Facebook es gratis y lo será siempre. Por medio de esta sencilla frase, situada en su página de inicio, la red social lleva atrayendo a sus más de 2.000 millones de usuarios desde su fundación en 2004. Efectivamente nada es gratis y la red social se ha confirmado como la plataforma para la obtención de datos por excelencia, hecho que combinado con su laxa manera de entender la privacidad hace que se encuentre permanentemente en el punto de mira de la justicia.
En estos últimos años la red social ha sido objeto de sanción en diversas ocasiones por las autoridades, sin ir más lejos hace escasamente una semana la Agencia Española de Protección de Datos sancionaba a Facebook con 300.000 euros por la cesión de datos efectuada tras la adquisición de WhatsApp, fruto de su pasividad en la protección de datos de sus usuarios. Sin embargo, el escándalo surgido estos días respecto a la actuación de Cambridge Analytica abre la puerta a un problema de dimensiones completamente diferentes. La utilización de la red social como fuente de un nuevo tipo de propaganda marcada por su sofisticación y destinada a manipular la opinión de sus usuarios mediante microtargeting comportamental, bots y fake news.
Todo comienza con la obtención por parte de SCL, relacionada con Cambridge Analytica, de los datos personales de unos 250.000 usuarios de la aplicación MTurk. Aplicación a la que se accedía por medio de Facebook para la realización de una encuesta con fines supuestamente académicos. Al accederse a través de Facebook, teniendo en cuenta su permisividad para facilitar datos a los desarrolladores de aplicaciones, SCL se hizo con la información de los perfiles de Facebook de los usuarios que participaron en la encuesta y de forma ilegítima con la de todos sus contactos. De esta forma obtuvieron el acceso a millones de nombres, direcciones, fechas de nacimiento, género y sobre todo, y más importante, la posibilidad de conocer los “likes” de los usuarios.
La información obtenida fue enriquecida mediante la utilización de un modelo psicográfico basado en un estudio psicológico para determinar la personalidad conocido como OCEAN, y mediante data shopping de información de los usuarios, incluyendo categorías como sus hábitos de compra, navegación por páginas web, suscripciones etc.
Sin embargo, no es la única forma con la que Cambridge Analytica alimenta sus bases de datos y perfecciona sus perfiles. A la ecuación hay que añadir la inestimable colaboración de los sitios web dedicados a las fake news, que a través de su estructura permiten a este tipo de empresas utilizar cada like para rastrear la actividad de los usuarios en la web, afinar sus modelos y mandar mensajes personalizados.
Nos encontramos por tanto ante una herramienta de microtargeting comportamental capaz de predecir la personalidad de los usuarios, que se dedica a actualizar y optimizar de manera continua, con cada interacción en la web del usuario, sus más de 50 millones de perfiles, formados por hasta 5.000 diferentes puntos de datos.
Una vez analizados los perfiles más propensos al cambio de comportamiento el siguiente paso es simple, básicamente se trata de bombardear al usuario en cuestión con miles de diferentes variantes de anuncios, tan sólo visibles por él mismo, a través Facebook mediante la utilización de bots para posteriormente analizar su comportamiento respecto a los mismos y seguir enviándole anuncios en uno u otro sentido.
Las aplicaciones prácticas de esta técnica van desde adaptar mensajes políticos a la personalidad de un grupo de votantes para ganar su voto hasta la publicación de anuncios personalizados tendentes a desincentivar el voto de un determinado grupo. Es necesario recordar que no es una técnica nueva, de hecho ya fue utilizada hace más de una década en la campaña electoral americana para la reelección de George W. Bush o a finales de 2015 en las primarias americanas con el candidato Ted Cruz, la única diferencia aparte de la sofisticación de la misma fruto de la utilización de la inteligencia artificial, es que en este caso los datos se obtuvieron ilegítimamente.
En este sentido, tanto la Information Commisioner’s Office británica (ICO) como el Grupo de trabajo del Artículo 29 (GT 29) están llevando a cabo las correspondientes investigaciones para determinar el alcance de la vulneración tanto de la legislación en materia de protección de datos como de la legislación electoral. Lo que es seguro, y a la espera de los resultados de las investigaciones pertinentes, es que Cambridge Analytica contravino la Directiva 95/46/CE relativa a la protección de datos personales y la Data Protection Act británica. En concreto al obtener los datos de millones de usuarios sin una base legitima para ello, haciéndolo para una finalidad diametralmente opuesta a la facilitada a los usuarios e incumpliendo además con todos y cada uno de los principios inspiradores de la protección de datos como son la legitimación del tratamiento, transparencia, minimización de los datos y conservación de los mismos durante no más tiempo del necesario. Por otro lado Facebook incumplió su deber de informar a los usuarios del robo de la información, producido en 2015, siendo plenamente consciente del mismo y no actuando en consecuencia hasta que se ha destapado el escándalo.
Este escándalo se produce en vísperas de la aplicación del nuevo Reglamento General de Protección de datos (RGPD), la cual se producirá el próximo 25 de mayo, y que viene a reforzar el consentimiento del interesado como base de legitimación del tratamiento. Bajo este nuevo prisma, el responsable del tratamiento deberá recabar el consentimiento de forma expresa, libre, específica, informada e inequívoca, exigiendo además una clara acción positiva por parte del interesado. Esta nueva configuración de la obligación de obtención del consentimiento tiene como fin precisamente evitar este tipo de situaciones, en las que los usuarios son claramente engañados en la recogida y tratamiento de sus datos a causa de conductas omisivas.
Asimismo, uno de los principios inspiradores del nuevo RGPD es el de privacidad en el diseño y, por defecto, exige al responsable del tratamiento una actitud proactiva desde el inicio para garantizar la privacidad de los usuarios en todas aquellas actividades que impliquen el tratamiento de datos personales.
Dada la gravedad de los hechos y a la espera de la posible sanción, es necesario reflexionar acerca de qué hubiera pasado si los hechos se hubieran producido al amparo del nuevo RGPD, que contempla sanciones de hasta 20 millones de euros o el 4% del volumen de negocio del infractor. ¿Estaríamos ante la primera gran multa por vulnerar la privacidad de los usuarios? Hagan el cálculo.
