UE asusta a Facebook y Google
Las multas europeas por violación de datos privados son montos que incluso a los adinerados gigantes tecnológicos les dolería escribir
Amedianoche del viernes 1° de junio, las tan esperadas nuevas reglas sobre la protección de datos de la Unión Europea (UE), conocidas como Reglamento General de Protección de Datos, entraron en vigor de manera oficial.
Cuarenta y ocho minutos más tarde, Facebook y Google recibieron la primera probada de qué tan problemático puede ser este nuevo régimen de privacidad en Europa.
A las 12:48 a. m. hora de Bruselas, un grupo austriaco que defiende la privacidad presentó la primera de cuatro demandas en contra de los gigantes de Silicon Valley. La organización sin fines de lucro NOYB —siglas del inglés “none of your business” (“no te incumbe”)— aseguró que Google y Facebook, junto con dos de las empresas que controla esta última (WhatsApp e Instagram), no dieron a los usuarios europeos control específico sobre la utilización de sus datos, con lo cual infringieron la nueva reglamentación.
Las demandas, que se presentaron en Francia, Bélgica, Alemania y Austria, piden a los reguladores que impongan multas de hasta $4.300 millones a la empresa matriz de Google, Alphabet, y $1.500 millones a cada una de las otras tres (Facebook, Instagram y WhatsApp), más o menos el 4 % de los ingresos de cada empresa en el 2017, la pena máxima que permite el RGPD.
Incluso para los adinerados gigantes tecnológicos, son cheques que dolerían con solo escribirlos.
El arquitecto de la campaña de NOYB es Max Schrems, un abogado austriaco de 30 años que ha construido su carrera persiguiendo gigantes tecnológicos de Estados Unidos por sus prácticas de recolección de datos. Hace varios años, cuando aún era estudiante de derecho, Schrems presentó una serie de demandas en contra de Facebook, con el argumento de que la red social estaba violando las leyes de protección de datos de la UE.
Posteriormente, Schrems desafió con éxito las políticas del régimen de “puerto seguro” que permitían que las empresas tecnológicas almacenaran datos de los europeos en Estados Unidos. Ese caso envió ondas sísmicas a la industria tecnológica, e hizo que Schrems se volviera un héroe entre los defensores a ultranza de la privacidad digital. Edward Snowden, el informante y activista, declaró que Schrems había “cambiado el mundo para bien”.
Victoria absoluta
El lunes, varios días después del inicio de su nueva cruzada por la privacidad, conversé con Schrems. Me comentó que, aunque el momento para dar su último golpe era básicamente simbólico—la organización había preparado demandas en contra de Facebook y Google durante meses—, su contenido era muy real.
“Era importante mostrar desde el primer día que no cumplen con el reglamento”, me dijo Schrems. Facebook y Google, añadió, han “intentado en esencia ignorar o redefinir” las nuevas leyes europeas al obligar a los usuarios a que den su consentimiento para la recolección de una gran variedad de datos, sin decirles exactamente cómo utilizarán su información.
“Todos estos casos deberían terminar en una victoria absoluta”, agregó Schrems.
Las empresas tecnológicas nunca pensaron que las reglas europeas para la recolección de datos serían indoloras. Sin embargo, tal vez no anticiparon el caos que se desató la semana pasada, cuando los abogados se apresuraron a desenredar las complicaciones de la ley y las empresas bombardearon a las personas con mensajes en los que aseguraban que sus nuevas políticas de privacidad sí cumplen con el RGPD.
Mientras otros países también buscan establecer sus propias regulaciones de privacidad al estilo de los europeos, el impacto potencial del RGPD en el mundo ha convertido el apetito frenético de abogados ambiciosos, cabilderos y activistas en un tipo de proceso de elaboración de leyes que funciona gracias a la colaboración abierta que a fin de cuentas determinará cómo se harán cumplir las nuevas reglas.
Ya se han presentado efectos colaterales del RGPD en las industrias de los medios y la publicidad digitales, donde las nuevas reglas provocaron que varias publicaciones estadounidenses cerraran el acceso a los usuarios europeos y que se extinguiera el mercado para ciertos tipos invasivos de publicidad digital. Al estar ante la posibilidad de enfrentar fuertes sanciones, algunas de las pequeñas empresas tecnológicas de Estados Unidos se rindieron y dejaron de brindar su servicio en toda Europa.
Al ser empresas globales, Facebook y Google no tienen la opción de desconectarse de Europa. Por medio de comunicados, las dos empresas defendieron sus prácticas de recolección de datos, con el argumento de que cumplían por completo con las nuevas regulaciones europeas.
“Durante los últimos dieciocho meses, nos hemos preparado para tener la certeza de que cumplimos con los requisitos del RGPD”, mencionó en un comunicado Erin Egan, la directora de privacidad de Facebook. “Hemos aclarado nuestras políticas, hemos hecho que nuestras configuraciones de privacidad sean más fáciles de encontrar y hemos introducido mejores herramientas para que la gente tenga acceso a su información, la descargue y la borre”.
Teléfonos bloqueados
Un representante de Google, Al Verney, señaló lo siguiente: “Añadimos privacidad y seguridad a nuestros productos desde sus primeras etapas y estamos comprometidos a cumplir con el Reglamento General de Protección de Datos de la Unión Europea”.
En el centro de las demandas que entabló Schrems está el asunto de si las empresas tecnológicas dan opciones realistas a la gente sobre la manera en que recaban y usan su información.
Como muchas firmas, la semana antepasada, Facebook y Google, la cual desarrolló el sistema operativo móvil Android, invitaron a los usuarios a aceptar los nuevos términos de servicio que explicaban los detalles de su recolección de datos. Los miembros de Facebook que se negaron a aceptar los nuevos términos no pudieron ingresar a sus cuentas. A los usuarios de Android que no aceptaron los nuevos términos, les bloquearon los teléfonos.
Schrems afirmó que estas políticas de privacidad de “todo o nada” violaban el requisito del RGPD que menciona que el consentimiento debe ser particular y “otorgado libremente”. Para cumplir con la ley, continuó, las grandes plataformas tecnológicas deben dar la opción de compartir ciertos tipos de datos pero no otros a los usuarios conscientes de su privacidad.
La cruzada de Schrems está lejos de haber terminado. Los reguladores podrían decidir no continuar con las investigaciones, los litigios caros podrían extenderse durante años y las empresas de Silicon Valley están molestas y sumando cabilderos para intentar influir el incipiente proceso de elaboración de leyes.
No obstante, si este tipo de demandas tiene éxito —y no es descabellado pensar que pueda tenerlo, por la antipatía actual hacia los gigantes tecnológicos de Estados Unidos y la satisfacción que quizá produciría a los funcionarios europeos cortar las piernas de algunos de ellos—, podría ser un punto de inflexión para las grandes empresas tecnológicas.
“En este caso, las multas enormes han tenido repercusiones muy significativas”, señaló Courtney M. Bowman, una abogada de la firma Proskauer Rose, quien se especializa en leyes de privacidad en el ámbito internacional. “Las autoridades europeas mandarían una fuerte señal de que no se trata solo de una ley en papel que no se hará cumplir”, comentó.
Sin importar si Facebook y Google terminan por pagar sanciones multimillonarias, es claro que el RGPD ya ha introducido una variable nueva y aterradora en los cálculos de privacidad de Silicon Valley. Si los gigantes tecnológicos saben que los expertos en privacidad como Schrems están vigilando de cerca sus movimientos, para encontrar oportunidades que tengan como objetivo demandas en su contra —y ahora sin duda lo harán—, tendrán que pensarlo dos veces antes de agregar nuevas funciones que invadan la privacidad.
“Lo importante es quién tiene el control de la información en la era de la información”, declaró Schrems. “¿Quién tiene poder sobre todo esto?”.