Se mire por donde se mire, 5.000 millones de dólares es una cuantía enorme, pero la multa con la que la Federal Trade Commission (FTC) ha castigado a Facebook deja demasiados insatisfechos. Con la notoria excepción de sus accionistas, que la han interpretado como el coste asumible de seguir gozando del mismo chollo. Tras la noticia, la cotización de Facebook subió el 1%, aunque luego bajara como el resto de Wall Street. Que un alza fuera la reacción a una multa que equivale al 9% de los ingresos de Facebook en 2018 dice mucho sobre el aura de omnipotencia que rodea a una compañía que, haga lo que haga, ha ganado usuarios (2.414 millones) y dinero (4.626 millones) en el segundo trimestre).
Mark Zuckerberg
La multa está relacionada con la escandalosa cesión de datos personales de usuarios estadounidenses a la empresa Cambridge Analytica con la finalidad aparente de un ´experimento` sociológico que enmascaraba una tapadera para la intoxicación informativa en favor de la candidatura de Donald Trump. Si bien esta práctica no se ha considerado explícitamente ilegal, constituye una violación del acuerdo “de consentimiento” firmado por Facebook en 2012, que entonces le evitó una sanción económica de la FTC. En origen, el procedimiento se inició cuando la compañía cambió – sin informar a los usuarios – sus controles de privacidad con el pretexto de algo que llamó “Instant Personalization”, figura retórica que le permitía vender datos de aquéllos a terceros.
Por tanto, Facebook ha sido reincidente, y esto le costará una multa calculada a razón de 16.000 dólares diarios por infracción. Según un nuevo acuerdo, además de aceptar la multa, Facebook deberá contratar abogados externos para conformar un comité de privacidad responsable ante el consejo de administración. La exigencia de una parte de los comisionados para que Mark Zuckerberg fuera responsable subsidiario de cualquier incumplimiento futuro se ha rebajado a la formalidad de firmar un documento trimestral que acredite las medidas tomadas por Facebook en defensa de la privacidad de los usuarios.
El episodio ha puesto de relieve el anacronismo de la legislación aplicable. El presidente de la FTC, Joe Simmons, ha señalado que el organismo se rige por un estatuto que data de 1914 que contempla la intervención en defensa de los derechos de los consumidores contra prácticas engañosas, pero nunca se había enfrentado a un caso relacionado con la privacidad.
Políticamente, la FTC se dividió ante el asunto entre los tres republicanos y los dos demócratas. Estos votaron en contra del acuerdo y exigían que se sancionara personalmente a Zuckerberg. En un escenario dominado por compañías como Facebook [55.000 millones de dólares de ingresos en 2018, una tesorería cercana a los 40.000 millones] garantizar que cada individuo es propietario de sus datos personales es una tarea ímproba.
Que se recuerde, las mayores sanciones económicas a compañías del sector tecnológico se han dictado en Europa. En la retina quedan los 5.100 millones con los que la Comisión Europea sancionó a Google por abuso de posición dominante (y otros que aún colean).
La inexistencia de una norma específica sobre esta materia ya ha sido recogida por el Congreso, que prometió elaborar un proyecto de ley antes de finales de año, sin haber iniciado hasta hoy su redacción. Republicanos y demócratas se tiran los trastos a la cabeza porque la oposición cree que hay que extremar la severidad frente a estas infracciones. Cuestiones como qué constituye exactamente una violación de la privacidad no están del todo clara para los políticos estadounidenses, mucho más laxos que los europeos en la materia: la reticencia de muchas empresas a aceptar el acceso a sus páginas web desde Europa expresa justamente eso: ante lo que a este lado del Atlántico se considera falta grave [no informar puntualmente al usuario de lo que se hace con sus datos, con o sin su consentimiento] en Estados Unidos se hace la vista gorda.
En este contexto político, cabe preguntarse si realmente hasta qué punto la FTC está interesada en perseguir y castigar este tipo de conductas. Los movimientos de defensa de los consumidores [Public Citizen, Center for Digital Democracy, Consumer Federation of America] sostienen que la FTC no ha sido contundente en la ejecución de sus atribuciones. Culpan a Simmons de blandura, negociando durante muchos meses con Facebook y al final enmascararlo con una cifra récord, para la que Facebook ya había provisionado 3.000 millones que han acolchado el impacto en el trimestre.
Una entidad denominada Electronic Privacy Information Center ha preguntado formalmente a la FTC si el pacto exculpa a Facebook de contenciosos no resueltos, como las 26.000 quejas de usuarios presentadas ante el registro de la comisión. Si la respuesta fuera afirmativa, la cuantiosa multa habría hecho las veces de amnistía encubierta, resultando barata.
Algunos analistas han tirado por otro supuesto: la negociación de este segundo acuerdo habría tenido un desenlace escrito de antemano. Porque, si la FTC hubiera multado unilateralmente a Facebook y esta acudiera a la justicia, era posible (incluso probable) que el Tribunal Supremo acabara desautorizando al regulador por entender que la ley no le otorga esa capacidad. En tal hipótesis, dejaría cancha libre a otros infractores, pero pondría a Facebook bajo los focos de una amenaza legal más grave.
En verdad, la gravedad o levedad de la multa puede ser todo lo discutible que se quiera, pero deja implantado un mecanismo de supervisión permanente con el que la FTC cree haber enviado un mensaje: si quiere evitar males mayores, Facebook tendrá que cambiar algunas de las prácticas que son rasgos de su modelo de negocio.
Por ejemplo, tendrá prohibido utilizar con fines comerciales los números de teléfono requeridos como segundo factor de autenticación. También el reconocimiento facial es una preocupación de este órgano regulador: a partir de ahora, se solicitará información periódica sobre esta tecnología y se exigirá que los usuarios la consientan expresamente y se les comunique cuando y para qué se está utilizando.
En materia de seguridad, el acuerdo estipula que las contraseñas deberán estar encriptadas y sometidas a revisiones frecuentes [recuérdese que no hace mucho se comprobó que millones de ellas estaban almacenadas en paralelo como texto plano]. Y algo importante: Facebook no podrá pedir contraseñas de correo electrónico u otras aplicaciones cuando alguien se registre en la red social.
Cada nuevo servicio que Facebook ponga en marcha tendrá que llevar adosado su correspondiente informe de riesgos para la privacidad. Este punto obligará a una revisión completa de los sistemas. Haciendo de la necesidad virtud, Zuckerberg ha decidido que WhastApp e Instagram, funcionalmente separadas, acojan como apellido la marca de su matriz.
En suma, con estos correctivos se espera mejorar las prácticas de una compañía que ha acumulado demasiado poder, pero no se remedian las malas artes del pasado. Hubiera sido de interés público que alguien – por qué no Zuckerberg – reconociera en qué demonios se pensaba cuando ese alguien – seguramente Zuckerberg – decidió violar el acuerdo de supuesto arrepentimiento firmado en 2012.
Los desvelos regulatorios de Facebook no acaban con esta multa pactada. Tiene pendiente pagar 100 millones de dólares [calderilla] a la Comisión Federal de Valores por no haber informado a sus accionistas sobre los riesgos implícitos en su política de datos personales. Por otra parte, la FTC y el departamento de Justicia se disputan el privilegio de investigar si la compañía (y otras) infringe la legislación antitrust. Y en Europa se estudia si ha violado el RGPD.
A partir de ahora será interesante ver cómo se desenvuelve Facebook con las novedades organizativas pactadas, que probablemente implicarán un retraso en la puesta en marcha de nuevos servicios que tiene previstos. Por el momento, aunque sus transparencias omiten este precioso detalle, de los informes anuales se deduce que las inversiones acometidas para corregir sus prácticas cuestionables han erosionado el margen operativo: 50% en 2017, 45% en 2018, 40% en lo que va del año fiscal en curso. Claro que los titulares negativos no han impedido que los ingresos siguieran disparándose: 40.653 millones en 2017, 55.838 millones en 2018, 31.963 millones en el primer semestre de 2019. Hagan cuentas, lectores.