Innovation and Entrepreneurship
13 de April de 2018
Notas sobre el caso de Facebook y Cambridge Analytica: modelos de negocio que se basan en la explotación de datos personales
Por: Mónica Lizet Morales Neira - Abogada de la Universidad Externado de Colombia
El 17 de marzo de 2018, diversos medios de comunicación[1] revelaron que Cambridge Analytica, consultora de la campaña electoral del Presidente Donald Trump, obtuvo y usó ilegalmente los datos personales de más de 50 millones de usuarios de Facebook, aunque días después se corrigió dicha información precisando que realmente se trató de un número de 87 millones de usuarios afectados. Se estableció que la red social permitió que las aplicaciones vinculadas a ella pudieran obtener datos personales no sólo de los usuarios que las descargaban sino de todos sus amigos.
monica.morales@uexternado.edu.co
Twitter: @IPtechInfo
El caso:
El 17 de marzo de 2018, diversos medios de comunicación[1] revelaron que Cambridge Analytica, consultora de la campaña electoral del Presidente Donald Trump, obtuvo y usó ilegalmente los datos personales de más de 50 millones de usuarios de Facebook, aunque días después se corrigió dicha información precisando que realmente se trató de un número de 87 millones de usuarios afectados. Se estableció que la red social permitió que las aplicaciones vinculadas a ella pudieran obtener datos personales no sólo de los usuarios que las descargaban sino de todos sus amigos.
Aleksandr Kogan (profesor investigador de la Universidad de Cambridge y contratista de Cambridge Analytica) pudo obtener datos de más de 87 millones de usuarios de Facebook aunque sólo contaba con 270.000 personas que descargaron su aplicación denominada “This is your Digital Life” que se promocionaba como un test de personalidad. Según lo indicado por Mark Zuckerberg (CEO de Facebook) en su comunicado oficial sobre el caso, el Profesor Kogan creó la aplicación en cuestión en 2013, pero en 2014 Facebook, para evitar que “aplicaciones abusivas” pudieran recolectar datos de terceros sin su consentimiento, modificó “dramáticamente” la plataforma para limitar dicho acceso. Asimismo, indicó que en 2015 un periodista de The Guardian le informó que el Profesor Kogan habría compartido con Cambridge Analytica la información obtenida de su aplicación, por lo cual decidió prohibir la aplicación de su plataforma y exigirle certificar que habían borrado los datos, certificados que fueron suministrados a la red social.
La manera cómo se permitió el acceso y uso no autorizado de los datos personales desconcertó a los usuarios a tal punto que se ha gestado una tendencia mundial para que masivamente se deje de usar la red social (#DeleteFacebook). Ello a su vez va unido a una “molestia” generalizada dadas las controversias sobre su posible influencia en la elección del Presidente Trump y en el Brexit, la divulgación de noticias falsas en la red social, los cuestionamientos a la ausencia de transparencia frente a los algoritmos que determinan qué contenido ven los usuarios, el reconocimiento de su poder más allá de los tradicionales medios de comunicación, su influencia política, etc.
Con el pasar del tiempo y del cubrimiento mediático, la narrativa que ha usado la red social para tratar de explicar cómo pudo haber sucedido esta evidente violación a la privacidad de tantos usuarios, ha oscilado entre los conceptos de brecha de seguridad, fuga de datos, explotación de datos permitida por la red social, ruptura o abuso de la confianza de los usuarios (“breach of trust” fueron las palabras cuidadosamente elegidas por Mark Zuckerberg para referirse al suceso en su página personal de Facebook), incumplimiento de los términos y condiciones del servicio, violación de la política de privacidad, “error” (palabra que repitió en distintas oportunidades durante la audiencia ante el Congreso de Estados Unidos), etc.
Por su parte, el Director de Seguridad de Facebook, Alex Stamos, justo después de conocerse la noticia en su cuenta de Twitter (en tuits que posteriormente borró pero que la prensa conserva[2]) indicó que el caso no consistió en una brecha de seguridad de la red social, ya que no se violó ningún sistema o control técnico de Facebook, sino que en la época en que el test de personalidad fue usado por el Profesor Kogan, el API (Application Programming Interface) de Facebook (interfase para programadores) permitía a los desarrolladores de aplicaciones a acceder a grandes colecciones de datos personales, incluyendo nombres y “me gusta” de amigos del usuario que había descargado la aplicación. Según Stamos, la posibilidad de acceder a datos personales de los amigos del usuario estaban documentadas en los términos de servicio de la red social, los ajustes de privacidad, la documentación de la plataforma y en la sección en que se permitía el inicio de sesión a aplicaciones. Y así, sólo en 2015 se propusieron cambios que impedían dicho acceso, tal como lo confirma en su comunicado Mark Zuckerberg.
De esta manera, frente a las revelaciones relacionadas con Cambridge Analytica, medios de comunicación, ciudadanos, activistas y distintas autoridades han pedido explicaciones que permitan entender lo sucedido, y en particular, el alcance de los usos de información personal que efectúa Facebook, los usos que permite a terceros, las alternativas de solución que se plantean y, sobretodo, la responsabilidad y el compromiso para implementar mecanismos de protección de la privacidad de sus usuarios.
Antecedentes:
Es relevante señalar que este caso no es una novedad, de hecho, tiene diversos antecedentes de los cuales ya se evidenciaba que Facebook tenía prácticas violatorias de las normas de protección de datos personales de sus usuarios. Como simple ilustración, se mencionan dos de ellos que tienen estrecha relación con lo sucedido el presente caso:
- Orden de acuerdo por consentimiento con la Comisión Federal de Comercio (Federal Trade Commission – FTC)[3]: En 2011, la Comisión Federal de Comercio (FTC) teniendo razones para considerar que Facebook Inc. había violado el Federal Trade Commission Act (FTC Act) inició investigación en contra de la compañía por haber incurrido en conductas para engañar a los usuarios sobre su política de privacidad. En particular, se hacía referencia a que la red social aparentemente permitía a los usuarios “controlar” los ajustes de privacidad de su información y restringir su acceso a terceros, pero al mismo tiempo y de manera recurrente estaba permitiendo compartirla o divulgarla públicamente.
En el comunicado de prensa de la Comisión expresamente se destaca que dentro de las conductas denunciadas por los usuarios se encontraban quejas sobre el uso de información que hacían aplicaciones de terceros que el usuario instalaba y vinculaba a su cuenta. Según Facebook, dichas aplicaciones únicamente utilizaban la información necesaria para operar, cuando en realidad accedían a casi toda la información de los usuarios.
Dicho caso terminó con una orden de acuerdo por consentimiento (consent decree)[4] en la que Facebook se comprometió frente a la Comisión a adoptar medidas tendientes a proteger los datos de sus usuarios, y entre otras, a cumplir con las siguientes condiciones: (i) se prohíbe brindar información falsa o imprecisa sobre las condiciones de privacidad y seguridad de la información personal de los usuarios; (ii) debe obtener autorización de los usuarios para realizar cambios en la plataforma que modifiquen sus preferencias de privacidad; (ii) debe diseñar y mantener un programa integral de privacidad tendiente a mitigar los riesgos de privacidad asociados al desarrollo de sus servicios (los existentes y nuevos) y proteger los datos personales de sus usuarios y la confidencialidad de los mismos; (iv) se requiere que cada dos años durante 20 años (contados a partir del acuerdo) obtenga auditorías externas independientes que certifiquen que cuenta con un programa de privacidad que cumple o excede los requerimientos dados por la Comisión y para garantizar que la privacidad de la información de los usuarios se encuentra adecuadamente protegida.
De demostrarse el incumplimiento del acuerdo, ello podría acarrear a Facebook multas hasta por $40.000 dólares por cada usuario afectado, siendo en este caso más de 87 millones de usuarios.
- Caso promovido por Max Schrems: Desde el año 2011 Max Schrems, ciudadano austriaco, ya conocía las prácticas violatorias a las normas de protección de datos personales que Facebook realizaba y así se lo hizo saber a la autoridad de protección de datos irlandesa cuando presentó una reclamación en la cual, entre otros aspectos, señaló: (i) que las aplicaciones vinculadas a la red social podían obtener información de los amigos de los usuarios que las instalaran sin necesidad de contar con su consentimiento; y (ii) no estaba claro cuáles aplicaciones recibían datos y si estas cumplían o no con las regulaciones de privacidad, ya que Facebook no tenía control alguno en ese aspecto.
Sobre este aspecto específico los abogados de Facebook respondieron que dicha práctica era “perfectamente legal” pues ello estaba contemplado en su política de privacidad y ello legitimaba dichas transferencias, en la medida en que los usuarios estaban notificados de dichas prácticas. La autoridad irlandesa estuvo al tanto de dichos argumentos y, en ese momento, los consideró satisfactorios aunque adicionalmente realizó algunas sugerencias para que fueran implementadas con el fin de dar mayor publicidad a los usuarios sobre este tipo de usos.
Años después, el mismo Max Schrems presentó una denuncia ante la autoridad irlandesa de control en la cual consideraba que a raíz de las revelaciones de Edward Snowden (ex contratista de la National Security Agency – NSA) la normatividad y la práctica de vigilancia masiva del gobierno de Estados Unidos (con información proporcionada por varias empresas de tecnología incluida Facebook) no estaba ajustada a la normatividad europea en materia de protección de datos personales, por lo cual Estados Unidos no podía seguirse considerando un país que ofrecía niveles de protección adecuados, tal como había sido determinado en una Decisión de la Comisión Europea (Safe Harbor). Fue así como en 2015 el Tribunal de Justicia de la Unión Europea declaró inválida la decisión de la Comisión, en la medida en que no comprobó que Estados Unidos garantizara efectivamente en razón de su legislación interna y compromisos internacionales un nivel de protección de los derechos fundamentales en materia de protección de información equivalente al garantizado en la Unión. Por ello, durante meses las transferencias de datos entre Estados Unidos y la Unión quedó desprovista de marco regulatorio común y se debió negociar el Escudo de Privacidad EEUU-UE (Privacy Shield).
Hoy en día, Max Schrems se encuentra preparando demandas contra grandes empresas de tecnología (se estima que estaría incluida Facebook) que basan su modelo de negocio en la explotación de los datos personales de sus usuarios, las cuales presentará en tanto entre en vigencia la nueva regulación europea en materia de protección de datos (General Data Protection Regulation – GDPR) el próximo 25 de mayo de 2018[5].
- Notas al uso y explotación de datos personales como modelo de negocio:
Como primera consideración, es importante señalar que conforme a la información actualmente disponible, el presente caso no consistió en una filtración de datos o una brecha de seguridad de la red social de la cual no fuera partícipe o conocedor. Por el contrario, se tratan de prácticas reiteradas efectuadas por distintas empresas de tecnología (término genérico pero que incluiría, entre otras, a aquellas cuyo objeto es la minería de datos) cuyo modelo de negocio se basa en la explotación económica de datos, y en este caso particular de datos personales de los usuarios. De allí que exista un adagio popular en Internet que indica que frente a servicios gratis, el usuario nunca es el cliente sino el producto.
Sin embargo, si bien pueden existir distintas razones de mercado y justificaciones económicas para tal modelo, no se puede perder de vista que para el tratamiento (recolección, almacenamiento, uso, circulación y supresión) de datos personales existen regulaciones que buscan proteger los derechos de los titulares de tales datos, al ser considerados en muchos países (incluido Colombia) como derecho fundamental.
Así las cosas, frente a este caso particular de Facebook, Andrew Keane Woods[6], profesor de derecho de la Universidad de Kentucky y experto en ciberseguridad, con base en la información con que se cuenta actualmente y únicamente desde la perspectiva del derecho estadounidense, señala que el presente caso podría implicar violaciones a distintas leyes, cuya aplicación dependerá de cómo se surta la investigación y se determinen los hechos del caso. Dentro de las normas que podrían estar involucradas destaca el Computer Fraud and Abuse Act (CFAA), leyes penales estatales como el California Computer Data Access and Fraud Act (CDAFA), normas sobre incumplimiento de contratos, reglamentos de la FTC, entre otras.
En todo caso, en Estados Unidos ha resurgido la discusión sobre la necesidad de una regulación general de privacidad a nivel federal (no diversas regulaciones sectoriales y estatales) y de la creación de una única autoridad de protección de datos, como existe en diversos países.
Facebook es una de las empresas que más información personal recibe de parte de sus usuarios (datos de contacto, ubicación, fotografías – y con ellas datos biométricos que alimentan la base de datos de reconocimiento facial-, intereses, parentescos, amistades, e incluso hasta datos de salud, entre muchos otros) y el uso que le da a los mismos no es del todo claro para los usuarios ni para las autoridades, en cuanto a su alcance real. Es así como los usuarios tienen la intuición y –hasta cierto punto- conocimiento de que Facebook usa sus datos, los perfila, les proporciona publicidad conforme a sus intereses y de allí en adelante, se va tornando un poco más complejo y desconocido el alcance que se le da al uso de los datos.
Por ejemplo, algunas de las preguntas realizadas por los legisladores a Mark Zuckerberg durante la audiencia celebrada en días pasado ante el Congreso de Estados Unidos fueron encaminadas a determinar con claridad el funcionamiento de la red social, la naturaleza y extensión de los controles de privacidad dados a los usuarios, el alcance de los usos dados por Facebook a los datos de los usuarios y el grado de consentimiento o notificación dada con respecto a ellos. Así se destacan algunos de los temas tratados en dicha audiencia:
- En relación con los usos que Facebook realiza sobre el comportamiento e información de sus usuarios, se puso sobre la mesa el asunto de si el botón de dar “Me gusta” u otras interacciones que los usuarios pueden poner a las publicaciones, involucra el uso de cookies que rastrean el comportamiento del usuario en los navegadores aún después de cerrar sesión en la red social, lo cual fue objeto de controversia e investigación en 2011[7] cuando Nik Cubrilovic acusó a Facebook de hacer “tracking” a los usuarios fuera de las interacciones de la red social y, manifestó que luego de suscitarse dicha controversia, Facebook modificó el comportamiento de sus cookies y controles de privacidad. Asimismo, se plantearon otros aspectos que han sido objeto de denuncias y reclamaciones de usuarios, tales como, que los elementos que son borrados por los usuarios en realidad no implica que la información que la red social obtiene derivada o relacionada con dichos elementos sea eliminada, o que los temas sobre los cuales los usuarios conversan en el servicio de mensajes instantáneos de Facebook sirven para el perfilamiento de los usuarios para enfocar y personalizar los anuncios publicitarios, etc.
- Respecto al control sobre la privacidad que se otorga a los usuarios y el que Facebook puede garantizar, quedaron muchas dudas ya que se indicó que el mismo Zuckerberg fue víctima del uso indebido de la información, que no se han determinado cuántas aplicaciones más distintas a la del caso de Cambridge Analytica se encuentran involucradas, lo cual en definitiva da lugar a pensar que no existe control de la información que custodian. Aunado a lo anterior, en su discurso otorga mucha responsabilidad a los usuarios para protegerse a sí mismos, manifestando que “conocen” los términos y condiciones, que cuentan con la configuración de controles de privacidad que les permite diseñar y ajustar los parámetros de la misma.
Sobre si los usuarios leen, entienden y otorgan su voluntad libre al aceptar los términos y condiciones de este tipo de páginas muchos se ha estudiado y para nadie resulta sorpresivo que los usuarios no los leen y aceptan sin reparar en las consecuencias o implicaciones que ello conlleva con tal de recibir los beneficios que traen estos servicios. De esta manera vemos como las políticas de privacidad, los términos y condiciones y demás documentos y avisos legales resultan -en la práctica- únicamente en una apariencia de control que se le da a los usuarios pero que no representan protecciones reales a sus derechos. En este momento el énfasis de la privacidad ha estado dado en el consentimiento, en la autorización de los usuarios, pero eventos como este cuestionan la necesidad de evaluar este paradigma.
- Varios legisladores sugirieron evaluar la necesidad de mayor regulación, frente a lo cual si bien públicamente ante el Congreso de Estados Unidos Mark Zuckerberg manifestó estar abierto a que las redes sociales sean objeto de regulación (aunque precisó que debería analizarse su alcance), otro es el comportamiento que tiene frente a las normas que protegen la privacidad. Por ejemplo, Facebook estaría promoviendo discretamente una enmienda a la ley de privacidad sobre información biométrica “Biometric Information Privacy Act” (BIPA)[8] que se está discutiendo en el Estado de Illinois y que de aprobarse facultaría la recolección, almacenamiento y uso información biométrica de las personas sin que medie previo consentimiento previo y siempre y cuando se manejen con las mismas seguridades y protecciones que otros datos confidenciales, lo cual es un aspecto central para desarrollar los software de reconocimiento facial que utiliza la red social. Facebook tiene en su poder la base de datos privada más grande del mundo de reconocimiento facial (más de 2 billones de usuarios y aquellos que no son usuarios pero aparecen en las fotos subidas en la red social).
Asimismo, Facebook (al igual que muchas otras compañías del sector) utiliza gran capital en lobby (en 2017 casi 9 millones de euros) para evitar o incidir en las regulaciones que le implicarían mayores controles u obstáculos en su modelo de negocio, hace contribuciones directas a la campaña de muchos legisladores (y aparentemente el mayor contribuyente a los comités que lo cuestionaron en el Congreso)[9], y, por ejemplo, en Illinois hace parte de Consejo Tecnológico de la Cámara de Comercio de Illinois que ha apoyado la modificación de la ley BIPA.
- Además de versar sobre la privacidad de los usuarios, la presente controversia ha puesto énfasis en el comportamiento de los algoritmos que son usados por este tipo de redes sociales, y la necesidad de que sean transparentes, responsables de evitar sesgos, haya diversidad de empresas que ofrezcan el servicio y otras tantas preocupaciones que rodean a la posibilidad de que sea la inteligencia artificial la que controle contenidos en las mismas.
Frente a este escenario, ¿la audiencia ante el Congreso de Estados Unidos es realmente un avance en la protección de la privacidad de los usuarios o sólo sirve como proceso de catarsis? ¿las disculpas de Zuckerberg realmente son suficientes o es la estrategia que continuamente utiliza frente a las distintas controversias que han surgido sobre el manejo de su red social[10]? Uno de los problemas centrales que las autoridades deberán resolver es si la “autorregulación” de Facebook en Estados Unidos –como lo mencionaron varios de los legisladores- realmente protege los derechos de los usuarios, o teniendo en cuenta que hoy en día los datos de 87 millones de usuarios ya están comprometidos (y sin saber cuántos más o con cuantos actores externos más), es la oportunidad para analizar la viabilidad de mayor regulación y controles reales de las autoridades para proteger a los usuarios, sin que se les siga trasladando a estos toda la carga de proteger su propia privacidad. Esto será un asunto que seguirá en continua evaluación y discusión, pues pese a los llamados de expertos en la materia, el paso de un régimen de protección sectorial a uno general será un proceso que tomará tiempo para decidir en el Congreso de Estados Unidos.
Para ello, será importante la reacción de la Unión Europea frente a este caso, pues con la entrada en vigencia de la nueva regulación europea en materia de protección de datos (General Data Protection Regulation – GDPR) se espera que se tengan mayores exigencias y sanciones frente a sucesos de este tipo. Así, frente a la necesidad de Estados Unidos de transferir y circular datos con la Unión podría verse la voluntad política de producir cambios realmente sustanciales al esquema actual.
Finalmente, cabe señalar que en Colombia frente al caso de Facebook y Cambridge Analytica, el pasado 28 de marzo la Superintendencia de Industria y Comercio (SIC) ordenó como medida preventiva el bloqueo temporal de la aplicación Pig.gi debido a que conforme a información recaudada se habrían encontrado posibles vínculos entre Cambridge Analytica, la sociedad Farrow Colombia S.A.S y Farrow México S.A.P.I. de CV empresa administradora de la aplicación Pig.gi.[11]. No obstante, aún permanece vigente la Circular Externa No. 005 del 10 de agosto de 2017 (que adiciona un Capítulo Tercero al Título V de la Circular Única), en la cual se incluyó a Estados Unidos dentro del listado de países que cuentan con nivel adecuado de protección de datos personales para ser receptor de transferencias o transmisiones de datos de esta naturaleza. De esta manera, se espera que la SIC esté realizando un análisis y evaluaciones sobre este caso, sobre la protección de los datos personales de los colombianos allí involucrados y sobre el impacto que este asunto tendría sobre a la consideración de Estados Unidos en el listado antes mencionado.
Mientras tanto, queda a los usuarios el conocimiento de estos hechos que los lleva a tener mayor conciencia de que la información que voluntariamente comparten en dichas plataformas es usada en maneras y en un alcance aún desconocido, y muchas veces indeseable. En todo caso, si bien no se pretende que dichas empresas cambien por completo su modelo de negocio, lo cierto es que se busca que como contraprestación al provecho que obtienen del uso de la información de sus usuarios, les brinden acceso a su información, transparencia de su toma de decisiones, asuman responsabilidades y hagan un esfuerzo real de protección de sus derechos fundamentales de privacidad, pues como ya se ha venido discutiendo, Facebook y empresas de esa naturaleza tendrían –además de las obligaciones legales- deberes fiduciarios frente a la información que les es suministrada.
[1] La primicia fue dada por The Guardian, The NY Times y Channel 4, pese a las presuntas presiones de Facebook con advertencias de demandarlos en caso de que publicaran la noticia, según informó la reportera Carole Cadwalladr.
[2] Andrew Keane Woods, “The Cambridge Analytica-Facebook Debacle: A Legal Primer” en https://lawfareblog.com/cambridge-analytica-facebook-debacle-legal-primer: “It shows that Kogan did not need to get Facebook data through the back door, because he could waltz in through the front door—the door Facebook built for developers.”
[3] 2012 WL 3518628 (FTC July 27, 2012).
[4] “Facebook is obligated to keep the promises about privacy that it makes to its hundreds of millions of users,” said Jon Leibowitz, Chairman of the FTC. “Facebook’s innovation does not have to come at the expense of consumer privacy. The FTC action will ensure it will not.” Disponible en: https://www.ftc.gov/news-events/press-releases/2011/11/facebook-settles-ftc-charges-it-deceived-consumers-failing-keep (Consultado el 10 de abril).
[5] “This Austrian activist took on Facebook in Europe. He’s ready to do it again.” Disponible en https://www.bloomberg.com/news/articles/2018-03-22/max-schrems-took-on-facebook-in-europe-he-s-ready-to-do-it-again
[6] https://www.lawfareblog.com/cambridge-analytica-facebook-debacle-legal-primer (Consultado 28 de marzo de 2018).
[7] https://www.zdnet.com/article/facebook-fixes-cookie-behavior-after-logging-out/ (Consultado el 10 de abril de 2018).
[8] La actual ley requiere consentimiento expreso de los titulares de los datos personales para poder recolectar, almacenar, usar y transmitir su información biométrica (huellas dactilares, voz, escaneos de retina, escaneos faciales o de palmas de la mano, etc.) y ello generó que Facebook haya sido demandado por vulnerar el derecho de los individuos a objetar y oponerse al tratamiento de su información biométrica y se encuentre litigando actualmente en dicho proceso.
[9] “Facebook a big contributor to the committees in Congress that will question Mark Zuckerberg” https://www.usatoday.com/story/news/politics/2018/04/04/facebook-gave-most-contributions-house-committee-question-zuckerberg-also-got-most-contributions-fac/486313002/ (Consultado el 11 de abril)
[10] “Mark Zuckerberg has been apologizing for online privacy problems since he was a student at Harvard” https://edition.cnn.com/2018/04/11/us/zuckerberg-harvard-congress-trnd/index.html?sr=twCNN041118zuckerberg-harvard-congress-trnd1146AMVODtop (Consultado el 11 de abril de 2018)
[11] http://www.sic.gov.co/noticias/como-medida-preventiva-superindustria-ordena-bloqueo-de-aplicacion-pig-gi-por-su-aparente-vinculacion-con-posible-tratamiento-ilegal-de-datos-personales-de-colombianos (Consultado el 12 de abril de 2018).