El abogado de la privacidad que les da un dolor de cabeza a Google y Facebook

Desde la medianoche del viernes 25 de mayo, las tan esperadas nuevas reglas sobre la protección de datos de la Unión Europea (UE), conocidas como Reglamento General de Protección de Datos, entraron en vigor de manera oficial.

Cuarenta y ocho minutos más tarde, Facebook y Google recibieron la primera probada de qué tan problemático puede ser este nuevo régimen de privacidad en Europa. A las 12:48 hora de Bruselas, un grupo austriaco que defiende la privacidad presentó la primera de cuatro demandas en contra de los gigantes de Silicon Valley.

La organización sin fines de lucro NOYB —sigla del inglés "none of your business" ("no te incumbe")— aseguró que Google y Facebook, junto con dos de las empresas que controla esta última (WhatsApp e Instagram), no dieron a los usuarios europeos control específico sobre la utilización de sus datos, con lo cual infringieron la nueva reglamentación.

Incluso para los adinerados gigantes tecnológicos, son cheques que dolerían de solo escribirlos.

El arquitecto de la campaña de NOYB es Max Schrems, un abogado austriaco de 30 años que ha construido su carrera persiguiendo gigantes tecnológicos de Estados Unidos por sus prácticas de recolección de datos. Hace varios años, cuando aún era estudiante de derecho, Schrems presentó una serie de demandas en contra de Facebook, con el argumento de que la red social estaba violando las leyes de protección de datos de la Unión Europea.

Posteriormente, Schrems desafió con éxito las políticas del régimen de "puerto seguro" que permitían que las empresas tecnológicas almacenaran datos de los europeos en Estados Unidos. Ese caso envió ondas sísmicas a la industria tecnológica, e hizo que Schrems se volviera un héroe entre los defensores a ultranza de la privacidad digital. Edward Snowden, el informante y activista, declaró que Schrems había "cambiado el mundo para bien".

El lunes 28, varios días después del inicio de su nueva cruzada por la privacidad, conversé con Schrems. Me comentó que, aunque el momento para dar su último golpe era básicamente simbólico—la organización había preparado demandas en contra de Facebook y Google durante meses—, su contenido era muy real.

"Era importante mostrar desde el primer día que no cumplen con el reglamento", me dijo Schrems. Facebook y Google, añadió, han "intentado en esencia ignorar o redefinir" las nuevas leyes europeas al obligar a los usuarios a que den su consentimiento para la recolección de una gran variedad de datos, sin decirles exactamente cómo utilizarán su información.

"Todos estos casos deberían terminar en una victoria absoluta", agregó Schrems.

Las empresas tecnológicas nunca pensaron que las reglas europeas para la recolección de datos serían indoloras. Sin embargo, tal vez no anticiparon el caos que se desató la semana pasada, cuando los abogados se apresuraron a desenredar las complicaciones de la ley y las empresas bombardearon a las personas con mensajes en los que aseguraban que sus nuevas políticas de privacidad sí cumplen con el RGPD.

Mientras otros países también buscan establecer sus propias regulaciones de privacidad al estilo de los europeos, el impacto potencial del RGPD en el mundo ha convertido el apetito frenético de abogados ambiciosos, cabilderos y activistas en un tipo de proceso de elaboración de leyes que funciona gracias a la colaboración abierta que a fin de cuentas determinará cómo se harán cumplir las nuevas reglas.

Ya se han presentado efectos colaterales del RGPD en las industrias de los medios y la publicidad digitales, donde las nuevas reglas provocaron que varias publicaciones estadounidenses cerraran el acceso a los usuarios europeos y que se extinguiera el mercado para ciertos tipos invasivos de publicidad digital.

Al ser empresas globales, Facebook y Google no tienen la opción de desconectarse de Europa. Por medio de comunicados, las dos empresas defendieron sus prácticas de recolección de datos, con el argumento de que cumplían por completo con las nuevas regulaciones europeas.

"Hemos aclarado nuestras políticas, hemos hecho que nuestras configuraciones de privacidad sean más fáciles de encontrar y hemos introducido mejores herramientas para que la gente tenga acceso a su información, la descargue y la borre".

Un representante de Google, Al Verney, señaló lo siguiente: "Añadimos privacidad y seguridad a nuestros productos desde sus primeras etapas y estamos comprometidos a cumplir con el Reglamento General de Protección de Datos de la Unión Europea".

Como muchas empresas, la semana pasada, Facebook y Google, la cual desarrolló el sistema operativo móvil Android, invitaron a los usuarios a aceptar los nuevos términos de servicio que explicaban los detalles de su recolección de datos. Los miembros de Facebook que se negaron a aceptar los nuevos términos no pudieron ingresar a sus cuentas. A los usuarios de Android que no aceptaron los nuevos términos, de hecho les bloquearon los teléfonos.

Schrems afirmó que estas políticas de privacidad de "todo o nada" violaban el requisito del RGPD que menciona que el consentimiento debe ser particular y "otorgado libremente". Para cumplir con la ley, continuó, las grandes plataformas tecnológicas deben dar la opción de compartir ciertos tipos de datos pero no otros a los usuarios conscientes de su privacidad.

No obstante, si este tipo de demandas tiene éxito —y no es descabellado pensar que pueda tenerlo, por la antipatía actual hacia los gigantes tecnológicos de Estados Unidos y la satisfacción que quizá produciría a los funcionarios europeos cortar las piernas de algunos de ellos—, podría ser un punto de inflexión para las grandes empresas tecnológicas.

"En este caso, las multas enormes han tenido repercusiones muy significativas", señaló Courtney M. Bowman, una abogada de la firma Proskauer Rose, quien se especializa en leyes de privacidad a nivel internacional. "Las autoridades europeas mandarían una fuerte señal de que no se trata solo de una ley en papel que no se hará cumplir", comentó.

Si los gigantes tecnológicos saben que los expertos en privacidad como Schrems están vigilando de cerca sus movimientos, para encontrar oportunidades que tengan como objetivo demandas en su contra —y ahora sin duda lo harán—,tendrán que pensarlo dos veces antes de agregar nuevas funciones que invadan la privacidad.

"Lo importante es quién tiene el control de la información en la era de la información", declaró Schrems. "¿Quién tiene poder sobre todo esto?".