Casi dos meses después de su llegada definitiva, el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), la nueva normativa europea en materia de privacidad, sigue arrojando luces y sombras. Es cierto que los internautas ya hemos dejado de recibir toneladas de correos electrónicos empujándonos a aceptar algún cambio en las políticas de privacidad de plataformas a las que no sabíamos siquiera que estábamos inscritos, pero eso no significa que haya pasado la tormenta. De hecho, los todopoderosos gigantes de la tecnología aún parecen resistirse a cumplir al cien por cien con las nuevas reglas del juego.
Ya sea con palabrería, obligando a los usuarios a dar su consentimiento si quieren mantener sus cuentas o asumiendo que la simple visita a una web implica aceptar los términos y condiciones, empresas con miles de millones de usuarios han logrado (por ahora) esquivar la regulación europea y, lo que es más importante, las sustanciosas sanciones económicas.
El más reciente estudio que demuestra las artimañas a las que recurren compañías como Facebook, Google o Apple lo ha llevado a cabo una inteligencia artificial que, buceando en las políticas de privacidad de las principales tecnológicas del mundo, ha hallado la forma en la que estas manipulan a sus usuarios para seguir obteniendo sus datos.
“Son los principales actores de internet y, por lo tanto, deberían estar dando un buen ejemplo para que el mercado les siguiera”, explican los responsables del estudio, coordinado por investigadores del European University Institute de Florencia y la organización de consumidores europeos BEUC. Gracias al machine learning (aprendizaje automático), los investigadores entrenaron a un algoritmo para analizar los términos y condiciones de 15 de las principales servicios de internet para comprobar, semanas después de su llegada, en qué medida cumplían sus textos con lo exigido por el GDPR.
Las elegidas para el análisis han sido Google, Facebook, Instagram, WhatsApp, Amazon, Apple, Microsoft, Twitter, Uber, Airbnb, Booking, Skyscanner, Netflix, Steam y Epic Games (responsable del famoso videojuego Fortnite). Y las conclusiones del estudio no pueden ser más reveladoras: “Ninguna de las políticas de privacidad analizadas cumple completamente los requisitos establecidos por el GDPR”, sentencian.
El análisis, que se llevó a cabo una vez pasado el primer mes desde la entrada en vigor del GDPR, determinó que de las cerca de 4.000 frases que componen las políticas de privacidad de estos servicios, un 11 % contienen un lenguaje poco claro. Por si fuera poco, más de un 30 % son cláusulas “potencialmente problemáticas” que aportan poca información.
El caso más sorprendente de todos cuantos han sido destapados por el sistema de inteligencia artificial Claudette1 es el de Epic Games. La desarrolladora de videojuegos deja claro en su política de privacidad que “cuando usas nuestras webs, juegos o aplicaciones” estás aceptando la recopilación, uso y transferencia de tus datos. Simplemente por acceder a sus servicios, dan por hecho que estás de acuerdo. Sin lugar a dudas, algo bastante alejado del consentimiento claro e informado al que obliga la nueva regulación europea.
Pero los padres de Fortnite no son los únicos que esquivan las normas de privacidad. La inteligencia artificial detectó que empresas como Amazon recurren a una triquiñuela en sus nuevos términos y condiciones: “Nuestro negocio cambia constantemente y nuestro Aviso de Privacidad también cambiará”, reza el texto legal de los de Bezos. Claudette1, claro, marca esta cláusula como “problemática”. No en vano, al aceptarla, el usuario está mostrando su conformidad (probablemente sin información) para que Amazon haga de su capa un sayo y cambie lo que quiera cuando le apetezca.
Por su parte, algunas de las frases a las que recurre Google en su política de privacidad han obtenido la calificación de “inciertas” por parte de este algoritmo especialista en textos legales. El motivo es la escasa explicación de cuál es el uso que hacen los de Mountain View con los datos de sus usuarios. “Recopilamos información sobre su actividad en nuestro servicios, que utilizamos para hacer cosas como recomendar un vídeo de YouTube”, destacan como muestra. Citar un solo ejemplo (y no dejar claro todos los usos que se hacen de los datos) no parece tampoco muy acorde al GDPR.
Más allá de estos casos concretos, los investigadores destacan que, en líneas generales, los textos legales de estos gigantes de la tecnología son muy mejorables. “Por ejemplo, las empresas no siempre informan correctamente a los usuarios sobre los terceros con quienes comparten datos”, explican. Sumado al uso de “un lenguaje vago y poco claro” en el que se recurre a términos tan poco concretos como “puede”, “podría” o “a menudo”, Claudette1 y sus responsables humanos determinan que, a pesar del GDPR, las políticas de privacidad de las principales tecnológicas siguen siendo muy difíciles de comprender para los consumidores.
Las primeras denuncias
Las primeras denunciasDesde BEUC no descartan tomar acciones legales contra estos gigantes de la tecnología por su incumplimiento del GDPR. Sin embargo, estas no serían las primeras reclamaciones a las que se enfrentaran las compañías que manejan los hilos de internet. Con la entrada en vigor de la nueva regulación europea, el famoso activista austriaco Max Schrems (que ya retó y venció judicialmente a Facebook años atrás por el uso de los datos de sus usuarios) ha presentado sendas demandas contra Facebook, Google (por Android), Instagram y WhatsApp por incumplimiento del GDPR.
Su protesta tiene que ver, precisamente, con aquella presión ejercida por ciertos servicios en los días previos al 25 de mayo. Entre tanta avalancha de correos electrónicos, servicios como Facebook optaron por una postura radical. O lo tomas, o lo dejas. Así, si no se daba el consentimiento para las nuevas políticas de privacidad, la cuenta corría peligro de ser eliminada.
Sin embargo, Schrems explicaba en un comunicado que el consentimiento de los usuarios no es necesario para hacer uso del servicio principal de una plataforma (en el caso de Facebook e Instagram, por ejemplo, las propias redes sociales) y, a partir de ahí, cualquier uso de los datos personales deben hacerse con la aprobación del usuario una vez este ha sido informado. Así, ese “consentimiento forzado” al que hace referencia el activista también habría sido contrario al GDPR.
“Facebook incluso ha bloqueado cuentas de usuarios que no han dado su consentimiento”, explica Schrems. “Al final, los usuarios solo tuvieron la opción de eliminar la cuenta o presionar el botón ‘De acuerdo’, y eso no es una elección libre, sino que recuerda más bien a un proceso electoral en Corea del Norte”.
Tal y como se plantea en el propio comunicado, perder esta batalla legal supondría un duro varapalo para las tecnológicas. No en vano, Facebook podría enfrentarse al pago de más de 2.500 millones de euros y Google podría llegar a una sanción de más de 3.500 millones de euros (el 4 % de sus cifras de negocio, tal y como establece el GDPR).
Pero los problemas de estos gigantes podrían ir más allá, en la medida en que sus políticas de privacidad incumplen la normativa y podrían poner en pie de guerra a media Europa. De hecho, la primera queja gubernamental ya ha llegado: el Consejo de Consumidores de Noruega (agencia estatal apoyada por el Gobierno) también ha presentado un estudio en el que se desmenuzan las estrategias de compañías como Google y Facebook para seguir obteniendo los datos de sus usuarios a pesar del GDPR.
“Estas compañías nos manipulan para que compartamos información sobre nosotros mismos”, explican los responsables del estudio, titulado Deceived By Design (“Engaño por diseño”, en su traducción al castellano). ¿Y cómo se lleva a cabo esa manipulación? Más allá de la palabrería imprecisa de los textos legales hallada por Claudette1, el Consejo de Consumidores de Noruega explica que servicios como Facebook y Google estarían dando como predeterminada la opción menos respetuosa con la privacidad de los usuarios.
De esta forma, los gigantes de la tecnología estarían recabando datos de muchos de sus más perezosos usuarios, aquellos que no se molestan en cambiar la configuración por defecto. No en vano, escoger las opciones necesarias para un cuidado tratamiento de sus datos “requiere de más clics y a menudo están ocultas”, denuncia el estudio.
Así, y mientras las sanciones europeas no lleguen a hacerse efectivas, parece que los gigantes de la tecnología van a intentar escabullirse de su más reciente responsabilidad respecto a los usuarios. Con GDPR o sin él, Facebook y compañía han procurado hallar la forma para, por ahora, seguir obteniendo nuestros datos y usarlos sin demasiadas limitaciones. ¿Pagarán las consecuencias?
---------------------------------------------
Las imágenes de este artículo son propiedad, por orden de aparición, de Max Pixel, Epic Games, Wikimedia Commons y Maurizio Pesce