Facebook saca 1.520 millones de cuentas de Europa para esquivar la ley de privacidad

Si todo sale según lo previsto, mayo será el mes más cruel para la industria de los datos personales online. El día 25 entra en vigor el Reglamento General de Protección de Datos (GDPR) que, teóricamente definirá la forma en que a las compañías podrán capturar, guardar y procesar los datos personales de miles de millones de usuarios online. La Unión ha tardado más de seis años en firmar esta regulación general, que debería ofrecer a los ciudadanos más protección y control sobre sus datos, dentro y fuera de la comunidad.

Reemplaza a la Ley de protección de datos europea, que es del 95, y está diseñada para unificar la legislación para todos los países europeos. Teóricamente, todas las plataformas que quieran tener usuarios europeos deberán respetar la nueva regulación con todos los ciudadanos europeos. Pero en la práctica, las empresas como Facebook empezarán a tener dos clases de usuarios: los que están protegidos por la GDPR y los que no.

TE PUEDE INTERESAR

La ley está de tu parte: que no te timen con la nueva normativa de protección de datos

Aroa Fernández

La nueva normativa aumenta el rango de lo que constituye "datos personales", exigiendo el permiso explícito por parte del usuario, en un segmento independiente dentro del contrato de términos y condiciones donde se explique qué datos se recogen y cómo se van a usar. Deberá ser tan fácil dar permiso para determinados usos como denegarlo. Todas las empresas deberán tener un protocolo efectivo para que el cliente obtenga una copia de los datos que han sido recogidos y para que modifique o elimine los que le parezca conveniente, ejerciendo su derecho al olvido de manera rápida, efectiva e indolora.

También especifica las responsabilidades de aquellos que controlan técnicamente esos datos y exige un supervisor por estado miembro, además de establecer una autoridad general llamada European Data Protection Board. La nueva ley obliga a las empresas a notificar cualquier fuga o infracción de datos detectada en las siguientes 72 horas y aumenta las multas por incumplimiento. Facebook tendría que pagar muchas multas si sigue funcionando como hasta hoy.

Por ejemplo, por sus deliberadamente obtusos Términos de usuario, o por advertir a las millones de víctimas de la "fuga de datos" de Cambridge Analytica con cuatro años de retraso. También por recolectar datos de todo el que navega por internet sin su consentimiento, como hacen con su entramado de "trackers" fuera de su red social. En general, tendrían que pagar multas de miles de millones de euros por todas las actividades vinculadas a su modelo de negocio, que consiste en crear perfiles detallados de cada uno de sus usuarios para ofrecérselos a los fabricantes y a las compañías de marketing en segmentos algorítmicamente seleccionados por su especial afinidad al producto o un cierto estado de vulnerabilidad.

Por ejemplo, neonazis o adolescentes con problemas de autoestima. Naturalmente, para multar a la red social por ese tipo de infracciones, se tendrían que conocer. La falta de transparencia con la que operan las grandes plataformas online dificulta esa tarea.

¿Podría haber usuarios de dos clases?

Durante su comparecencia ante el Comité de Comercio y Energía, Mark Zuckerberg aseguró que los cambios que Facebook estaba implementando para cumplir con la GDPR afectarían a todos sus usuarios en todo el mundo. Quería convencer al gobierno de EEUU que su compañía no necesitaba ser regulada en los EEUU, porque iba a cumplir la estricta legislación europea de manera global. Cuando Gene Green, congresista demócrata por Dallas, Texas, le apretó preguntando si “se compromete hoy a decir que Facebook extenderá a los norteamericanos las mismas protecciones que deberá ofrecer a los europeos bajo la GDPR”; Zuckerberg dijo claramente: SÍ. Una semana más tarde le dijo a Reuters por teléfono que pensaba cumplir la regulación “en espíritu” y empezó a sacar las cuentas de todos los usuarios no europeos fuera de sus servidores en Europa.

Zuckerberg estableció su filial europea en 2008. Como muchas otras compañías de servicios digitales, llegó atraído por sus ventajas fiscales y centralizó allí toda su operación comercial fuera de EEUU. El pasado diciembre había en su central en el Viejo continente 1.890 millones de cuentas, un 89% de ellas gobernadas por Facebook Ireland y, por lo tanto, sujetas a la GDPR. Ahora solo quedarán allí las 370 millones europeas, porque los usuarios de África, Asia, Australia y Latinoamérica han sido realojados en los servidores de Menlo Park (California) junto con los 239 millones de perfiles correspondientes a EEUU y Canadá.

Todas esas cuentas quedan vinculadas a Facebook Inc., la filial estadounidense. Y, por lo tanto, fuera del alcance de la GDPR. Curiosamente, la mudanza de millones de cuentas no afectará a su rebaja fiscal. “Facebook seguirá procesando sus beneficios a través de la oficina irlandesa, pero la protección de privacidad se gestionará desde su sede de California”.

Eso no quiere decir que no vayan a cumplirla, pero sus explicaciones al respecto son cada vez más erráticas y farragosas. Hasta el jefe internacional de privacidad de Facebook, Stephen Deadman, parece decir una cosa y la contraria: “La GDPR y la Ley Europea de protección del consumidor establecen reglas específicas para los términos y políticas de privacidad que hemos incorporado para los usuarios europeos. Hemos dicho claramente que ofrecemos a cualquiera que use Facebook las mismas protecciones, control y ajustes a todos los usuarios, independientemente de dónde vivan. Estas actualizaciones no cambian eso.”

Desde la oficina española explican a Teknautas que el cambio de servidores obedece a una cuestión semántica: “la regulación europea es prescriptiva y requiere ciertos aspectos formales (incluyendo en el uso de las palabras) que no son relevantes para personas en otras partes del mundo, por ejemplo referencias a nuestro Responsable de la protección de datos, referencias a conceptos legales específicos como 'intereses legítimos', detalles sobre el marco de trasferencia de datos fuera de Europa”. Más sorprendente -y contradictorio todavía-, que la GDPR sería incompatible con otras posibles variaciones de la ley de protección de datos en el resto del mundo. Y que, en honor a esas diferencias, no la pueden aplicar de forma literal.

“El concepto de datos personales sensibles no existe fuera de la UE y pensamos que la gente fuera de esta región preferiría denunciar sus incidentes sobre privacidad a sus gobiernos locales”. Finalmente, y contradiciendo evidentemente su promesa de aplicar las mismas normas de privacidad a todos los usuarios en el mundo, terminan: “Trabajamos para ser más responsables con los marcos normativos y legales regionales en el futuro, y esas reglas europeas nos lo pondrían muy difícil”.