El abogado de 33 años que desafía a las tecnológicas: “El problema de Europa no es la ley, es que se cumpla”
El austriaco Max Schrems litigó con Facebook para exigir mayores garantías de protección de datos. Ganó. Ha demandado a Apple y Google y ahora prepara una cruzada contra las ‘cookies’
A los 23 años, de vuelta en casa tras estudiar un semestre de Derecho en California, Max Schrems (Salzburgo, Austria, 1987) solicitó a Facebook que le mandase toda la información que tuviera sobre él. Examinó los 1.200 folios que le entregaron y detectó varias posibles violaciones de su privacidad. Presentó 22 denuncias ante las autoridades de protección de datos de Irlanda, país en el que la red social tiene su cuartel general para Europa. Decidió volcar en internet toda la información de su litigio judicial por si ...
Regístrate gratis para seguir leyendo
Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte
A los 23 años, de vuelta en casa tras estudiar un semestre de Derecho en California, Max Schrems (Salzburgo, Austria, 1987) solicitó a Facebook que le mandase toda la información que tuviera sobre él. Examinó los 1.200 folios que le entregaron y detectó varias posibles violaciones de su privacidad. Presentó 22 denuncias ante las autoridades de protección de datos de Irlanda, país en el que la red social tiene su cuartel general para Europa. Decidió volcar en internet toda la información de su litigio judicial por si le interesaba a algún periodista. “Dos o tres semanas después me llamaron de Facebook: querían verse conmigo. El proceso había salido en todos los periódicos. No me lo esperaba, sinceramente, y a veces me pregunto si hubiera hecho lo mismo sabiendo hasta dónde iba a llegar el asunto”, cuenta por videollamada.
Sus denuncias no obtuvieron resultados judiciales, pero generaron un importante debate en la UE. El Reglamento General de Protección de Datos (RGPD), la directiva europea que entró en vigor en 2018 y que exige a todas las empresas pedir el consentimiento del usuario antes de usar sus datos, está motivado en parte por el caso de Schrems, según reconoció la excomisaria de Justicia Viviane Reading a The New York Times. En 2013 inició un nuevo proceso contra Facebook, esta vez por enviar sus datos personales a EE UU, donde hay normativas de privacidad más laxas. Los tribunales le dieron la razón en 2015: nada de transferir información personal a otros países.
A finales del año pasado demandó a Apple, y la semana pasada a Google, por rastrear sin permiso los teléfonos móviles que funcionan con sus sistemas operativos. No hay sentencia todavía, pero la nueva actualización de Apple, que saldrá en las próximas semanas, da la opción por primera vez de aceptar o rechazar tener ese identificador.
Schrems lleva gran parte de su vida adulta peleando contra gigantes. La notoriedad que le dieron sus primeras escaramuzas contra Facebook le permitió fundar una ONG, Noyb (acrónimo de None of Your Business, No es asunto tuyo), que vive de donaciones y cuenta con un equipo de 10 abogados, seis de ellos permanentes. El joven jurista austriaco es el único que no cobra de la organización: “el origen de mis ingresos es un asunto privado, pero lo resumiría diciendo que no gasto mucho, alquilo apartamentos y doy charlas”. El equipo de Schrems trabaja ahora en un proyecto relacionado con las cookies (archivos digitales que se quedan en nuestros dispositivos cada vez que accedemos a una página y que recogen información de la navegación) que presentarán en unas semanas y del que todavía no puede dar detalles.
Pregunta. ¿Cómo enfocan su batalla contra las cookies?
Respuesta. Es un proyecto extenso, que en realidad tiene dos fases. La primera es la que iniciamos la semana pasada. En nuestra demanda contra los identificadores únicos de los teléfonos Android estamos demostrando que no son más que cookies, que encajan en esa definición. Buscamos jurisdicciones en las que las agencias de protección de datos vayan a actuar. Así dimos con Austria y Francia, un país este último que ya había multado anteriormente a Google. En la segunda fase del proyecto estamos detectando patrones de funcionamiento y cómo cada web trata de hacer que sea muy complicado rechazar las cookies. Hay estadísticas muy reveladoras: solo el 3% de la gente lee la información sobre cookies que salta al entrar en una web, y más del 90% da directamente al botón de estoy de acuerdo, aunque no lo esté. Muchos creen que estos estúpidos banners son culpa del RGPD, pero en realidad son una artimaña de la industria diseñada para que no rechacemos que nos puedan rastrear.
P. Apple va a sacar una nueva versión de su sistema operativo iOS que brindará la opción de aceptar o rechazar que se active el identificador único comercial del dispositivo (una especie de matrícula digital que permite rastrear al usuario). ¿Lo ve como una victoria?
R. No creo que sea una victoria que nos podamos atribuir. Es evidente también que algunas compañías se toman la privacidad más en serio que otras. Eso a menudo tiene que ver con el modelo de negocio: si vendes tus teléfonos por más 1.000 euros, entonces estás haciendo dinero y no necesitas poner cookies en ningún lado.
P. Todos los europeos nos beneficiamos de su trabajo. Un trabajo que en realidad deberían hacer las autoridades.
R. En un mundo ideal no existiríamos, pero ahora mismo el gran problema que tenemos en Europa no son las leyes, sino hacer que se cumplan. Las autoridades no tienen el dinero, la capacidad o el personal para hacerlas cumplir, y sobre todo les falta la voluntad para que eso suceda. Una de las cuestiones que más me atraen de todo esto es que, aunque siempre hemos sabido que algo raro sucede en nuestros teléfonos, se daba por supuesto que el derecho a la privacidad no se defendía porque no era relevante. Decir que no necesitas privacidad porque no tienes nada que esconder es como sostener que no necesitas la libertad de expresión porque no tienes nada que decir.
P. Cuando empezaron las redes sociales, la gente compartía su información personal muy a la ligera; hoy tendemos a ser más cuidadosos. ¿Nos preocupa más ahora la privacidad?
R. Mucho de lo que pasa en las redes –el análisis de tus gustos, tus amistades, tus ideas– sucede sin que hagas nada. En mi caso, por ejemplo, nunca hablé de mi orientación sexual en Facebook, pero aún así, al ver que muchos de mis amigos eran homosexuales, dedujo que yo también lo soy. La industria fue muy buena en destacar la parte de responsabilidad atribuible al usuario –no subas fotos tuyas desnudo– y en esconder la de las compañías. Es el mismo argumento que usaron en su momento las tabaqueras: lo que te mata es el hecho de fumar, no los cigarrillos. Llevo diez años estudiando y litigando con Facebook y todavía no entiendo del todo cómo funciona. No podemos pretender que una chica de 18 años comprenda exactamente qué implica usar Facebook, es absurdo. Nadie se lee las condiciones de privacidad. La respuesta de la industria ha sido inteligente: dan a la gente una falsa apariencia de que tienen el control, pero en realidad te hacen enfrentarte a unos 200 botones que no te vas a preocupar en pulsar.
P. Han pasado 10 años desde que empezó su batalla legal contra Facebook. ¿Está contento con el resultado?
R. He ganado experiencia, voy viendo qué funciona y qué no. Una de las ventajas del RGPD es que puedes elegir el país en el que quieres registrar la demanda, la jurisdicción que mejor te puede ir para cada caso. Una vez tienes cierta estabilidad financiera, como tenemos en Noyb, puedes pensar estrategias a largo plazo y aguantar retrasos que de otro modo te harían desistir. Afortunadamente, vemos que nuestro trabajo está dando resultados en la dirección adecuada, lo que te da más energía para seguir. Sabemos que las sentencias tardan años en dictarse y que esto es una carrera de fondo.
P. Se está enfrentando a algunas de las mayores empresas del mundo. ¿Ha sufrido amenazas o presiones para dejarlo?
R. Se han difundido rumores, como que mi único empeño es salir en los medios o que estoy a sueldo de una operadora alemana de telefonía. Me parece bastante obvio que es falso. Sé también que algunos periodistas han recibido presiones de Facebook para que retiren sus publicaciones sobre nuestro trabajo. Desde un punto de vista más personal, me da mucha tranquilidad saber que lo que hacemos está bien atado: es técnicamente correcto, está fundamentado y documentado. No nos pueden pillar por ahí. Me ayuda también el hecho de ser una persona a la que no le importan una mierda muchas cosas. Recuerdo que una vez, en pleno proceso contra Facebook, alguien me dijo que me iban a mandar a un asesino ruso. Me lo tomé a broma. ¿Quién va a querer matarme?
P. ¿No le han intentado comprar u ofrecido trabajo?
R. No, cuando hacen eso saben perfectamente con quién puede funcionar. No creo que necesiten a alguien que les diga que lo que hacen está mal.
P. ¿Se le han acercado trabajadores de grandes tecnológicas para darles información de utilidad para sus casos?
R. Por el momento no, pero estamos trabajando para que empiece a suceder. Vamos a poner en marcha un sistema de buzón anónimo y seguro para que la gente pueda dejarnos pistas. Creemos que tiene potencial porque muchos de los ingenieros que trabajan en las big tech a menudo no están de acuerdo con lo que ven.
P. ¿Qué opina del reconocimiento facial y de su regulación?
R. La gente está mucho más concienciada sobre esta forma de invasión de privacidad porque puedes ver la cámara. Pero, ¡sorpresa!, los móviles lo revelan todo sobre nosotros desde hace años. Sobre la tecnología en sí: es aterrador que te puedan reconocer según vas por la calle, que pierdas el anonimato. No creo que tenga cabida en Europa. El RGPD cubre la mayoría de los problemas que pueda plantear el reconocimiento facial porque establece que solo se pueden procesar los datos que el usuario accede a facilitar. Es como una normativa en bruto: no habla de tipos de tecnologías, sino de qué pasa con los datos. Está prohibido matar a la gente, da igual si lo haces a pedradas o atropellando con un Tesla. Se tiende a sacar una ley para cada tecnología, cuando quizás sea más sencillo crear normas comunes.
P. Tiene un buen concepto del RGPD.
R. Creo que es algo de lo que podemos sentirnos orgullosos. La suelo llamar la ley de privacidad menos estúpida del mundo: puede que técnicamente no sea maravillosa, pero desde el punto de vista político me parece un gran logro. Probablemente habrá que reformarlo varias veces hasta que funcione bien, pero estamos ahí.