaciones adicionales. De las cuales, aún no ha habido noticia. Y al fin y al cabo, debemos esperar para ver si definitivamente el proceso acaba de esta manera para Disqus.