Facebook fue advertido en 2012 sobre posible robo de datos: activista

Max Schrems lleva siete años de litigios con esa red social sobre la aplicación de las normas europeas de privacidad.

El activista austríaco por la protección de datos Max Schrems asegura que advirtió a Facebook en 2012 sobre las lagunas de seguridad que después explotaría la empresa británica Cambridge Analytica para obtener millones de perfiles sin consentimiento.

Schrems, de 30 años, lleva siete años de litigios con esa red social sobre la aplicación de las normas europeas de privacidad y en 2015 una demanda suya tumbó el tratado de intercambio de datos entre la Unión Europea (UE) y EU, conocido como «Safe harbor» y que llevaba vigente 15 años.

«En 2011 denuncié que existían aplicaciones que no estaban regladas y que se apropiaban de los datos de usuarios sin que estos lo hubieran aprobado», explica Schrems sobre el contenido de su primera demanda en Irlanda, donde Facebook tiene su sede en Europa.

«En 2012 discutí esa situación durante horas con representantes de Facebook y contestaron que todo estaba en regla y para ellos no había problemas», agrega en una entrevista en Viena.

«Si se hubieran hecho las correcciones oportunas no hubiera sucedido»

Según Schrems, esa misma vulnerabilidad que permitía a algunas aplicaciones obtener datos de usuarios sin su consentimiento, es la que se empleó en el caso de los 50 millones de perfiles sustraídos en el escándalo de Cambridge Analytica.

Esa consultora estudió la personalidad de los usuarios para ofrecer mensajes a medida que pudieran alterar el voto en las elecciones de EU de 2016 a favor de quien finalmente ganó, Donald Trump.

El activista critica la inacción de las autoridades irlandesas y considera que si hubieran actuado de forma más contundente en su momento, esa apropiación de datos no hubiera sido posible.

«Si se hubieran hecho las correcciones oportunas no hubiera sucedido», considera Schrems, que critica que las autoridades nacionales de protección de datos no actúen con más celo ante los gigantes tecnológicos en aplicación de la normativa europea.

A principios de este mes la justicia irlandesas pidió al Tribunal de Justicia de la UE que se pronuncie sobre la validez de la actual transferencia de datos de usuarios europeos de Facebook a EU, lo que podría poner en riesgo el tratado conocido como «Privacy shield», sucesor del «Safe harbor».

Esa petición parte de una nueva demanda de Schrems, quien considera que hay una incompatibilidad de fondo entre las normativas de la UE y de EU sobre protección de datos.

«En EU hay leyes que amparan la vigilancia en masa y que obligan a empresas a entregar datos privados. Al mismo tiempo tenemos unas normas europeas que prohíben justamente eso. Hay un conflicto de base», expone.

El activista sigue siendo usuario de Facebook y considera que darse de baja no es la solución.

«Hay dos argumentos: si no te gusta date de baja. El otro es: no se puede hacer nada, funciona así. Pues yo creo que ni lo uno ni lo otro, lo que se debe hacer es aplicar la ley», resume.

El activista lanzará dentro de poco su propia ONG, llamada Noyb (https://noyb.eu), siglas de la expresión en inglés «none of your business» (No es de tu incumbencia), y que ha logrado en pocos meses reunir más de 300 mil euros gracias a una campaña de micromecenazgo.

Aunque reconoce que «existen grandes intereses para que no exista una regulación» internacional porque los datos son «la mina de oro de grandes corporaciones», elogia la normativa europea como la más avanzada del mundo en protección de la privacidad.

«El modelo europeo de protección de datos está ya presente en unos 70 países y se está extendiendo, algunos países latinoamericanos ya lo tienen como propio. EU, por ejemplo, limita con Canadá y México, dos países que lo han adoptado», afirma.

Además, destaca que el próximo 25 de mayo entrará en vigor en la UE la nueva Regulación General de Protección de Datos (GDPR), que aumenta de forma exponencial las multas.

En caso de que una empresa vulnere la GDPR, se enfrentará a una multa de hasta 20 millones de euros o incluso el 4 % de su facturación anual mundial.

Para Schrems, esta normativa supondrá un desafío para las autoridades nacionales de protección de datos, que deberán contar con más medios y les obligará a actuar de forma más expeditiva.

«Deberán comprendan que son como los supervisores bancarios y que deben hacer algo para hacer cumplir la normativa», indica.

«Hasta ahora a las grandes empresas les salía más barato no cumplir las normas porque las multas eran muy pequeñas, en Austria el máximo era 20 mil euros», explica.

Schrems asegura que su ONG se apoyará en la nueva regulación para actuar y que ya tiene un enorme número de casos apilados en su oficina porque «muchas empresas actúan de forma inherente contra la normativa» europea de privacidad.

«Nuestra política, sin embargo, es concentrarnos en aquellos casos en los que detectamos una violación intencionada y consciente de la normativa», avanza.