Motherboard/Vice publicó ayer un informe explosivo sobre el negocio de Facebook que seguramente generará nuevas preguntas sobre la falta de aplicación de las leyes de privacidad europeas contra el gigante de la tecnología publicitaria.
El informe se basa en un documento interno filtrado escrito el año pasado por ingenieros de privacidad en su equipo de productos de publicidad y negocios.
El documento, que se titula Infraestructura de privacidad de ABP, inversiones de largo alcance [A/C Priv], parece mostrar a los ingenieros del gigante tecnológico ahora conocido como Meta rascándose la cabeza ante la tarea de pesadilla a la que se enfrentan: tratar de hacer que el negocio de anuncios de ingestión de datos de Facebook cumpla con un “tsunami” de regulaciones de privacidad global que necesitan saber cómo los datos de los usuarios fluyen a través de sus sistemas para que la empresa pueda aplicar políticas que controlen lo que se hace con la información de las personas y realizar cosas básicas como reflejar las opciones de privacidad de las personas. Entonces, la próxima vez que Sheryl Sandberg hable sobre los “vientos en contra regulatorios” de Meta, esta es la carne contextual para injertar esos huesos eufemísticos.
El texto de Meta despliega algunas abreviaturas/acrónimos comerciales internos cuyos significados literales no siempre son claros. Pero la esencia de la lectura, y vale la pena leerlo completo si puede dedicar tiempo a 15 páginas de texto, diagramas y algunas analogías coloridas, como una que compara la información de una persona con una botella de tinta que se vierte en un lago gigante (¡ay!) — es que Meta ha ‘diseñado’ su sistema de anuncios de una manera tan totalmente libre de silos que es muy, muy, muy lejos de poder cumplir con leyes (incluso existentes) como el Reglamento General de Protección de Datos (GDPR) de Europa, que tiene un principio de limitación de propósito, lo que significa que necesita una base legal para cada uso de datos personales. Según el documento, los ingenieros de Meta tampoco parecen seguros de poder transformar el desorden y lograr el cumplimiento oportuno de un montón de otras regulaciones globales entrantes. (Y ni siquiera los haga comenzar con lo que las regulaciones de IA podrían significar para el negocio).
Meta cuestiona que el documento muestre incumplimiento de las leyes de privacidad, por supuesto.
En un comunicado a Motherboard, la empresa reclama el documento “no describe nuestros amplios procesos y controles para cumplir con las normas de privacidad”; agregando por lo tanto que “es simplemente inexacto concluir que demuestra incumplimiento”; y afirmando además: “Las nuevas regulaciones de privacidad en todo el mundo introducen diferentes requisitos y este documento refleja las soluciones técnicas que estamos construyendo para escalar las medidas actuales que tenemos implementadas para administrar datos y cumplir con nuestras obligaciones”.
Pero bueno, eso dirían, ¿no?
El investigador de privacidad independiente, Wolfie Christl, un experto en análisis forense de flujos de datos publicitarios, tiene una visión diferente de lo que revela el documento filtrado, llamándolo “dinamita” y una “confesión” (aunque Meta no está destinada al consumo público) de que no cumple con el RGPD. ver su hilo de Twitter detallado aquí — donde desglosa y contextualiza las implicaciones de las observaciones de los ingenieros, tal como él las ve.
“El documento es una confesión directa y clara de que todo el negocio de Facebook se basa en una violación masiva de GDPR en el nivel más fundamental”, dice Christl a TechCrunch. “La limitación de finalidad es uno de los principios más básicos del RGPD. Por lo general, una empresa solo puede recopilar datos personales para un propósito específico. Si una empresa no puede especificar el propósito para el que recopila datos personales, simplemente no se le permite procesarlos bajo el RGPD”.
Cuando se le preguntó qué debería hacer el principal regulador de protección de datos de Meta en la UE, Christl agrega: “El regulador irlandés debe tomar medidas ahora. Si Facebook no puede dejar en claro cómo su máquina de publicidad de vigilancia usa datos personales, se le debe ordenar que deje de procesarlos”.
TechCrunch se puso en contacto con la Comisión de Protección de Datos de Irlanda (DPC) para preguntar si abrirá una investigación sobre los flujos de datos de anuncios de Meta a la luz de lo que parece mostrar el documento, básicamente, un sistema de anuncios que, ya sea por diseño o por construcción sistémica, existe (o existió en 2021) en un estado que es antitético a la regulación y, de hecho, si el documento es relevante para alguna de las (varias) investigaciones en curso que tiene sobre aspectos del negocio de Facebook.
El regulador no proporcionó una declaración, pero el comisionado adjunto Graham Doyle confirmó que solo había visto el documento por primera vez cuando Motherboard/Vice lo publicó.
Eso puede generar más preguntas, dado que el DPC ha estado investigando, en papel, si el negocio de anuncios de Facebook cumple con el requisito de GDPR de tener una base legal válida para procesar los datos de las personas durante casi cuatro años.
Por ejemplo, la DPC ha estado considerando una queja contra Facebook, centrada en su base legal para procesar datos de usuarios para anuncios, desde mayo de 2018, cuando entró en vigor la regulación.
Un borrador de decisión del DPC sobre esa consulta, que fue publicado (no por el DPC) el otoño pasado, fue calificado rápidamente como una broma por los activistas de la privacidad, ya que el regulador parecía tener la intención de aceptar una táctica de Meta para evadir el estándar del RGPD para información basada en el consentimiento. procesamiento alegando una desviación contractual astuta.
El tl;dr aquí es que para que el consentimiento sea válido según el RGPD, los interesados deben tener la libertad de elegir. El consentimiento también debe ser específico para un propósito (es decir, sin agrupación); y debe ser informado.
Nada de lo cual sucede si usa Facebook, donde la plataforma hace que el procesamiento de su información para la orientación de anuncios sea una condición de uso. Haga clic en ‘aceptar anuncios’ o sin cuenta de Facebook para usted.
Pero, según el borrador de decisión DPC filtrado del año pasado, Facebook afirma que los usuarios son en realidad en un contrato con él para recibir anuncios dirigidos – y el DPC no pareció ver motivos para oponerse a esa construcción que elude el RGPD.
Dado que las quejas sobre el RGPD aún se tambalean sobre tales fundamentos legales, ¿es de extrañar que la parte más profunda y oscura de la maquinaria de orientación de anuncios de Meta contenga, como lo dice este documento, un vasto océano de datos de vigilancia sobre los usuarios de la web, pero tan poco aparato para ordenar esta información de acuerdo con los propios deseos de las personas?
La conclusión es que la UE lleva casi cuatro años en la aplicación de su régimen de protección de datos ‘insignia’ y Facebook sigue sin verse afectado por la aplicación de GDPR. (Su plataforma de mensajería WhatsApp fue multada el año pasado).
La Unión Europea tampoco inventó repentinamente la regulación de la privacidad en 2018, cuando entró en vigor el RGPD. Antes de esa ley existía la Directiva de Protección de Datos, que incluía muchos de los mismos principios.
Entonces, al menos en Europa, si una empresa como Facebook hubiera estado realmente prestando atención a los requisitos legales en torno a la privacidad por diseño, y si los reguladores de la UE hubieran hecho cumplir con fuerza estas reglas de larga data, es posible que Meta no esté advirtiendo a los inversores sobre la ‘regulación’. vienen vientos en contra por su valor para los accionistas. Ni enfrentar lo que parece ser un desafío de reingeniería monumentalmente costoso e intensivo en recursos, no tanto como aterrizar en la Luna sino más bien como la necesidad de reconstruir todo el planeta a partir de polvo lunar pulverizado de una manera que asegure que cada pequeña pieza de roca y el polvo se vuelve a colocar exactamente en el lugar donde se originó. Ah, y ¡adivinen qué! — el plazo para hacer todo eso ya pasó. Llámalo ‘el lanzamiento a la luna de Zuckerberg’.
Un portavoz de Meta no respondió a una pregunta sobre si, tras el informe de Motherboard, se había puesto en contacto con el DPC para proporcionar a su principal regulador de la UE información sobre cómo funciona su sistema de anuncios.
La compañía nos envió la misma declaración que proporcionó a Motherboard anteriormente, que concluye con este lamento: “Esta analogía carece del contexto de que, de hecho, tenemos procesos y controles extensos para administrar datos y cumplir con las regulaciones de privacidad”.
La Comisión Europea es la responsable última de supervisar la aplicación del RGPD por parte de las agencias de los Estados miembros de la UE.
Le preguntamos a la Comisión si tenía alguna inquietud a la luz del documento filtrado y/o una opinión sobre si el DPC debería abrir una investigación sobre los flujos de datos de anuncios de Meta. Pero al momento de escribir no había respondido.
En febrero, luego de una queja contra la Comisión por parte del Consejo Irlandés para las Libertades Civiles, que acusa al ejecutivo de la UE de no cumplir con su deber de actuar sobre la “falta de aplicación adecuada” del RGPD por parte de Irlanda, el defensor del pueblo de la UE abrió una investigación, dando a la Comisión hasta 15 de mayo para proporcionarle una descripción “detallada y completa” de la información que ha recopilado hasta ahora sobre si la regulación se aplica “en todos los aspectos” en Irlanda.