Facebook y Google rompen las nuevas reglas de privacidad de la Unión Europea que entraron en vigencia el viernes, de acuerdo con las denuncias que presentó un activista que ya desafió a la red social en un caso y ganó.
Max Schrems y su organización sin fines de lucro, None of Your Business, presentaron cuatro denuncias bajo el Reglamento General de Protección de Datos (RGPD), una contra Facebook, dos contra sus filiales Instagram y WhatsApp, y otra contra Android, de Google.
Bajo el nuevo régimen, las firmas enfrentarían multas hasta de 4 por ciento de su ingreso global por ignorar las reglas del RGPD sobre la recopilación de datos de los clientes. El año pasado esa cifra habría sido de mil 600 millones de dólares para Facebook y 4 mil 400 millones de dólares para Alphabet, la matriz de Google.
Schrems dijo que las multas son “alucinantes” pero que quedó “sorprendido” de lo que vio, ya que las compañías ni siquiera trataron de cumplir con la nueva ley. “Saben totalmente que va a ser una violación, ni siquiera tratan de ocultarlo”, dijo.
Erin Egan, director de privacidad de Facebook, dijo que la red social pasó los últimos 18 meses haciendo políticas “más claras; la configuración de privacidad es más fácil de encontrar y se introdujeron mejores herramientas para que el usuario tenga acceso, descargue y borre su información”.
Google dijo: “Desarrollamos privacidad y seguridad en nuestros productos desde las primeras etapas y estamos comprometidos a cumplir con el RGPD. En los últimos 18 meses tomamos medidas para actualizar nuestros productos, políticas y procesos para ofrecer a los usuarios una transparencia significativa y control de datos en todos los servicios que ofrecemos en la Unión Europea”.
Las cuatro denuncias de Schrems retan a las empresas de Silicon Valley sobre la forma cómo obtienen el consentimiento de los usuarios. El RGPD requiere “consentimiento informado y específico”, pero Schrems dice que Google y Facebook requieren una especie de “consentimiento obligado”, ya que los usuarios tienen que marcar un cuadro para indicar que están de acuerdo con las políticas de privacidad o perder totalmente el acceso a los servicios que utilizan.
Las empresas pueden depender de diferentes métodos para recolectar datos personales. Pueden argumentar que éstos son necesarios para proporcionar un contrato, como cuando un proveedor de comercio electrónico necesita conocer una dirección para entregar el paquete, o tienen un “interés legítimo”, que equilibra la necesidad de las empresas para procesar los datos con los intereses, derechos y libertades del individuo.
Schrems es más conocido por tumbar “Safe Harbour” (Puerto Seguro), el mecanismo que utilizan miles de empresas para transferir los datos a EU. En un caso que comenzó como una queja contra Facebook, el Tribunal de Justicia de la Unión Europea dictaminó que la vigilancia del gobierno en EU significa que las firmas utilizaban Safe Harbour no podían garantizar el derecho fundamental de privacidad de los europeos. Dijo que también lleva un segundo caso contra Facebook que se dirige al Tribunal de Justicia, y otro de privacidad contra Facebook en Austria.
None of Your Business ayuda a cuatro usuarios a presentar las denuncias —en Austria, Hamburgo, Bélgica y Francia— porque las denuncias ya no tienen que presentarse en el país europeo donde la empresa tiene su sede. Antes las demandas a menudo se dirigían a la agencia irlandesa de protección de datos porque muchas empresas de tecnología tienen sus base en Irlanda, a menudo debido a su baja tasa de impuestos.