A principios de año, la Autoridad de Protección de Datos de Austria (DSB) dictaminaba que el uso continuo de Google Analytics viola el Reglamento General de Protección de Datos europeo (GDPR), ya que los datos que recoge de los ciudadanos comunitarios son enviados a servidores de Estados Unidos. Un mes después, salía a la luz un documento de Meta en el que se planteaba la posibilidad de dejar de ofrecer sus “productos y servicios más significativos, incluyendo Facebook e Instagram, en Europa”, si se la obligaba a almacenar los datos de sus usuarios europeos exclusivamente en servidores radicados en territorio de la Unión Europea. Surge así la pregunta: ¿por qué son tan valiosos los datos, hasta el punto de que Meta se replantee su negocio en Europa? Y, ¿somos conscientes los usuarios de la verdadera importancia de lo que hagan con nuestra información?
La guerra de los datos: Europa vs corporaciones tecnológicas
El conflicto entre reguladores europeos y corporaciones tecnológicas estadounidenses que ha saltado a primera plana en las últimas semanas tiene su origen en la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE), del 16 de julio de 2020. Maximilian Schrems, activista austriaco que defiende el respeto a la privacidad de los usuarios de redes sociales, solicitó que Facebook no enviase sus datos a servidores estadounidenses, aduciendo que estos no ofrecían garantías suficientes para protegerlos.
El TJUE falló, a instancias de la Comisión de Protección de Datos de Irlanda (IDPC), que el uso de servidores estadounidenses incumple el GDPR, ya que las leyes de vigilancia del país americano requieren que los proveedores como Google o Facebook proporcionen datos personales de sus usuarios a las autoridades. Era el mismo argumento que se usó para invalidar el acuerdo de transferencia de datos Privacy Shield firmado en 2016 entre la UE y Estados Unidos.
A raíz de esa decisión, el Centro Europeo de Derechos Digitales (NOYB), la ONG fundada por Schrems, presentó 101 quejas ante los reguladores. Tras el dictamen del DSB, se espera que las agencias de otros Estados miembros de la UE tomen decisiones similares, habida cuenta de que los reguladores han colaborado en este tipo de casos dentro de un grupo de trabajo del Comité Europeo de Protección de Datos (EDPB).
Estas decisiones afectarían directamente a las grandes corporaciones tecnológicas estadounidenses con presencia en Europa: Google, Meta, Microsoft, Twitter, Apple... El caso de la compañía presidida por Mark Zuckerberg es el más significativo: el mencionado documento, presentado por Meta ante la Securities and Exchange Commission (SEC) de Estados Unidos y firmado por el director financiero David M. Wehner, expresaba la preocupación de la compañía por el daño, principalmente económico, que supondría retirar sus productos y servicios más significativos del mercado europeo, “si no se adopta un nuevo marco de transferencia de datos transatlántico”. “Esto afectaría de forma adversa y material a la condición financiera de nuestro negocio y a los resultados de nuestras operaciones”, asegura el texto.
La reacción de los ministros de Finanzas de Alemania y Francia fue flemática: “Puedo confirmar que la vida es muy buena sin Facebook y que podríamos vivir muy bien sin Facebook”. Tras hacerse público el documento, la compañía estadounidense se apresuraba a desmentir que fueran a retirar Facebook e Instagram de Europa: “No tenemos ninguna intención de marcharnos de Europa, por supuesto que no”. Simplemente afirmaba que “explicamos [a nuestros inversores] que la continua incertidumbre sobre los mecanismos de transferencia de datos entre Europa y EEUU plantea una amenaza a nuestra capacidad para operar en Europa”.
Esquivada de momento la posibilidad más traumática de que los europeos nos veamos obligados a prescindir de Facebook e Instagram, no parece, sin embargo, que la situación vaya a seguir siendo la misma que antes de 2020. La Agencia Española de Protección de Datos (AEPD) está investigando la legalidad de las transferencias de datos a EEUU que se dan en Google Analytics, el servicio de analítica web más usado del mercado. Por su parte, la CNIL, el regulador de la privacidad francés, ha recomendado que “las herramientas de medición y análisis de audiencia de los sitios web solo se utilicen para producir datos estadísticos anónimos”. Desde Google, en cambio, afirman que el problema es la ausencia de una normativa que regule las transferencias de datos tras la sentencia del TJUE, no servicios como Analytics.
Así las cosas, los próximos meses serán claves. Cuando la Comisión de Protección de Datos de Irlanda, país donde tienen su sede europea de compañías como Meta, Google o Microsoft, se pronuncie definitivamente sobre la suspensión de las transferencias transatlánticas de datos, sabremos si estas compañías podrán seguir empleando las llamadas “Cláusulas contractuales estándar” que permiten dichas transferencias. Si el veredicto es negativo y no se establece una normativa europea que satisfaga a todas las partes, el actual modelo de tratamiento de datos, del que depende en buena medida el negocio de Meta y Google, se vería comprometido.
¿A dónde van nuestros datos?
Vista la magnitud de la batalla entre Meta y otras grandes compañías tecnológicas y la Unión Europea por los datos, es interesante conocer cuál es el destino de la información que los usuarios entregamos a esas compañías y qué uso se les da.
Como bien sabemos, cada vez que nos conectamos a Internet o a una red social, o usamos una app, proporcionamos consciente o inconscientemente diversa información a las empresas propietarias de esos servicios y a sus socios. Desde nuestros intereses a los lugares que visitamos, pasando por nuestro nombre, edad, género, número de teléfono o cuenta bancaria. A los que habría que sumar las imágenes y vídeos que grabamos y compartimos.
Con el desarrollo de herramientas de big data, las posibilidades de análisis de toda esa información son casi infinitas. Un sistema como Rosetta, lanzado por Facebook en 2018, permite extraer texto y clasificar los millones de imágenes que se alojan en la red social de manera autónoma. Pero, aparte de su objetivo de entender mejor las fotografías publicadas en Facebook, también puede usarse para extraer y filtrar datos de todo tipo; por ejemplo, para averiguar y recopilar matrículas de coches de policía. Con el consiguiente riesgo potencial para la privacidad de personas y organizaciones.
Esta importancia de los datos y la necesidad de protegerlos llevó al Parlamento Europeo a establecer en 2018 el Reglamento General de Protección de Datos (GDPR), que establece, entre otras garantías, que los datos de una persona solo se pueden tratar con su consentimiento explícito o base legal, la seudonimización y la obligación de los depositarios de preservar la seguridad de la información, además de sanciones de hasta 20 millones de euros por incumplir la normativa.
Sin embargo, las regulaciones al respecto en Estados Unidos son menos garantistas. De hecho, no hay una norma federal que abarque la protección de datos en conjunto, sino leyes sectoriales sobre el tratamiento de la información de menores, fiscal o médica. Pero la Cloud Act, aprobada en 2018, habilita a las autoridades del país para exigir a los proveedores de servicios estadounidenses que revelen todos los datos en su posesión, custodia o control, según informa Ayuda LPD. Asimismo, la Cloud Act establece un mecanismo para que Gobiernos extranjeros puedan solicitar acceso al contenido de las comunicaciones de ciudadanos no estadounidenses en poder de compañías norteamericanas, con el fin de investigar delitos graves. Supuestos ambos que entran en contradicción con los derechos de privacidad de los ciudadanos europeos establecidos en el GDPR.
Como solución a este conflicto, Maximilian Schrems plantea dos opciones. La primera, que Estados Unidos adapte su normativa de protección de datos de los ciudadanos extranjeros. La segunda, que los proveedores estadounidenses alojen la información de los ciudadanos europeos fuera de EEUU. “A la larga, necesitamos protecciones adecuadas en Estados Unidos, o terminaremos utilizando productos separados para EEUU y la UE. Personalmente, preferiría mejores protecciones en los EEUU, pero esto depende de los legisladores estadounidenses, no de nadie en Europa”, explica.
¿Por qué son tan valiosos?
Hemos visto que las posibilidades que ofrece la moderna analítica de datos son prácticamente ilimitadas. De hecho, suele hablarse de los datos como del “nuevo oro negro”. Prueba de esta importancia es que, después de la anulación del Privacy Shield, las tecnológicas añadieron un texto ad hoc, las “Cláusulas contractuales estándar”, a sus políticas de privacidad e implementaron “Medidas técnicas y organizativas”, para poder seguir funcionando en Europa sin comprometer su posición en Estados Unidos. Medidas consideradas ineficaces por el DSB austriaco.
¿Qué valor generan los datos de los usuarios de Internet, aplicaciones y redes sociales? Ante todo, publicitario. Gracias a la medición y análisis de esos datos, los proveedores de estos servicios muestran a los usuarios de sus redes publicidad alineada con sus intereses, algo muy valorado por agencias y anunciantes. Según un informe de Warc Data, Meta, la matriz de Google -Alphabet- y Amazon acaparan casi la mitad de toda la inversión publicitaria global: un 46,1%. En el caso de Meta, el porcentaje es del 14,9%, es decir, de cada siete euros que se invierten en publicidad en el mundo, uno va a las arcas de la compañía de Menlo Park.
Asimismo, estas empresas ceden parte de la ingente cantidad de datos que atesoran a sus socios comerciales. Según el informe sobre transparencia publicado por Meta, en el primer semestre de 2021 se realizaron más de 210.000 solicitudes de datos a la compañía, de las cuales más de 60.000 proceden de EEUU.
Junto a la información sobre el uso de sus plataformas, también obtienen datos de las páginas a las que se conectan sus usuarios, qué cuentas siguen, qué hashtags buscan, desde qué dispositivos se conectan... Todo ello les sirve para desarrollar nuevos servicios, ofrecer análisis basados en datos concretos a otras compañías o vender campañas cada vez más segmentadas.
Es decir, sus negocios dependen básicamente de los datos de sus usuarios, por lo que toda alteración en la forma de tratar esos datos impacta directamente en sus cuentas de resultados. Antonio Quevedo, CEO de GlobalSuite Solutions, lo expresa de forma gráfica: “Es como si una gasolinera no tuviera combustible. Y lo cierto es que, con esa sentencia [del TJUE], Meta se queda sin su gasolina”.
Un problema serio que llega en un momento delicado para los resultados de la compañía dirigida por Zuckerberg. Según las previsiones para el primer trimestre de este año, el crecimiento de sus ingresos se ralentizará y crecerán solo entre un 3% y un 11%. Pero la opción no es irse de Europa: si lo hacen, otras compañías, especialmente las asiáticas, se encargarían de ofrecer sus servicios a los clientes europeos. Por lo que, en este panorama, Meta se ve abocada a un acuerdo que permita y legalice el flujo transoceánico de datos personales; si no, vaticina Quevedo, “puede ahogarse”.
¿Cómo podemos protegerlos nosotros mismos?
Aunque ese acuerdo que garantice tanto la protección de los datos de los usuarios como el negocio de las empresas sería la solución ideal, de momento no ha llegado y no podemos obviar que las compañías de Internet poseen información sobre incontables aspectos de nuestra vida, con el consiguiente riesgo de que esa información se utilice para fines maliciosos.
Al margen de las actuaciones de las autoridades, los ciudadanos de a pie también podemos tomar medidas para que nuestros datos estén más seguros. En primer lugar, debemos adquirir conciencia de la importancia de la privacidad y la seguridad de la información, y de nuestra propia responsabilidad en relación con la ciberseguridad.
En lo relativo a la transferencia de datos a servidores estadounidenses, una manera de que los ciudadanos y empresas europeas puedan proteger su privacidad de las solicitudes de las autoridades norteamericanas es alojar sus datos personales en servicios de almacenamiento de proveedores ubicados dentro del territorio de la Unión Europea y pertenecientes a empresas europeas, recomienda Ayuda LPD.
Desde la Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad (INCIBE), aconsejan a los usuarios “llevar a cabo un cambio positivo de comportamiento en relación con la adopción de buenos hábitos de seguridad”. En primer lugar, es importante ser muy cuidadosos con la información que compartimos, puesto que, una vez publicada en Internet o en una red social, queda para siempre, no podemos controlarla y se puede acceder a ella desde cualquier parte del mundo.
Asimismo, debemos configurar adecuadamente las opciones de privacidad en nuestros perfiles de redes sociales para controlar quién tiene acceso a nuestras publicaciones. Y tener precaución al usar dispositivos en lugares públicos, no dejándolos al alcance de extraños y empleando siempre redes wifi seguras.
Por último, es fundamental conocer nuestros derechos. La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD) obliga a todas las empresas españolas a proteger la información de sus clientes, pero a algunas, al estar ubicadas en otros países, no se les aplica esta ley. Por ello, antes de usar un servicio es mejor informarse y leer bien las políticas de privacidad. Otro derecho importante es el derecho al olvido en Internet: si vemos publicada en la Red alguna información sobre nosotros que nos perjudique, podemos solicitar su retirada a los motores de búsqueda. Siguiendo todos estos consejos, contribuiremos a minimizar el número y la gravedad de los problemas de seguridad de nuestros datos.