Internet
Facebook, en el punto de mira de las autoridades europeas
¿Se encuentra Facebook ante una rebelión internacional? El desarrollo mundial del gigante norteamericano todavía no se encuentra en peligro, pero esta semana ha tenido que encajar dos anuncios especialmente inquietantes: la paralización de su proyecto Free Basics –dirigido a ofrecer acceso gratuito a internet, con ciertos filtros, en India– y, sobre todo, el pulso sin precedentes de las autoridades francesas relativo al tratamiento de los datos personales.
La Comisión Nacional de Informática y Libertades (CNIL) abrió fuego el lunes 8 de febrero al hacer público un requerimiento, de fecha del 26 de enero, especialmente duro con Facebook. La CNIL da tres meses a la compañía para ceñirse al derecho francés y europeo. Esta decisión es fruto de la investigación abierta en marzo de 2015 por el G29, por los CNIL del conjunto de los países europeos que han llevado a cabo investigaciones técnicas online, así como en las propias oficinas de Facebook.
Aunque muchas de las prácticas denunciadas por la CNIL ya eran conocidas, su constatación formal, tal y como se recoge en el requerimiento del 26 de enero, es demoledora. En el momento en que los usuarios se dan de alta en la red social, Facebook recopila, además de los datos derivados de la actividad que mantienen a diario, “datos relativos a la orientación sexual, a las opiniones religiosas y a las opiniones públicas. La compañía también puede recabar historiales médicos proporcionados por los usuarios para comprobar su identidad”.
Los investigadores confirman además que la empresa no sólo ficha a sus usuarios, sino también a personas que no tienen un perfil en la red social. “En efecto”, precisa la CNIL en el comunicado que acompaña al requerimiento, “el sitio web utiliza cookies en el terminal de cada internauta que visita una página Facebook pública, sin informarle de ello (páginas de un evento público o de un amigo, por ejemplo). Estas cookies permiten al sitio web identificar todos los sites por los que el internauta navega, puesto que contienen un botón Facebook (Me gusta o conectar, por ejemplo)”. Los investigadores del G29 aseguran que Facebook había instalado al menos 13 cookies en el terminal empleado.
Pero sobre todo, la CNIL reprocha al gigante norteamericano que almacene datos sin informar claramente de ello a los usuarios y que las emplee con fines comerciales sin solicitar autorización. “En las condiciones del site no aparece ninguna alusión relativa al tratamiento de los datos de carácter personal”, explica el requerimiento y “no se informa a los internautas de la finalidad de la transferencia de datos a Estados Unidos”.
Para hacerse una idea de la cantidad y de la variedad de las informaciones que Facebook puede ofrecer a los anunciantes, la CNIL elabora un listado de los diferentes tipos de datos recopilados, a partir de las condiciones generales de utilización reconocidas por la compañía norteamericana: los “proporcionados por los usuarios en el momento de abrir una cuenta”, los “relativos a la actividad de los usuarios [...] (contenidos compartidos o consultados, por ejemplo), con independencia del terminal empleado”, los “relativos a los dispositivos (ordenador, teléfono u otros) empleados por los usuario (sistema operativo, coordenadas GPS, tipo de navegador, número de móvil, por ejemplo)”, “los datos procedentes de sites de terceros y aplicaciones que integran botones como Me gusta o Conectar (sitios consultados y aplicaciones, por ejemplo”, los “que proceden de sites de terceros asociadossites (con quien la empresa ha colaborado para ofrecer un servicio o anunciantes con los que los usuarios han interactuado) (dirección electrónica, por ejemplo)” y los “procedentes de empresas que pertenecen o que son explotados por la empresa (Facebook Payments Inc., Instagram LLC, WhatsApp Inc, por ejemplo”.
Además, los investigadores precisan que el gigante norteamericano “conserva todas las direcciones IP utilizadas por los usuarios para conectarse a su cuenta”, lo que permite continuar rastreando al usuario, incluso cuando utiliza otro ordenador.
Bien es verdad que, tal y como recuerda la CNIL, la recopilación de datos, y sobre todo el tratamiento con fines comerciales de tales datos, sí cumplen estrictamente la ley francesa. La CNIL exige a las compañías que soliciten “consentimiento a la personas implicadas”, salvo que esta recopilación de datos se haga en el marco de cinco casos previstos por la ley: “respeto de un imperativo legal”, “seguridad de la vida de la persona concernida”, “cumplimiento de una misión de servicio público”, cumplimiento de un contrato o, por último, que responda a un “interés legítimo”.
La información que recopila Facebook no responde a ninguna “obligación legal” y por supuesto no tiene como objetivo salvar ninguna vida ni cumplir una misión de servicio público. En lo que respecta al cuarto supuesto, ante la eventualidad de que exista un contrato, la CNIL subraya que, aunque el usuario acepte las condiciones generales, éstas no incluyen el tratamiento de datos que lleva a cabo Facebook. “No existe marco contractual sobre la recopilación de datos con fines publicitarios”, se puede leer en el requerimiento de la Comisión.
Por último, en lo que se refiere a la existencia de un eventual “interés legítimo”, Facebook alega que el uso de los datos permite “mejorar los sistemas de publicidad y de medición”. Un argumento que la CNIL se encarga de desmontar al hacer hincapié en que este “interés legítimo” que esgrime la red social sólo le sirve a la compañía y no a sus usuarios, al contrario. “Cabe destacar que una recopilación masiva de datos es, por su propia naturaleza, amplitud y carácter masivo, susceptible de vulnerar los intereses de los usuarios y el derecho a la vida privada”.
Renegociación del acuerdo Safe Harbor
Al no hacer concesiones, el requerimiento del G29 supone todo un aviso para Facebook. Es verdad que las CNIL europeas se han tomado su tiempo hasta llegar a esta constatación y actuar, dado que buena parte de las prácticas descritas hace muchos años que se vienen denunciando.
Una de las razones que han llevado a las CNIL europeas a despertar se encuentra quizás en una última queja formulada contra Facebook. El requerimiento precisa que su “delegación ha sido informada de que la compañía transfiere datos personales de los internautas a Estados Unidos cumpliendo con el acuerdo de garantía de seguridad (Safe Harbor)”, que hasta hace poco regía la transferencia de datos personales desde los países europeos a Estados Unidos.
A este acuerdo de garantía de seguridad o Safe Harbor, firmado en el año 2000, podían acogerse unas 5.000 empresas norteamericanas, entre ellas las principales compañías de la Red. Este acuerdo ofrecía un marco jurídico derogatorio a las empresas norteamericanas, facilitándoles el acceso a los datos europeos. Para ello, debían conseguir una certificación, que se otorgaba en función de una lista de principios: información de los internautas, seguridad de los datos, compromiso de no transmitirlos a terceros que no ofrecen una protección suficiente...
Pero el acuerdo fue anulado el pasado 6 de octubre por el Tribunal de Justicia de la Unión Europea (TJUE), tras la batalla judicial que durante cinco años mantuvo un ciudadano europeo. En 2011, el austriaco Max Schrems, entonces un estudiante de 24 años, se propuso conseguir que Facebook le facilitase todos los datos que había recopilado sobre él. Finalmente consiguió una copia, en CD, que contenía informaciones que, una vez impresas, permitían llenar más de 1.200 páginas.
En aquel momento inició una verdadera batalla jurídica, presentó al menos 22 denuncias, que recurso a recurso, acabaron en los despachos del TJUE. En el fallo, en el que también se hacía mención a las revelaciones de Edward Snowden sobre la colaboración de compañías norteamericanas con los servicios norteamericanos, los magistrados señalaban que las condiciones exigidas para acogerse al Safe Harbor habían dejado de cumplirse y que por lo tanto debía quedar sin efecto.
Pese a todo, esta decisión histórica en materia de protección de datos personales no significa que Facebook, Google etc. no puedan, de un día para otro, transferir los datos a Estados Unidos. El derecho europeo prevé otros regímenes de excepción que permiten la transferencia de datos a terceros países, como las cláusulas contractuales o los códigos de buena conducta internos. Además, este fallo llega en un momento en que norteamericanos y europeos están negociando una nueva versión del Safe Harbor. Unas conversaciones delicadas a todas luces, que debían haber concluido el 31 de mayo de 2015, pero que no lo han hecho.
Sin embargo, los investigadores del G29 se han percatado de que Facebook seguía empleando los mecanismos del Safe Harbor, lo que supone una violación flagrante del fallo del TJUE. Éste dirigía enviaba también un mensaje inequívoco a las autoridades nacionales reprochándoles que no hubiesen hecho lo suficiente para proteger los datos de sus ciudadanos. Dicho llamamiento a la hora de mostrar una mayor firmeza ha sido, según ha podido saber Mediapart, muy bien recibido por los miembros del G-29 y explica, en parte, la decisión de hacer pública la sentencia, datada el 26 de enero: el fallo se mantuvo en secreto en un primer momento.
El gigante norteamericano tiene ahora tres meses para cumplir una serie de recomendaciones drásticas que responden a las diversas infracciones detectadas. En concreto, se insta a Facebook a “no proceder sin base legal a recabar datos con fines publicitarios”, a obtener el “consentimiento expreso [...] para la recopilación y el tratamiento de datos 'sensibles', a “proceder a la recopilación y al tratamiento leal”, a informar mejor a los usuarios o a dejar de transferir datos conforme a la Safe Harbor.
Si la compañía no se adapta a estas recomendaciones, la CNIL podrá iniciar un proceso de sanción que puede conllevar una multa de hasta 150.000 euros. Una cifra que puede parecer irrisoria para un mastodonte como Facebook. Pero el montante puede multiplicarse, ya que el requerimiento de la CNIL se inscribe dentro del marco de una acción del G29, iniciado por cinco autoridades (Francia, Bélgica, Países Bajos, España y el land de Hamburgo). En caso condena, la sanción se verá multiplicada en consecuencia.
India dice "no"
La última mala noticia que Facebook ha recibido esta semana viene de India. El fundador de la red social, Mark Zuckerberg, por más que desplegó la alfombra roja al primer ministro Narendra Modi cuando visitó Silicon Valley en septiembre; por más que gastó miles de millones de rupias en publicidad a toda página en todos los diarios del país; por más que lloriqueó en las columnas del Times of India sobre la mala acogida que había tenido cuando sus intenciones eran, palabrita, de lo más loables; por más que invitó a cientos de miles de abonados a enviar mensajes a favor de la consulta pública organizada estos últimos meses, la cuchilla de la guillotina terminó por bajar el lunes 8 de febrero. Ese día, las autoridades indias responsables de regular las telecomunicaciones (TRAI) dijeron "no".
“No” a las iniciativas “discriminatorias” que crean una internet a varias velocidades. “No” a los proveedores de internet que proponen un acceso web gratuito, pero limitado a un número muy pequeño de páginas. “No”, por tanto, a Free Basics, la aplicación que Facebook quería desplegar en India, en coolaboración con el operador telefónico Reliance Communication. “No” al proyecto loco de Mark Zuckerberg de ofrecer a todos los humanos la posibilidad de navegar en la Red y, adicionalmente, darse de alta en Facebook. La TRAI hizo prevalecer el principio de neutralidad que prima en la Red desde sus orígenes. Internet es un sistema “abierto” en el que nadie tiene derecho a limitar la libertad de circulación de los internautas, vino a explicar.
Implícitamente, Facebook está acusado de haber querido acabar con el ideal democrático. En internet, todo el mundo recibe el mismo trato y todo el mundo puede manifestar y ofrecer sus servicios, tanto una star up como una multinacional, tanto un bloguero activista como un gran partido político. Ése es el problema, según la TRAI.
Free Basics –free, gratis; basics, referido a servicios básicos como la información meteorológica, ofertas de empleo, compra de viajes o consejos sanitarios– permitía acceder a apenas unas cuantas decenas de páginas. Con esta aplicación, “Facebook era el que decidía lo que podía ser un servicio básico”, destaca Prabir Purkayastha, presidente de la Society for Knowledge Commons, una asociación en defensa de un desarrollo equitativo de India.
Los más desfavorecidos a los que Free Basics se dirigía no tenían acceso a aquello que todo el mundo quiere consultar: búsquedas en Google, enemigo acérrimo de Facebook; ver vídeos en YouTube, otro enemigo acérrimo de la red norteamericana; o simplemente dar de alta una dirección e-mail. Se les abría la puerta “a un jardín yermo rodeado de muros donde, en el mejor de los casos, se puede ver lo que tus amigos están haciendo”, resume Prabir Purkayastha, en alusión al carácter intrusivo y exhibicionista de Facebook. El sistema iba en contra del principio de igualdad de tratamiento de datos.
“En lo sucesivo, los operadores de telecomunicaciones no podrán poner trabas a la libertad de los consumidores dando acceso gratuito a un número limitado de sites, haciendo que los proveedores de contenido de esos sites paguen”, explica Apar Gupta, abogado que ha participado en la campaña Save the Internet.
¿Cuál es ahora el futuro de Facebook en India? “Nos sentimos decepcionados, pero quiero decir a título personal que vamos a seguir trabajando en India y en el mundo para hacer que caigan las barreras que impiden a la gente conectarse a internet”, avisa Mark Zuckerberg. La red social norteamericana no puede prescindir de un país que representa, a día de hoy, su segundo mayor mercado después del de Estados Unidos, con 130 millones de usuarios. Sin embargo, tendrá que respetar las normas del juego. “Internet es una de las más bonitas invenciones humanas y no debe pasar a ser monopolio de algunos”, ha dicho el ministro de Comunicación Ravi Shankar Prasad en una entrevista a The Economic Times. “El Gobierno seguirá garantizando que todos los individuos puedan acceder a la Red de forma no discriminatoria”.
Un propósito que llama la atención al venir de un representante de la derecha nacionalista hindú que alienta a la policía a rastrear a las personas que publican opiniones políticamente incorrectas en las redes sociales. A principios de febrero, un hombre fue detenido en Bengala Occidental por haber criticado en Facebook a un miembros del Trinamool Congress, el partido en el poder en Calcuta. En enero, un habitante de Kerala resultó detenido tras rastrear comentarios irónicos, en su perfil de Facebook, sobre los militares víctimas del atentado islamista contra la base aérea de Pathankot, cerca de la frontera de Pakistán. El año pasado, varias decenas de indios también fueron arrestadas, siempre por publicaciones en Facebook.
El Tribunal de Justicia de la UE avala poder demandar a Facebook desde el país de residencia
Ver más
Traducción: Mariola Moreno
Leer el texto en francés: