Esto es lo que Twitter dice que tiene de nosotros
Listado de las IPs que hicieron login con nuestras credenciales, dispositivos móviles asociados a nuestra cuenta, registros del cambio del nombre o email utilizado en Twitter, registro de la actividad desde Facebook, listado de mensajes privados, búsquedas guardadas, e incluso información concerniente a solicitudes que hayan podido hacer los cuerpos y fuerzas de seguridad del Estado a nuestra cuenta.
La normativa de protección de datos española contempla un derecho, que a mi juicio, no está siendo explotado como debería y que en determinadas ocasiones puede ser de mucha utilidad, me estoy refiriendo al derecho de acceso, recogido en el artículo 15 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Este derecho permite al ciudadano solicitar a quien esté tratando sus datos personales tres cosas: qué información tiene, cómo la ha obtenido y si se la ha facilitado a algún tercero. El acceso además debe concederse de forma gratuita, esto es, sin exigir una contraprestación económica.
Al amparo de este derecho solicité a Twitter Spain S.L. con domicilio en Madrid y a Twitter Inc. con domicilio en California, el acceso a mis datos personales contenidos en sus ficheros y vinculados a mi perfil en Twitter @Samuel_Parra, con indicación expresa de si habían sido facilitados a terceros en alguna ocasión.
A los 12 días de enviar el escrito, recibo un correo electrónico en la cuenta asociada a mi perfil desde la dirección tw-legal@twitter.com indicándome que han recibido una solicitud de acceso a mi perfil de twitter @Samuel_Parra y querían confirmar que la había realizado yo, por lo que me instaban a responder a ese email confirmando la solicitud.
Sobre la marcha confirmé la petición pero viendo que pasaban los días y no recibía respuesta alguna, presenté tutela de derechos ante la Agencia Española de Protección de Datos (AEPD). No voy a entrar en explicar qué es esto de la tutela de derechos, pero en esencia diré que cuando la empresa ante la que ejercemos nuestro derecho de, en este caso, acceso, no responde en el plazo legalmente establecido o responde para denegar el acceso, o el acceso se concede de forma incompleta, se abre la opción de acudir a la AEPD para que sea ella la que requiera a la empresa que nos responda o nos facilite toda la información correspondiente.
Presentada la tutela y dando la AEPD traslado de ella a Twitter para que alegara lo que estimase oportuno, recibí entonces un email de Twitter con numerosos ficheros de texto y archivos .zip.
El email en concreto es este (captura de pantalla del email), en el que como podéis ver, no solo me envían la información que les solicité, sino que además lo hacen de forma ordenada y me describen qué contiene cada uno de los ficheros que me adjuntan:
- USER-account.txt: Basic information about your Twitter account.
- USER-email-address-history.txt: Any records of changes of the email address on file for your Twitter account.
- USER-tweets.txt: Tweets of your Twitter account.
- USER-favorites.txt: Favorites of your Twitter account.
- USER-dms.txt: Direct messages of your Twitter account.
- USER-contacts.txt: Any contacts imported by your Twitter account.
- USER-following.txt: Accounts followed by your Twitter account.
- USER-followers.txt: Accounts that follow your Twitter account.
- USER-lists_created.txt: Any lists created by your Twitter account.
- USER-lists_subscribed.txt: Any lists subscribed to by your Twitter account.
- USER-lists-member.txt: Any public lists that include your Twitter account.
- USER-saved-searches.txt: Any searches saved by your Twitter account.
- USER-ipaudit.txt: Logins to your Twitter account and associated IP addresses.
- USER-devices.txt: Any records of a mobile device that you registered to your Twitter account.
- USER-facebook-connected.txt: Any records of a Facebook account connected to your Twitter account.
- USER-screen-name-changes.txt: Any records of changes to your Twitter username.
- USER-media: Images uploaded using Twitter’s photo hosting service (attached only if your account has such images).
- USER-profileimg: Your avatar and background image, if uploaded.
- other-sources.txt: Links and authenticated API calls that provide
information about your Twitter account in real time.
De entre los datos que adjuntan, me llamó la atención lo siguiente:
- El fichero que contiene un registro de IPs que accedieron a mi cuenta, indicando la fecha y hora exacta de cuando hicieron el login. Eso sí, solo de los 3 meses anteriores al momento de realizar la petición de acceso.
- Información sobre los dispositivos móviles registrado en mi cuenta.
- Histórico del cambio de nombre y email de la cuenta.
- Listado de mensajes privados enviados y recibidos.
También me llamó la atención la política de transparencia que dicen tener con sus usuarios, al afirmar en su correo que no les consta que ningún cuerpo de seguridad del Estado les haya requerido ninguna información, pero que en cualquier caso, cuando esto sucede, se lo comunican directamente al usuario (a menos que tengan una orden judicial que se lo prohíba, dicen).
Por último, me informan que si hay alguna otra información que me gustaría conocer de mi perfil, que se lo haga saber.
Personalmente me deja un buen sabor de boca cómo ha funcionado Twitter con este experimento (que al margen de la curiosidad, tiene importantes consecuencias ya que confirmamos que Twitter se somete a las leyes españolas de protección de datos, ojo, pero esto lo dejo para otro post), y aunque sí es cierto que tuve que recurrir a la AEPD para que me escucharan, luego respondieron con agilidad y predisposición a ser transparentes con la información que manejan de sus usuarios, al menos en apariencia.
Respecto al procedimiento ante la AEPD, decir que una vez me enviaron desde Twitter el correo con los datos, informé a la AEPD para que procediera en consecuencia, indicando no obstante que la tutela de derechos debía ser estimada por motivos formales, ya que no respondieron dentro del plazo máximo que establece la ley.
La Resolución de la AEPD se puede leer aquí.
BONUS: por si alguien me aporta alguna pista; examinando el registro de accesos a mi cuenta, veo que desde la IP 162.248.201.38 se ha accedido en numerosas ocasiones; esa IP pertenece al operador Layer42, y según diversos registros, es una IP radicada en Palo Alto, Mountain View, California ¿A qué puede ser debido? ¿Alguna aplicación externa consentida en mi perfil?
ACTUALIZACIÓN 18-03-2015, 11:45. Modelos para ejercer este derecho.
Adjunto plantillas que para que cualquier otro usuario de Twitter pueda solicitar esta información; tenéis que rellenarlos con vuestros datos y enviarlos por correo certificado a las direcciones que figuran en el escrito de tutela. Recomiendo enviarlo tanto a Twitter Spain S.L. como a Twitter Inc.
1º: Escrito solicitando a Twitter el acceso a los datos. Formato .DOCX y .ODT
2º: Escrito de tutela de derecho ante la Agencia Española de Protección de Datos. Formato .DOCX y .ODT
Primero tenéis que enviar a Twitter el escrito solicitando el acceso; a los pocos días os deberá llegar un email a la cuenta asociada a vuestro perfil para confirmar la solicitud, hay que confirmar por email. Posteriormente, en teoría os deberían enviar a los pocos días un correo con todos los datos solicitados pero si veis que pasan más de 6 semanas desde que confirmáis por email y no os envían nada, entonces es el momento de acudir a la Agencia, PERO NO ANTES.
Importante adjuntar la documentación que se mencionan en los escritos.
Comments
Julio Merino
Da gusto aprender contigo, Samuel.
Buen trabajo y buen aporte. Gracias
Samuel Parra
Gracias Julio 🙂 🙂
omiwan
Palo Alto, Mountain VIew…….no serán los señores de la competencia: Facebook?
Samuel Parra
Podría ser, pero allí hay muchas empresas tecnológicas, Google por ejemplo… estoy intentando investigar el asunto pero no consigo encontrar información al respecto…
Cuando autorizamos a una aplicación externa a interactuar con nuestro perfil (por ejemplo para publicar por nosotros) ¿lo cuenta Twitter como un acceso? Tengo que seguir investigando….
Arturo Brotons
Lo más probable es que sí. Por ejemplo, desde Tweetdeck, cuando abres un tweet en vista de detalle, puedes ver con qué servicio ha sido publicado. En tu caso, en un vistazo rápido sólo he visto «Twitter Web Client». Pero igual que sale ese, podría ser «Twitter for iPhone», «Twitter for Android» o por ejemplo, «Dropbox» o «Twitter Bot». El caso es que cuando autorizas a usar tu cuenta para publicar tweets, cualquiera de estos servicios se guarda un token de acceso para seguir publicando más adelante (si no, tendrías que hacer login cada vez que abrieses la aplicación). El asunto es que si es una aplicación la que hace la llamada a la API desde tu propio dispositivo, la IP será la de tu dispositivo; pero si la llamada a la API se hace desde un servidor, la IP será la del servidor, esté donde esté emplazado.
Por lo poco que he usado la API de Twitter para desarrollar alguna aplicación, el servicio no hace distinción entre clientes (Twitter Web Client / for Android / …), siempre y cuando tengan un token válido y permisos de publicación. Por lo que yo creo que los trata a todos por igual.
Samuel Parra
Gracias Arturo, esto me aclara bastante las cosas 🙂
pierre
Hola Samuel !
Le agradece por este interesante post.
Podria mandarme ( o publicar aqui ) el modelos de las cartas que has mandado a Twtter y la AEPD ?
Muchissima gracias
Samuel Parra
Hola Pierre, ya he publicado los modelos 🙂
Hugo Moreno
Buena aportación Samuel. Confirma que en internet nada es anónimo, el big data de las redes sociales es impresionante y seguramente lo son más los sistemas de procesamiento de la información para usos que aún no advertimos. En fin, mucho que pensar, debatir,crear y buscar para proteger y ejercer los derechos ciudadanos ante la gigantesca maquinaria tecnológica del siglo XXI, independientemente, claro está, de purgar porque se haga el mejor uso de estos instrumentos por el bien de todos. Saludos y gracias.
VZ
Lo cachondo es que la AEPD establezca unos plazos formales para responder a sus solicitudes cuando luego sus inspectores no resuelven en sus propios plazos ni permiten informar al ciudadano de como va su tutela.
Irónico.
Pepe
Un artículo muy interesante. Me adhiero a la petición de los modelos de documentos para pedir los datos a Twitter. Los vas a publicar?
Gracias!
Samuel Parra
Sí, los voy a publicar en un rato 🙂
Nazareno
Muy interesante Samuel! Sabes si los tweets o DM eliminados aparecen en el registro?
Seria interesante ese dato, en especial que pasa con los DMs eliminados por uno pero que aun tiene la persona destinataria.
Saludos!
Samuel Parra
Sí que aparecen los DM recibidos y entiendo que con independencia de que el remitente los haya borrado, pero esto último no estoy 100% seguro.
David
Hola Samuel.
Gracias por este interesante artículo.
He visto que dices que te dirigiste a Twitter Inc y Twitter Spain S.L. (su filial española), a mí me gustaría ejercer este derecho con una empresa domiciliada en Australia que no tiene filial española.
¿Podrías decirme si en este caso la empresa también debe cumplir con la legislación española?
¿También la AEPD tutelará que se cumpla la legislación?
En su política de privacidad, esta empresa dice que te podría hacer un recargo para compensar costes administrativos. ¿Realmente pueden hacerlo?
Muchas gracias de antemano,
David
Samuel Parra
Hola David. Si la empresa está en Australia sin filial en España no vas a poder aplicarles nuestra LOPD 🙁
Nyr
Llego con tres meses de retraso, pero nunca es tarde para saciar la curiosidad.
La resolución inversa de la IP 162.248.201.38 que indicas, es la siguiente: collector-gw1-pub.klout.com.
Así que esa conexión se debe a que en algún momento conectaste a Klout con tu cuenta de Twitter.
Un saludo
Samuel Parra
Gracias 🙂
Curioso que cuando resolví inversamente esa IP en su día, me salía otra cosa 🙂