Facebook no sabe qué hace con sus datos ni a dónde van ...

Facebook se enfrenta a lo que describe internamente como un “tsunami” de regulaciones de privacidad en todo el mundo, lo que obligará a la empresa a cambiar drásticamente la forma en que trata los datos personales de los usuarios. Y el problema "fundamental", según admite la compañía, es que Facebook no tiene idea de adónde van todos los datos de sus usuarios, o qué está haciendo con ellos, según un documento interno filtrado obtenido por Motherboard.

“Hemos construido sistemas con fronteras abiertas. El resultado de estos sistemas abiertos y cultura abierta se describe bien con una analogía: imagina que tienes una botella de tinta en la mano. Esta botella de tinta es una mezcla de todo tipo de datos de usuario (3PD, 1PD, SCD, Europa, etc.) Se vierte esa tinta en un lago de agua (nuestros sistemas de datos abiertos, nuestra cultura abierta)... y fluye... por todas partes ”, decía el documento. “¿Cómo vuelves a poner esa tinta en la botella? ¿Cómo lo organizas de nuevo, de modo que solo fluya a los lugares permitidos en el lago?

(3PD = Third Party Data; 1PD = First Party Data; SCD significa datos de categorías confidenciales).

El documento fue escrito el año pasado por los ingenieros de privacidad de Facebook que pertenecen al equipo de Anuncios y Productos Comerciales, cuya misión es "establecer conexiones significativas entre personas y empresas" y que "se encuentra en el centro de nuestra estrategia de monetización y es el motor que impulsa el crecimiento de Facebook”, según una lista de trabajos reciente que describe al equipo.

Este es el equipo que tiene la tarea de crear y mantener el extenso sistema de anuncios de Facebook, el núcleo del negocio de la empresa. Y en este documento, el equipo hace sonar una alarma y hace una advertencia para cambiar la forma en que Facebook maneja los datos de los usuarios para evitar que la empresa tenga problemas con los reguladores en Europa, EEUU, India y otros países que están presionando con unas restricciones de privacidad más estrictas para las empresas de redes sociales.

"No tenemos un nivel adecuado de control y explicabilidad sobre cómo nuestros sistemas usan los datos y, por lo tanto, no podemos hacer cambios de política controlados con confianza o compromisos externos como 'no usaremos los datos X para el propósito Y'. Y, sin embargo, esto es exactamente lo que los reguladores esperan que hagamos, aumentando nuestro riesgo de errores y tergiversaciones”, decía el documento. (Motherboard volvió a escribir el documento desde cero para proteger a su fuente).

En otras palabras, incluso los propios ingenieros de Facebook admiten que están luchando para que todo tenga sentido e incluso para realizar un seguimiento de adónde van los datos de los usuarios una vez que están dentro de los sistemas de Facebook. Este problema dentro de Facebook se conoce como “data lineage” (en español linaje de datos).

En los últimos años, los reguladores de todo el mundo han tratado de limitar cómo las plataformas como Facebook pueden usar los datos de sus propios usuarios. Una de las regulaciones más notables y significativas es GDPR, que entró en vigor en mayo de 2018. En su artículo 5, la ley ordena que los datos personales deben ser “recopilados para fines específicos, explícitos y legítimos y no serán tratados de manera incompatible con esos fines”. Lo que esto significa es que cada dato, como la ubicación de un usuario o la orientación religiosa, solo se puede recopilar y usar para un propósito específico, y no se puede reutilizar para otro propósito. Por ejemplo, en el pasado, Facebook cogió el número de teléfono que proporcionaron los usuarios para proteger sus cuentas con autenticación de dos factores y lo envió a su función de "personas que quizás conozcas", así como a los anunciantes. Gizmodo, con la ayuda de investigadores académicos, descubrió que Facebook estaba haciendo esto y, finalmente, la empresa tuvo que detener esa práctica.

Según los expertos legales entrevistados por Motherboard, GDPR prohíbe específicamente ese tipo de reutilización de los datos, y el documento filtrado muestra que es posible que Facebook ni siquiera tenga la capacidad de limitar la forma en que maneja los datos de los usuarios. El documento plantea la cuestión de si Facebook puede cumplir ampliamente con las normas de privacidad debido a la gran cantidad de datos que recopila y hacia dónde fluye dentro de la empresa. Un portavoz de Facebook negó que el documento muestre que la empresa no cumple con las normas de privacidad.

“Teniendo en cuenta que este documento no describe nuestros extensos procesos y controles para cumplir con las normas de privacidad, es simplemente inexacto concluir que demuestra el incumplimiento. Las nuevas regulaciones de privacidad en todo el mundo introducen diferentes requisitos y este documento refleja las soluciones técnicas que estamos construyendo para escalar las medidas actuales que tenemos implementadas para administrar datos y cumplir con nuestras obligaciones”, dijo el portavoz en un comunicado enviado por correo electrónico.

Con respecto a la analogía de la tinta en un lago, el portavoz dijo que "esta analogía carece del contexto de que, de hecho, tenemos procesos y controles extensos para administrar datos y cumplir con las regulaciones de privacidad".

Un ex-empleado de Facebook, que pidió permanecer en el anonimato para evitar represalias, revisó el documento para Motherboard y lo calificó de "contundente". “Facebook tiene una idea general de cuántos bits de datos se almacenan en sus centros de datos”, dijo en un chat online. "La parte de dónde van [los datos] es, en términos generales, un completo espectáculo de mierda".

“Es una admisión condenatoria, pero también ofrece cobertura legal a Facebook debido a lo mucho que le costaría a Facebook arreglar este lío”, agregó. “Les da la excusa para mantener tantos datos privados simplemente porque a su escala y con su modelo de negocio y diseño de infraestructura, pueden afirmar plausiblemente que no saben lo que tienen”.

"La parte de dónde van [los datos] es, en términos generales, un completo espectáculo de mierda".

Los expertos en privacidad que han estado luchando contra Facebook en un intento por limitar la forma en que la empresa usa los datos privados dicen que creen que el documento es una admisión de que no puede cumplir con las regulaciones.

“Este documento admite lo que sospechábamos durante mucho tiempo: que hay datos libres para todos dentro de Facebook, y que la empresa no tiene ningún control sobre los datos que posee”, dijo Johnny Ryan, activista de la privacidad y miembro sénior del Consejo Irlandés para las Libertades Civiles. Ryan, en una charla online con Motherboard concluía: “Es un reconocimiento en blanco y negro de la ausencia de cualquier protección de datos. Facebook detalla cómo rompe cada principio de la ley de protección de datos. Todo lo que hace con nuestros datos es ilegal. No se le permite tener datos internos libres para todos”.

Facebook también puso a disposición a dos empleados para discutir cómo maneja los datos internamente. En la llamada, los representantes de la compañía le dijeron a Motherboard que Facebook está tratando de adelantarse a nuevas leyes de privacidad y construir infraestructura para cumplir con los requisitos que puede enfrentar. Eso significa invertir en herramientas que hagan que el análisis de los datos de los usuarios y descubran dónde puede o no ir más automatizado y sea menos dependiente de la participación humana en el proceso, como lo es hoy. Los representantes dijeron que para llegar a ese punto se necesitarán inversiones importantes, pero que eso es una prioridad para la empresa. También dijeron que Facebook en este momento no tiene control técnico sobre cada dato. Pero ya tiene algún mecanismo para administrar los datos del usuario, como un indicador de exclusión voluntaria que acompaña a los datos que el usuario ha optado por no usar para publicidad, y que sigue a los datos, dejando en claro que no se puede usar para ciertos fines.

Jason Kint, CEO de Digital Content Next, una organización comercial que representa a los editores de periodismo y un crítico abierto de Facebook, dijo que "los consumidores y los reguladores deberían estar sorprendidos por la magnitud y el desorden de los datos dentro de los sistemas de Facebook". Kint dijo que la metáfora de la tinta en el lago muestra que Facebook no puede realizar un seguimiento de la "fuente y el propósito" de los datos del usuario que recopila. Kint se refiere al artículo 5 de GDPR, que establece un principio conocido como "limitación de propósito". Este principio, según Ryan, significa que las empresas como Facebook deben poder decirles a los usuarios y reguladores qué están haciendo con cada dato específico y la razón específica por la que los recopilan. Por ejemplo, si pones cual es tu orientación religiosa en tu perfil de Facebook, esto no debe usarse para orientarte con anuncios.

El principio de limitación de la finalidad se creó para proteger la privacidad de las personas. En 2020, Ryan demandó a Google en Irlanda, acusando al gigante tecnológico de violar este principio con sus "varios cientos de propósitos de procesamiento que se fusionan en una gran cantidad de datos internos gratuitos". Ravi Naik, el abogado de Ryan en ese caso y experto en privacidad, le dijo a Motherboard que si los reguladores consideran que Facebook viola el GDPR, la empresa no solo podría enfrentarse a multas administrativas de hasta el 4 por ciento de sus ingresos globales, sino también abrir la puerta a los reguladores para ordenar a la empresa que deje de procesar datos de cierta manera. Los usuarios individuales también podrían demandar a Facebook solicitando que les diga qué hace con sus datos, como lo están haciendo Naik y Ryan con Google.

El documento filtrado también se refiere a un producto nuevo, inédito, llamado “Basic Ads” (anuncios básicos), al que los autores del documento se refieren como una respuesta "a corto plazo" a los requisitos de las regulaciones en todo el mundo. “Cuando se lance, los usuarios de Facebook podrán optar por no tener casi todos su Third-Party Data y First-Party Data utilizados por los sistemas de anuncios: me gusta de páginas, publicaciones, lista de amigos, etc. El documento decía que Basic Ads "debe estar listo para su lanzamiento en Europa en enero de 2020".

En el momento de escribir este artículo, Facebook aún no ha lanzado ese producto, lo que demuestra que la empresa llega tarde a la fecha límite establecida por sus propios empleados.

Facebook se negó a comentar sobre “Basic Ads”. Los representantes de la empresa dijeron que el nombre es un nombre clave interno y que el producto mostrará que Facebook puede crear publicidad que sea relevante para los usuarios mientras preserva su privacidad.

Fuente: VICE