La privacitat de Facebook, davant la justícia europea
La denúncia d’un jove austríac per l’ús de dades personals arriba avui al Tribunal de la UE
BarcelonaEl Tribunal de Justícia de la Unió Europea (TJUE) celebra aquest matí la primera vista de l’anomenat cas Europa contra Facebook, que pot marcar un punt d’inflexió en la política de protecció de dades de la xarxa social creada per Mark Zuckerberg i, per extensió, de la resta de grans empreses de la xarxa. En realitat, el TJUE només ha de dirimir sobre un aspecte col·lateral de l’assumpte, però la seva decisió -que encara pot trigar mesos a arribar- pot ser clau a l’hora de determinar el resultat final del cas, que es jutjarà a Irlanda.
L’impulsor de la demanda que ara ha arribat a la taula de la justícia europea és un jove estudiant de dret austríac, Max Schrems, que l’estiu del 2011 va presentar 22 queixes davant l’autoritat irlandesa de protecció de dades referents a diversos aspectes concrets en què considerava que Facebook no complia amb la directiva europea de protecció de dades, com ara l’emmagatzematge de missatges i fotografies fins i tot després que siguin esborrats dels perfils, l’etiquetatge automàtic dels usuaris i el reconeixement facial.
Les peticions es van adreçar a l’autoritat irlandesa perquè és en aquell país on Facebook té la seu de la seva filial europea. Facebook Irlanda és, des del punt de vista legal, la responsable de gestionar la xarxa social a tots els països del món tret dels Estats Units i el Canadà i, per tant, és la que proposa les condicions de privacitat que tots els usuaris, excepte els d’aquests dos països, han d’acceptar abans de poder-hi obrir un nou perfil.
Però les queixes de Schrems van quedar en un no res. Segons explica el denunciant al portal Europe-v-Facebook.org -la plataforma que ell mateix ha creat per portar la companyia als tribunals-, l’agència de protecció de dades es va limitar a fer alguns “suggeriments” no vinculants a Facebook i va instar les dues parts a buscar una “solució amistosa”, que es va concretar en una trobada a Viena entre Schrems i representants de la companyia nord-americana. La trobada es va produir el febrer del 2012, però, segons denuncia el jove, els compromisos que va assumir l’empresa van quedar en paper mullat.
Per justificar la seva inacció, l’autoritat irlandesa recordava que la normativa europea sobre protecció de dades permet a empreses nord-americanes que operen a la UE enviar dades de ciutadans europeus als Estats Units -on la legislació en aquesta matèria és molt més laxa- amb l’única condició que es comprometin a complir una sèrie de condicions. Facebook, igual que la gran majoria de grans companyies de la xarxa, s’ha adherit a aquests principis, coneguts com a safe harbor, és a dir, “port segur”. Per tant, en opinió de l’autoritat irlandesa, no hi hauria base legal per perseguir Facebook dins de la Unió Europea en matèria de privacitat.
Espionatge massiu
De tota manera, la història no es va acabar aquí. El 2013 el cas de Schrems va rebre un nou impuls arran de les filtracions de l’exagent de la CIA Edward Snowden, que van revelar l’existència del programa PRISM d’espionatge massiu per part de l’Agència de Seguretat Nacional dels EUA (NSA), en el qual estaven implicades la majoria de les grans empreses d’internet, entre les quals Facebook. Això va posar de manifest que la companyia de Mark Zuckerberg estava anant molt més enllà del que permet la normativa europea i, en conseqüència, posava en entredit que els principis del safe harbor s’estiguessin aplicant correctament.
Com que novament l’autoritat irlandesa de protecció de dades es va negar a actuar, Schrems va decidir portar el cas al Tribunal Superior d’Irlanda, que ha acceptat el cas però que, abans d’obrir el judici, ha traslladat una pregunta al Tribunal de Justícia de la UE: vol saber si la normativa comunitària permet a les autoritats d’un país investigar presumptes incompliments en matèria de protecció de dades per part d’empreses que s’hagin unit als principis del safe harbor. La decisió del tribunal europeu, que avui escoltarà les parts per primera vegada, podria obrir la porta a una investigació més profunda de l’ús que Facebook fa de les dades personals dels seus usuaris europeus.
Situació complicadíssima
“Caldrà veure si el Tribunal es refereix a aquest tema en concret o qüestiona tot el safe harbor. Si ho fa, pot ser el desencadenant de coses molt més importants i crearia una situació complicadíssima”, explica a l’ARA Joaquín Bayo, que del 2004 al 2009 va ser l’adjunt del supervisor europeu de protecció de dades. En aquest sentit, fonts coneixedores del cas consideren que hi ha “moltes possibilitats” que el TJUE faci una “interpretació desfavorable” del safe harbor.
Paral·lelament a aquest procediment iniciat a Irlanda, Max Schrems també va presentar, l’agost de l’any passat, una altra demanda contra Facebook davant d’un tribunal de Viena, amb el mateix objectiu de forçar la companyia a revisar la seva política de privacitat i adaptar-la a les exigències de la UE. Per visibilitzar que el malestar pel tractament de les dades personals que fa aquesta xarxa no és només cosa seva, el denunciant va convertir el seu cas en una demanda col·lectiva i va convidar tots els altres usuaris de Facebook -amb la condició que fossin majors d’edat i residents fora dels Estats Units o del Canadà- a unir-s’hi.
La crida va ser tot un èxit, i menys d’una setmana després la demanda col·lectiva ja havia sumat 25.000 adhesions, el límit màxim que s’havien marcat els seus impulsors per poder gestionar la denúncia. Tot i així, van deixar oberta la possibilitat de donar suport a la demanda a través del portal Fbclaim.com, al qual s’han registrat des de llavors 50.000 persones més, que tindran la possibilitat d’afegir-se a la demanda col·lectiva en una fase posterior. La primera vista per aquest cas tindrà lloc el 9 d’abril.
La major part dels demandants són alemanys, austríacs i holandesos, però n’hi ha de molts països d’arreu del món, entre els quals 352 d’espanyols. Cadascun reclama una indemnització de 500 euros per l’ús suposadament il·legítim de les seves dades. “Només demanem una petita quantitat, perquè el nostre objectiu principal és assegurar la correcta protecció de les dades”, expliquen els impulsors de la iniciativa. Tot i que això podria representar, en total, una multa de 12,5 milions d’euros, Schrems considera que “aquest seria el problema menys important per a Facebook”. “El tribunal podria declarar il·legals sota la llei europea les seves qüestionables pràctiques comercials. Donades les estrictes lleis de privacitat a Europa, hi ha moltes possibilitats de guanyar el plet”, pronostica Schrems. Encara que el judici se celebri a Àustria, la decisió del Tribunal serà d’aplicació per a tota la Unió Europea.
Malgrat que el seu primer objectiu ha sigut Facebook, l’activista reconeix que la seva intenció és que totes les companyies d’internet hagin d’adequar la seva política de privacitat a la normativa europea. “Facebook és només un exemple de molts, però s’ha de començar per algun lloc”, argumenta.
Un vestit a mida per a les empreses d’internet
La directiva europea de protecció de dades estableix que les empreses ubicades a la UE només poden exportar dades a altres països que tinguin un nivell de protecció equiparable al de la Unió. Als EUA la llei és més laxa i per això l’any 2000 es va aprovar el sistema safe harbor, un “vestit a mida”, en paraules de Joaquín Bayo, que permet a les companyies americanes transferir dades als EUA “si es comprometen a tractar-les adequadament”. Per llei, només se’n pot fer un ús comercial, però les filtracions de Snowden han revelat que “les autoritats policials americanes també les utilitzen, cosa que no estava prevista”, diu Bayo.
