Las lecciones aprendidas del caso Cambridge Analytica

Iván Darío Marrugo Jiménez

Abogado experto en Derecho Informático, Seguridad de la Información y Protección de Datos

Socio de Marrugo Rivera & Asociados–FuturLex

 

Algunos de los hechos ligados al escándalo de filtración de datos más grande en el 2018 aún son desconocidos. A pesar de los esfuerzos de parte de los involucrados, subsiste un ambiente de incertidumbre de cuán hondo y extendido y qué tan sistémicas son las actividades de intercambio de grandes volúmenes de información de los gigantes tecnológicos con terceros. Probablemente, no lo sepamos, pero siempre podremos imaginarlo.

 

El caso Cambridge Analytica y Facebook se remonta al año 2013, y por las declaraciones y noticias reveladas se sabe que la gigante de las redes sociales fue engañada por unos investigadores que, supuestamente, obtuvieron acceso a los datos de más de 50 millones de usuarios de Facebook (Hoy, se sabe que son más de 87 millones), que luego fueron utilizados para anuncios políticos durante las elecciones presidenciales en EE UU y en el Reino Unido.

 

Pero ahí no concluye el tema: en el 2015, Facebook tuvo conocimiento de estos hechos y pidió a la empresa eliminar la información obtenida en forma ilícita de sus usuarios, pero nunca verificó que ello se hiciera. Conocida la filtración masiva, Facebook ha dado pasos -por muchos considerados tardíos y tibios- en mostrar control sobre los terceros desarrolladores de aplicaciones con acceso a los datos de los usuarios de la red social y se vio obligada a través de su CEO, Mark Zuckerberg, a acudir a audiencias ante autoridades en EE UU y el Parlamento Europeo.

 

Ahora bien, visto desde esta óptica, no parecería nada diferente a los escándalos que cada cierto tiempo vienen dándose a conocer. Lo que agudiza la crisis es tratar de vislumbrar cómo serán a futuro las actividades de tratamiento de datos en un mundo digitalizado y completamente dinámico: piense por un instante en las capacidades de la inteligencia artificial, el big data y el internet de las cosas. Con ello tiene los ingredientes que por años han alimentado la imaginación de escritores de ficción para hacer un mundo posapocaliptico.

 

Patrones o arquetipos

 

Es así que llegamos a la minería y el análisis de datos que pareciera un tema de origen reciente, pero que exploraremos con el fin de encontrar enseñanzas y proponer nuevos escenarios.

 

Mirado como campo de aplicación de la estadística, la exploración de datos busca, principalmente, encontrar patrones o arquetipos sobre un amplio volumen de información que suele ser divulgada, la mayoría de las veces, de fuentes públicas. Una vez se decanta la información y se encuentran mínimos comunes denominadores que permiten agrupar los datos, estos son analizados de forma automatizada o semiautomatizada, para, de esta forma, diseñar modelos ya no descriptivos, sino predictivos.

Habida cuenta de las ventajas que trae la información procesada de forma redicular, con descriptores tales como el de big data y metadata, era apenas cuestión de nanosegundos para que emprendedores de diferentes partes del mundo gestaran iniciativas que atendieron a las necesidades particulares que, no por ser cotidianas, decrecían en su valor: las contiendas electorales.

 

De esta forma, desde el 2013, y gracias a su participación en las campañas democráticas del brexit (salida del Reino Unido de la Unión Europea) y la postulación y eventual elección de Donald Trump, en el 2016, la compañía Cambridge Analytica se convirtió en un referente global en la minería y análisis de datos para la creación de perfiles de electorados en diferentes eventos. Pero solo sería hasta el 2018, gracias a la filtración de información por parte de uno de sus exempleados, que la compañía sería mundialmente famosa.

 

Dicho esto, y en consonancia con las normas de protección de datos, como no podría ser de otra forma, el escenario bajo el cual se plantea la problemática que se originó con la crisis de Cambrigde Analytica fue el mal manejo de datos personales y el indebido tratamiento de información que, no por estar contenida en una red social, es 100 % pública.

 

Cambridge Analytica, haciendo uso de datos sicológicos derivados de millones de cuentas de usuarios de Facebook, en gran medida sin el permiso o el conocimiento de los usuarios y argumentando de forma falaz su uso para fines académicos, diseñó campañas electorales segmentadas y dirigidas a complacer los intereses de cuadrillas de electores en EE UU en el 2016. Esta acción determinó, en gran medida, la elección de Donald Trump como presidente de EE UU.

 

La práctica en sí de minar datos es ampliamente aceptada en gran parte del mundo, y sus restricciones obedecen a que se atiendan los mínimos garantistas de la intimidad de las personas y su atribución como titulares de la información personal en el sentido de que, como tales, están legitimados para autorizar el destino y el tratamiento que terceras personas pueden emplear sobre los mismos.

 

Seguridad e información

 

Por cuenta de Facebook, más allá de lo criticable que resulta no contar con medidas de seguridad óptimas que le habrían permitido salvaguardar los intereses de los usuarios de la plataforma, está el hecho de que conocían tales actividades y no tomaron cartas en el asunto, continuando monetizando la información y lucrándose del mal manejo (no autorizado) que le estaba dando Cambridge Analytica.

 

¿Dónde radica, entonces, lo execrable frente a Facebook y el caso de Cambridge Analytica? En el cumplimiento de obligaciones especiales de accountability en el manejo de información como presupuesto del siglo XXI. En efecto, el nuevo Reglamento Europeo de Protección de Datos (RGPD) elevó a rango de principio la responsabilidad demostrada como rasgo preventivo en las actividades con grandes volúmenes de información.

 

Aspectos novedosos como las aplicaciones de evaluaciones de impacto a la privacidad, Privacy by Design y Privacy by Default, la notificación de incidentes y el nombramiento del oficial/delegado de protección de datos son elementos de una responsabilidad proactiva en el reciente escenario europeo de la privacidad[1].

 

Además de la noticia y sus continuas revelaciones, también se ha puesto de relieve la importancia que ha tenido el escándalo de Cambridge Analytica en la generación de conciencia sobre la protección de los datos. Precisamente, este punto ha sido el eje central de la Unión Europea con el RGPD y con el que pretenden acercar las normas sobre privacidad al mundo reinante. Y en ello y el estado de la regulación seguramente se esconde parte de la solución de esta gran crisis de desconfianza frente a las empresas tecnológicas y su actividad en la recopilación de datos.

 

Una cosa es segura: el modelo americano de autorregulación no ha dado resultados favorables. Es tiempo de la regulación, que exige prestaciones e impone obligaciones a las empresas, como el sistema europeo. Nuestra diligencia como usuarios o como empresas será, en últimas, la herramienta que nos permitirá decir, con algo de certeza: ¡Hemos aprendido una gran lección! o ¡Aquí no ha pasado nada!