BRUSELAS, Bélgica.-Un joven estudiante de origen austriaco ha decidido declararle la guerra a Facebook, uno de los gigantes que domina y vigila la internet.
El año 2011, dos años antes de que Edward Snowden filtrara información respecto a la intervención de correos electrónicos, redes sociales y teléfonos móviles por parte de la Agencia Nacional de Seguridad de Estados Unidos (NSA, por sus siglas en inglés), Max Schrems, hoy de veintiséis años, presentó una queja por desconocer lo que le sucedía a los registros que subía a la popular red social ante la Comisión de Protección de Datos de Irlanda (CPDI), país donde se encuentran ubicadas las oficinas europeas de Facebook y donde legalmente la compañía tiene responsabilidad para todo el continente.
Además del destino de sus publicaciones, imágenes y mensajes directos —existentes y eliminadas—, el estudiante de derecho cuestionó en aquel momento al CPDI, máximo órgano encargado de la protección de datos personales en Irlanda, sobre el uso y abuso de aplicaciones conocidas como plug-ins en páginas ajenas a la red social que actualmente posee más de 1135 millones de usuarios alrededor del mundo.
“Facebook Irlanda está recolectando principalmente direcciones de correos electrónicos, pero también nombres, números telefónicos, direcciones e información laboral sobre sus usuarios y no usuarios”, alertó el joven a la autoridad irlandesa en agosto de 2011 sin especificar cómo había dado con esas conclusiones.
Un mes después, Schrems alertó en su segundo alegato —esta vez basándose en una investigación del centro alemán de Procesamiento e Investigación de Datos ubicado en Hamburgo— sobre el uso del botón “me gusta” o like instalado en millones de páginas de internet con el que es posible compartir contenido con los contactos en el muro de Facebook. El joven explicó, además, que con esa aplicación social la empresa monitorea el comportamiento de los internautas.
“La información que Facebook Irlanda recolecta cada vez que un usuario visita un sitio es la siguiente: fecha, hora, URL (dirección web) y ‘otra información técnica’ que incluye la dirección IP (clave única del dispositivo conectado), tipo de navegador y sistema operativo”, escribió Schrems.
Sin un rasguño
Luego de casi tres años y ya conocidas las revelaciones de Edward Snowden, el joven abogado recobró 1222 páginas de material que había subido a la red social, y que habían sido enviadas sin su consentimiento a las oficinas de la compañía en California.
Sin embargo, tras un largo combate legal, no logró herir ni mínimamente al gigante de internet e incluso perdió la batalla cuando un juez de Dublín determinó que había que ser “muy naif o muy crédulo” para sorprenderse con las revelaciones del exanalista de la NSA.
Aun así, el magistrado encargado del caso pidió a la Corte Europea de Justicia, con sede en Luxemburgo, examinar si la comisión irlandesa tenía control de la información de los usuarios europeos que Facebook almacena y si valía la pena llevar a cabo una investigación a fondo sobre lo revelado por Snowden.
Justo a finales de marzo pasado, la Corte dio entrada al caso y comenzó a examinar los dichos de Schrems.
Reclamo vienés
A finales del verano de 2014, Max Schrems volvió a aparecer en una corte, esta vez en su natal Austria. Ahí el estudiante de leyes presentaría de nueva cuenta una demanda sin precedentes en el mundo en contra del gigante de Silicon Valley.
Ante el Tribunal de lo Mercantil de Viena, acusó a la compañía de Mark Zuckerberg de vulnerar las leyes de privacidad de la Unión Europea (UE) y de aplicar en el continente la normativa vigente en Estados Unidos, una legislación que, comparada con la europea, resulta mucho más laxa respecto al almacenamiento y protección de datos personales.
Y no solo eso: denunció que Facebook Irlanda carecía de permisos efectivos para diferentes formas de uso de datos, que la compañía participa en programas de “espionaje masivo” de la NSA, el llamado “PRISM” —como mostraron los documentos de Snowden en 2013—, que aplicaciones como los juegos sociales utilizan la información del usuario y, de nueva cuenta, que la empresa da seguimiento a la actividad de los internautas mediante el botón de “me gusta”.
A diferencia de la demanda presentada en Irlanda en 2011, esta vez el joven de cabello castaño y ojos verde olivo no está solo. Una convocatoria lanzada semanas atrás desde la organización “Europa versus Facebook”, que él mismo encabeza, logró agrupar miles de denuncias de usuarios de todo el mundo y presentar por primera vez una demanda colectiva en contra de la red social.
En tan solo una semana, el grupo logró acumular 25 000 denuncias provenientes de un centenar de países, en su mayoría de Alemania, Austria y Holanda, pero también de naciones como México (390), Perú (250) y Argentina (220). Estos últimos países si bien no pueden exigir las directrices de privacidad europeas al estar alojados sus datos en Estados Unidos, sí mostraron la inconformidad existente por parte de sus usuarios debido al manejo de sus registros alrededor del planeta y se sumaron a la demanda.
En conversación telefónica desde Viena, Max Schrems dijo a Newsweek en Español que no podía compartir ninguna de las múltiples demandas hechas por mexicanos u otras nacionalidades por ser confidenciales. No obstante, señaló que, al iniciar el proceso, los acusadores exigieron para cada uno de los afectados una suma simbólica de 500 euros como compensación, lo cual, al final y de ser el caso, ascendería a una cantidad considerable al tratarse de 25 000 personas las posibles afectadas.
En noviembre pasado, Facebook respondió a la demanda en la Corte de Viena. “Desafortunadamente no tenemos permiso de publicar el contenido del documento —escribió Schrems en el sitio www.europe-v-facebook.org en ese momento—. Pero, en esencia, Facebook adelantó sus razones por las cuales consideran la demanda no admisible”. En ese momento, el austriaco dijo no sentirse sorprendido por ninguno de los motivos expresados y confió en que fueran desechados.
El pasado jueves 9 de abril fue cuando finalmente los representantes legales de la red social se presentaron en Viena. “Desde mi punto de vista la audiencia estuvo muy bien —dijo Schrems a este semanario—. Facebook trató de argumentar ante la Corte que no soy un consumidor (con lo que se intentaría bloquear el proceso bajo la ley europea) y creo que es cierto decir que fallaron con esta estrategia. La verdad no estoy tan preocupado por la decisión final”, añadió.
Análisis belga
El 31 de marzo, solo una semana antes de sentar a Facebook en el banquillo de los acusados para escuchar sus alegatos en Viena, un esclarecedor estudio sobre el uso de la información y comportamiento de los usuarios —y no usuarios— de la red social fue dado a conocer en Bruselas, Bélgica. Este documento le daría la razón al joven abogado Max Schrems.
“Facebook monitorea las actividades de sus usuarios sin su consentimiento, incluso al estar desconectado del servicio con fines publicitarios”, concluyó una comisión de investigación compuesta por el Centro de Legalidad Interdisciplinar e ICT, el departamento de la Universidad de Lovaina y el departamento de medios, información y telecomunicación de la Universidad Libre de Bruselas, que realizó un exhaustivo análisis de las actividades de la compañía a petición de la Agencia de Privacidad Belga, un órgano descentralizado del gobierno federal.
El objetivo del estudio, el cual inundó las portadas de los diarios al siguiente día con titulares como “Facebook espía a todos”, era determinar si la red social con 250 millones de usuarios en Europa había cambiado realmente sus directrices en materia de manejo de datos como prometió en noviembre del año pasado ante el gobierno belga. No obstante, el informe titulado “De medio social a red publicitaria” demostró, entre otras cuestiones, que Facebook efectivamente utiliza el botón de “me gusta” para rastrear las actividades de los internautas ilegalmente con fines comerciales.
En entrevista, Gunes Acar, investigador de la Universidad de Lovaina y uno de los autores del estudio, explicó que para llevar a cabo el análisis utilizaron, cual ratón de laboratorio, una “computadora limpia”. Con ella visitaron de manera aleatoria algunos de los 13 millones de páginas de internet, entre las que se encuentran sitios de periódicos, servicios, gobierno y hasta de pornografía, que utilizan el famoso botón azul para recopilar los archivos que Facebook instala en el navegador del usuario una vez que los sitios son visitados.
Tras aquellas intervenciones y con los suficientes metadatos instalados en la máquina del laboratorio, Acar y el resto del equipo analizaron cada uno de los archivos que la red social utiliza, esté o no iniciada una sesión. Hallaron que algunos de ellos, como la cookie llamada “datr”, en efecto rastrean y guardan información independiente de cada usuario y almacenan un registro de su comportamiento al momento de navegar.
Es importante aclarar, señaló Gunes Acar, que los programadores, al momento de instalar en las páginas los plug-ins sociales, aceptan que se instalen cookies en los navegadores de los usuarios que los visitan y estas son las encargadas de enviar automáticamente datos al servidor de la compañía sin restricción alguna.
En el caso específico de “datr”, el también miembro del centro de investigación digital belga iMinds, informó que este archivo “es utilizado para monitorear a usuarios y no usuarios de Facebook”, es decir que no es necesario que tenga una sesión iniciada en otra ventana o pestaña para que se envíe la IP del usuario y su información. Existen otras cookies como “lu” y la llamada “fr”, la cual almacena el ID del navegador y una versión encriptada del perfil del usuario. “El gran problema —explicó—, es que terceros pueden interceptar esos datos, desencriptarlos y utilizarlos para cualquier cosa”.
Respecto a las leyes que Facebook rompe con el uso de cookies como “datr”, Brendan van Alsenoy, especialista en legislación europea de la Universidad de Lovaina, señaló a este medio que en concreto se trata de la violación de la directiva e-privacy aprobada en 2002 por el Parlamento Europeo contenida en el artículo 5(3). En ella se prohíbe el uso de cookies para los usuarios que no se suscriban a una web salvo que se trate de facilitar la “transmisión de comunicación” o para proveer de un servicio social de información que haya sido “explícitamente requerido por su suscriptor o usuario”.
Respuesta llana
Un día después de que la comisión belga diera a conocer el reporte, Facebook reaccionó con un comunicado de prensa en el que expresaba que virtualmente todas las webs, incluida Facebook, usan legalmente cookies para ofrecer servicios.
“Las cookies han sido un estándar de la industria desde hace más de quince años —señalaron—. Si la gente quiere salirse de recibir publicidad basada en las páginas que visitan, pueden hacerlo a través del EDAA (European Interactive Digital Advertising Alliance), con cuyos principios y sistema de salida cumplimos nosotros y más de cien compañías. Facebook lleva este compromiso un paso más allá: cuando usas la salida EDAA, la aplicamos para todos los dispositivos que usas y no verás ya anuncios basados en las webs y apps que utilizas”, argumentaron.
El gigante añadió: “Estamos decepcionados con esta opinión de la Agencia de Protección de Datos Belga, que entendemos que lo ha comisionado y que se ha negado a reunirse con nosotros o clarificar la información incorrecta sobre este (las cookies) y otros asuntos. Esperamos colaborar con ellos y que estén listos para corregir su trabajo a su debido tiempo”. Sin embargo, hasta el momento de las entrevistas realizadas por este semanario, ninguno de los participantes dijo haber tenido contacto alguno con alguien de Facebook.
La historia aún parece larga e incierta, las batallas en las cortes de Austria y Luxemburgo no han concluido y pueden tener cualquier desenlace. Sin embargo, hoy el camino para lograr una internet más transparente, lejos del servicio de intereses comerciales, al menos en el viejo continente, parece estarse allanando.