“La privacidad y seguridad de la gente es increíblemente importante, y sentimos que esto haya ocurrido”, tras sufrir un hackeo masivo por un fallo de seguridad en 90 millones de cuentas, el pasado viernes.
“La violencia étnica en Myanmar es horrible y hemos sido demasiado lentos en prevenir la difusión de desinformación y odio”, tras el informe de la ONU que acusó a la plataforma de volverse “una bestia”en el genocidio contra los rohingyá, en agosto.
“No hemos hecho suficiente para evitar que estas herramientas se usen también para hacer daño”, ante el Parlamento Europeo, en mayo.
“Tenemos la responsabilidad de proteger tu información. Si no podemos hacerlo, no la merecemos”, en un anuncio impreso en nueve periódicos británicos, en marzo.
“Fue un gran error, mi error, no haber tenido una visión más amplia de nuestra responsabilidad”, antes de la comparecencia de Mark Zuckerberg en el Congreso de EEUU por el escándalo de Cambridge Analytica, en marzo.
“No prevendremos todos los errores o abusos, pero estamos cometiendo demasiados errores”, anunciando sus propósitos para el nuevo año, en enero.
Todos son comentarios oficiales de Facebook o de su creador, Mark Zuckerberg, durante el 2018. Contando su periplo de varios días ante senadores y congresistas estadounidenses como una sola, son seis ocasiones en un solo año en las que se ha disculpado por los desmanes que genera el modelo de negocio de su red social. Una estrategia basada en la extracción y gestión opaca y automatizada de datos personales, así como de las millones de comunidades digitales de todo el planeta que los generan.
Zuckerberg no escatima esfuerzos a la hora de pedir perdón y hacer propósito de enmienda. Es parte de su estrategia para hacer ver que se mueve y demostrar que no es necesario que los políticos metan mano en su negocio. Esto no es nuevo: en noviembre cumplirá 15 años pidiendo disculpas sin parar. Mientras el debate público sobre su monopolio social flota en el ambiente, es seguro que no saldrá indemne de su último patinazo con una disculpa.
El fallo de seguridad que sufrió la semana pasada, que abrió el acceso a información privada de al menos 90 millones de cuentas (de las cuales hay sospechas de robo de información en al menos 50 por un hackeo), no será uno más. Fue el primer gran agujero de privacidad en la red social descubierto con el nuevo Reglamento General de Protección de Datos (RGPD) europeo ya en marcha, después de su entrada en vigor el pasado 25 de mayo.
Las autoridades comunitarias publicitaron esta nueva legislación como el punto y final a la política del todo vale de las grandes tecnológicas en cuanto a la privacidad de sus usuarios y en la UE se frotan las manos: la primera multinacional que se ha puesto a tiro de las fuertes multas que contempla el Reglamento (de hasta el 4% de la facturación global anual) es precisamente la que lleva todo el año reconociendo que no está haciendo las cosas bien.
La primera en afilar los cuchillos fue VÄra Jourová, comisaria europea de Justicia, Consumidores e Igualdad de Género, que urgió a Facebook a dar explicaciones de inmediato. Solo unos días antes Jourová había calificado la red social de Zuckerberg como un “flujo de basura” y amenazó con tomar medidas si no aumentaba su colaboración con Bruselas. El fallo de seguridad ha dado a la política checa la oportunidad de demostrar que su disgusto no era una escenificación.
La Comisión de Protección de Datos Irlandesa se sumo rápidamente al envite. No tardó ni unas horas en solicitar información a Facebook de forma oficial, “incluyendo detalles de usuarios europeos que hayan sido afectados”. De vuelta, obtuvo unas disculpas del perfil de Twitter de la compañía.
Según comunicó la Comisión este lunes, la red social le ha transmitido de que menos de un 10% de las cuentas afectadas son de ciudadanos de la UE. Dado el volumen del fallo, hablamos de un máximo de cinco millones de cuentas europeas hackeadas, y hasta nueve millones que tuvieron la puerta a sus datos abierta. El regulador irlandés confía en que el equipo de Zuckerberg podrá “proporcionar un desglose más detallado en relación con números más detallados muy pronto”.
El Reglamento ante un fallo de seguridad
La Agencia Española de Protección de Datos (AEPD) ha adelantado este lunes que colaborará con las autoridades irlandesas para saber si hay españoles afectados. No obstante, será la comisión de la isla la que lidere el proceso, al estar la sede europea de Facebook en su territorio. Pese a las voluntad de Bruselas de apuntarse un tanto, entre los cambios introducidos por el Reglamento no está la creación de un ente sancionador europeo en materia de Protección de Datos.
La batalla legal que puede abrirse ahora entre Facebook y las agencias europeas, sumadas a la belicosidad de Bruselas con las prácticas de la la red social, ha atraído atención en EEUU, donde el RGPD se pone habitualmente como ejemplo a seguir. El Wall Street Journal ha cifrado la posible multa a Facebook en 1.630 millones de dólares. Otros medios, como The Verge, aumentan la cantidad hasta los 4.000 millones.
Aún se conocen pocos detalles sobre el hackeo, pero existe una diferencia sustancial entre un fallo de seguridad así y escándalos como el de Cambridge Analytica: la negligencia. Mientras que el caso de la empresa británica quedó demostrado que Facebook conoció durante años cómo sus políticas de privacidad permitían a terceros hacerse con información personal de millones de usuarios con prácticas abusivas; los fallos de seguridad se caracterizan por quedar fuera del conocimiento de los administradores.
“Un sistema nunca puede ser 100% seguro”, recuerda Samuel Parra, jurista experto en protección de datos. “Lo que dice el Reglamento es que tienes que poner todas las medidas técnicas a tu alcance para evitar que ocurran estos fallos de seguridad”, explica. En su opinión, es poco probable que Facebook reciba una multa severa si logra demostrar que no dejó una puerta abierta a los hackers, si no que estos aprovecharon una cadena de fallos difícil de prever.
Según comunicó la red social, la puerta para penetrar en millones de cuentas quedó abierta por tres fallos en el sistema. Una actualización en el código de la herramienta “ver cómo”, que permite consultar cómo ve un tercero el perfil propio, se encadenó con otros dos errores y derivó en la vulnerabilidad. “El nuevo Reglamento no ha traído demasiados cambios en este sentido. No ha establecido que ante un fallo de seguridad con datos personales de por medio la multa sea automática”, recalca Parra.
Se abre ahora otra guerra del relato que ahora se abre, con las autoridades europeas intentado demostrar su inflexibilidad con Facebook y la red social disculpándose. Durará lo mismo que las anteriores, puesto que otro aspecto que tampoco ha cambiado en la nueva regulación es el tiempo para tomar una decisión. Es poco probable que el proceso que ahora comienza y que debe determinar el grado de responsabilidad de Facebook en su hackeo termine antes de mediados de 2019.