La Agencia Española de Protección de Datos ha acordado el archivo de las actuaciones de investigación abiertas de oficio contra la empresa estadounidense Social Links, Inc. (Exp. EXP202401564), tras analizar una demostración pública de su software de inteligencia de fuentes abiertas (OSINT) realizada en la conferencia de seguridad Milipol París 2023, en la que se evaluaron reacciones en redes sociales sobre la amnistía a políticos catalanes.
Antecedentes de hecho
En noviembre de 2023, un ciudadano presentó denuncia ante la AEPD tras conocer, a través de publicaciones en medios digitales (entre ellos Forbes), que la empresa Social Links había realizado una demostración de su herramienta informática en la conferencia Milipol París 2023. La presentación consistió en introducir datos recopilados de redes sociales en un sistema de inteligencia artificial para evaluar las reacciones online al acuerdo de amnistía para políticos catalanes relacionados con el proceso independentista.
Según la información publicada, la herramienta escaneó publicaciones de una conocida red social, buscando tuits que contenían palabras clave y hashtags relacionados con el tema, analizándolos posteriormente mediante inteligencia artificial para clasificar el sentimiento de los internautas como positivo, negativo o neutro, mostrando los resultados en un gráfico interactivo.
El artículo de Forbes citado en la denuncia describía además capacidades adicionales del software, incluyendo la posibilidad de buscar coincidencias de reconocimiento facial una vez que la herramienta hubiera identificado que alguien presentaba un sentimiento “negativo” en redes sociales, permitiendo a las fuerzas de seguridad obtener una visión más amplia de la identidad de una persona mediante la búsqueda de coincidencias en fotografías públicas de redes sociales.
Tramitación de la investigación
Dada la potencial relevancia de los hechos para los derechos y libertades de las personas, la AEPD acordó abrir una investigación de oficio. Tras un primer requerimiento de información sin respuesta, la Agencia recurrió al Sistema de Información del Mercado Interior (IMI) para canalizar la comunicación a través de la Autoridad de Control de Países Bajos, país donde Social Links tiene establecimiento.
Social Links respondió aportando información sobre su modelo de negocio y sobre la demostración realizada en París.
Alegaciones de Social Links
La empresa formuló las siguientes alegaciones principales:
En cuanto a su modelo de negocio, Social Links declaró que es desarrolladora de software que ofrece sus productos a personas jurídicas mediante un modelo de Software como Servicio (SaaS). Conforme a este modelo, todos los datos del usuario se almacenan en la cuenta personal del usuario, con acceso exclusivo otorgado al mismo. La empresa afirmó no poseer información sobre el tipo o categoría de datos procesados por sus clientes, recayendo la responsabilidad del cumplimiento normativo —incluido el RGPD— enteramente en los clientes que procesan los datos.
Social Links sostuvo que no recibe legalmente ningún dato de los clientes para almacenarlo, procesarlo, compartirlo o transmitirlo. Su función se limita a proporcionar capacidad de almacenamiento, capacidades de software y ancho de banda de red, que los clientes pueden utilizar a su discreción conforme a las leyes aplicables.
Respecto a la demostración en Milipol París 2023, la empresa declaró que no presentó datos personales en relación con la evaluación de sentimientos de los usuarios de Internet. Según su versión, el resultado final fue un gráfico con información sobre temas (eventos) y su valoración como “positivo” o “negativo”, sin incluir ningún dato personal. El gráfico se habría creado utilizando información disponible públicamente, procesándose únicamente información anónima durante su elaboración.
Social Links aportó como único material de soporte una imagen del gráfico resultante, en el que aparecían palabras, asociaciones de palabras y hashtags catalogados en círculos de distintos tamaños y colores según su valoración (rojo para negativo, verde para positivo, gris para neutro), sin que se apreciaran datos identificativos de personas concretas.
Información adicional obtenida en la investigación
La AEPD completó su investigación con información adicional obtenida del sitio web de Social Links, constatando que:
La empresa tiene sus oficinas centrales en Estados Unidos, contando en la Unión Europea con dos subsidiarias (una marca comercial y un centro de I+D) y un Centro de Proceso de Datos en Helsinki (Finlandia).
Respecto al almacenamiento de datos, la empresa declara en su web que no almacena ni registra los datos recibidos como resultado de consultas de búsqueda, funcionando su solución en tiempo real, extrayéndose todos los datos durante la operación y almacenándose únicamente meta-información sobre las solicitudes (nombre del punto final, hora de inicio, etc.).
El producto ofrecido se presenta como una “plataforma de investigación OSINT de ciclo completo”, una solución que combina la extracción de datos en profundidad a través de más de 500 fuentes abiertas con funciones de visualización y análisis.
Fundamentos jurídicos de la resolución
La AEPD recuerda que el RGPD tiene por objeto garantizar el derecho a la protección de los datos de las personas físicas, definiendo el artículo 4.1 como “datos personales” toda información sobre una persona física identificada o identificable, y el artículo 4.2 como “tratamiento” cualquier operación realizada sobre datos personales.
Centrándose en el evento de demostración de París, la Agencia concluye que queda acreditado que no se mostró ningún dato personal en el gráfico resultante. Además, el presentador de Social Links estaba actuando como usuario del software, por lo que, en su caso, el tratamiento de datos personales sería atribuible a los usuarios, no al proveedor del servicio.
La AEPD acepta las alegaciones de Social Links en el sentido de que la empresa no almacena, procesa, comparte ni transmite datos de sus clientes, limitándose a proporcionar la infraestructura técnica (capacidad de almacenamiento, software, ancho de banda) que los clientes utilizan bajo su propia responsabilidad y conforme a las leyes aplicables.
Decisión
Se acuerda el archivo de las actuaciones al no haberse encontrado evidencias que acrediten la existencia de infracción en el ámbito competencial de la AEPD, no habiendo sido posible atribuir responsabilidad por tratamiento de datos personales a Social Links.
La resolución incluye una cláusula de salvaguarda, indicando que el archivo se adopta “sin perjuicio de las posibles actuaciones posteriores que esta Agencia pudiera llevar a cabo, aplicando los poderes de investigación y correctivos que ostenta”.
https://www.aepd.es/documento/ai-00059-2024.pdf
Fuente: AEPD, Resolución de archivo de actuaciones AI/00059/2024