¿La ley… o el espíritu de la ley?

IMAGE: BiljaST - CC0 Creative CommonsFacebook se dispone a hacer un cambio en la atribución de todos los usuarios no europeos que vivan fuera de los Estados Unidos o Canadá, unos 1,520 millones de personas en África, Asia y América Latina, para hacer depender sus términos de uso de Facebook, Inc., compañía norteamericana, en lugar de Facebook Ireland, la subsidiaria que creó en 2008 para aprovechar las reducidas tasas de impuesto de sociedades del país. Con este movimiento, reduciría sensiblemente el impacto de la entrada en vigor del Reglamento General de Protección de Datos (GDPR) el próximo 25 de mayo, así como el riesgo potencial en caso de infracciones, previsto en un máximo de un 4% de los ingresos globales anuales de la compañía.

El movimiento contrasta con las expresiones de interés anteriores de Mark Zuckerberg en vísperas de su comparecencia ante el Comité del Senado de los Estados Unidos sobre Comercio, Ciencia y Transporte en las que anunciaba que su compañía tomaría el marco europeo definido por la GDPR como un estándar a nivel mundial, para así ofrecer el mismo nivel de control sobre su privacidad a sus usuarios en todo el mundo. Ahora, todo indica que esa idea se reduce a ofrecer a quienes no estén de facto de manera obligatoria por su residencia bajo el paraguas europeo unos controles “similares” que respondan a un espíritu parecido, pero que no caigan bajo el control de unas autoridades con las que la compañía ha tenido ya numerosos encontronazos, y sobre todo, limitando el importe máximo de posibles sanciones en caso de incumplimiento. 

En su momento, algunos analistas avanzaron sus dudas con respecto a aquellas declaraciones de Zuckerberg con titulares “oscilantes” en uno u otro sentido. Esas dudas parecen ir desvelándose: lo que indica el movimiento es que la compañía se adaptará al marco regulatorio en cada uno de los territorios en los que se sitúe su actividad, pero no necesariamente tomando la métrica europea como estándar, o al menos, no dependiendo realmente de sus controles. Desde un punto de vista operativo, esto podría suponer una cierta rebaja de expectativas: fuera de Europa, la compañía ya solo tiene que “intentar acercarse” al nivel de protección europeo, pero en la práctica, nada la obliga realmente a ello ni la amenaza con posibles sanciones si no lo hace. Si en algún momento, y en parte seguramente como reacción al escándalo de Cambridge Analytica y a la comparecencia de Mark ante el comité del Senado, el gobierno norteamericano o el de otros países decide desarrollar un marco legislativo que dote a sus ciudadanos de niveles de protección parecidos a los europeos o inspirados en ellos, la compañía tendría lógicamente que adaptarse… pero mientras eso no ocurre – y en el caso de la administración norteamericana, no parece que vaya a ocurrir pronto –  es mejor seguir dependiendo de legislaciones más benevolentes en ese sentido. No precisamente el nivel de propósito de enmienda que la compañía parecía expresar cuando comenzó a plantear cambios en la forma en que trataba los datos personales de sus usuarios tras las disculpas de su fundador.

Si quieres cambiar realmente tu compañía, procura establecer mecanismos y simbología que permitan ver claramente que las cosas han cambiado. Si lo primero que haces ante un cambio legislativo que podría proteger más a una parte de tus usuarios es salir huyendo y llevarte a esos usuarios a otro sitio en el que ese cambio no les afecte, realmente no es un buen indicador de que te estés tomando ese cambio demasiado en serio, y parece reflejar más bien una situación de búsqueda de contingencias, de mero control de daños. Ofrecer controles “similares” a los europeos no es lo mismo que ofrecer los controles europeos, de la misma forma que la ley no es necesariamente lo mismo que el espíritu de la ley. El primer es lo que es, el segundo depende de quien lo interprete. Interpretada por Facebook, con sus indudablemente peligrosos antecedentes, la GDPR no va a ser la GDPR, sino algo que posiblemente sea parecido, o posiblemente ni siquiera eso, porque nada obliga a la compañía a ello más que un acto de voluntarismo. Y cuando hablamos de la interfaz entre privacidad y Facebook, es muy posible que el voluntarismo se quede muy corto y no sea suficiente. Veremos en que se queda. Pero como forma de abrir la conversación después de un escándalo, no parece presagiar nada especialmente halagüeño.

 

 

 

This post is also available in English in my Medium page, “Facebook and the spirit of the law” 

 

14 comentarios

  • #001
    Carlos Quintero - 19 abril 2018 - 17:50

    Es importante cumplir no solo con la ley, sino con el espíritu de la ley. Como la ley puede ser imperfecta (ambigua, mal redactada, con omisiones, etc.), con frecuencia ocurre que “hecha la ley, hecha la trampa”. Pero normalmente todo el mundo sabe lo que la ley pretende, aunque esté deficientemente expresada.

    Referente a GDPR, el esfuerzo que tienen que hacer las grandes compañías estos días es considerable, empezando por entender bien qué dice la “ley” (que es una regulación aplicable por igual a todos los países afectados, no una directiva que cada país tenga que adaptar como ocurría con la anterior). Las multas son cuantiosas y nadie quiere ser el primero en “entender” y adaptarse mediante una multa, de ahí que haya cierta preocupación.

    Ese esfuerzo de adaptación de procedimientos internos, sistemas, etc. también aplica a Facebook, dado que ofrece servicios a residentes en la Unión Europea. Por tanto, dado que el esfuerzo lo vas a tener que hacer sí o sí, lo más lógico sería reaprovecharlo al 100% para aplicarlo a todo el mundo mundial. Tal vez sea para evitar multas innecesarias, pero podría aplicar los mismos términos a Facebook, Inc. que a Facebook Ireland, sabiendo que a Facebook, Inc. no se le aplicarían sanciones.

    No hacerlo así ciertamente es sospechoso. Seguramente no les gusta el artículo 17.

    • Carlos Quintero - 19 abril 2018 - 18:38

      LinkedIn va a hacer lo mismo, los usuarios no europeos se cambian de LinkedIn Ireland a LinkedIn Corp., aunque mantienen los mismos controles de privacidad para todos. La clave es si Facebook aplicará los mismos controles o no.

  • #003
    MANUEL - 19 abril 2018 - 19:53

    Para GDPR (RGPD), la ubicación fiscal / social de la compañía es indiferente respecto a las obligaciones de la misma con los ciudadanos europeos. El Reglamento afecta por igual a cualquier compañía que realice tratamientos a datos personales de ciudadanos europeos, independientemente de la ubicación de sus headquarters.
    En mi opinión, las autoridades competentes europeas van a sancionar a Facebook independientemente de dónde se ubique la sede social/fiscal de la misma. La Directora de la AGPD así lo ha insinuado.

    • Carlos Quintero - 19 abril 2018 - 22:44

      Si yo lo he entendido bien (artículo 3) GDPR aplica a:

      1. Un controller o processor establecido en la Unión Europea que trata datos de personas de cualquier país, incluso de fuera de la UE.

      2. Un controller o processor de cualquier país del mundo que trata datos de de personas de la UE.

      El punto 2 es al que tú te refieres. Es el punto 1 el que hace que Facebook, LinkedIn y otras que vendrán cambien a sus usuarios de países que no pertenecen a la UE a la misma jurisdicción de los usuarios de USA, para evitarse posibles multas por esos usuarios, que al fin y al cabo son de fuera de la UE. Dejan los controllers/processors de la UE solo para los ciudadanos de la UE.

      Lo cual tiene sentido porque la GDPR marca plazos (con sanciones) para contestar solicitudes de rectificación, borrado, portabilidad, etc. de los usuarios y cuantos más usuarios tengas más trabajo tienes.

      Lo que está por ver es si los controllers/processors de USA aplican los 99 artículos de GDPR aunque no estén obligados.

      • MANUEL - 19 abril 2018 - 23:31

        Carlos, mi apuesta es que no aplican el Reglamento. Se caerían algunos modelos de negocio. Algunos procesos de otros modelos tendrían que reformularse. Los impactos en las cuentas de resultados serían inasumibles para algunas compañías.

  • #006
    MANUEL - 19 abril 2018 - 23:32

    Ejemplo:
    http://www.thedrum.com/news/2018/04/18/verve-focus-us-growth-it-plans-closure-european-offices-ahead-gdpr

  • #007
    menestro - 20 abril 2018 - 00:29

    Parece mentira que Reuters haga un titular así, o más bien una broma. Los usuarios de Facebook y la propia empresa están sujetos a la normativa de protección de datos del país en el que preste servicios a esos usuarios, no hay “Tax Haven” para los datos.

    Los usuarios de África, Asia, Australia y Latino América están sujetos a la normativa de origen de sus países, y la transferencia de datos es la que puede verse modificada, según la jurisdicción del país en el que opere Facebook.

    Solo significa que tendría que manejarse en un entorno con diversas legislaciones y ajustarse a esas diversas ‘compliances’ para garantizar su cumplimiento, en vez de unificar su política corporativa.

    La norma europea no está ‘sancionada’ fuera de su ámbito de aplicación, y tiene que ajustarse necesariamente a los acuerdos ya existentes entre los diferentes países.

    Solo puede entenderse como una fase de adaptación al nuevo entorno, ya que a escala global, supondría revisar cada una de las legislaciones de datos de cada país, para evitar conflictos entre diversas jurisdicciones.

    Es lo que se conoce como “armonización” normativa, y solo puede ser una fase de transición hacia un entorno de mayor protección y garantías. No en ponerse fuera del alcance de la normativa europea. En realidad, las leyes de Sudáfrica, por ejemplo, son mucho más rigurosas y contundentes, con penas de hasta 10 años de prisión por incumplir la POPI Act.

    Legislación de datos personales en cada país – Wikipedia

    • Menestro - 20 abril 2018 - 08:31

      A ver, para quede más claro y sencillo; el GDPR solo se aplica a los usuarios de la Unión Europea, y no a esos 1,5 millardos que dice Reuters, tanto si Facebook está en Irlanda como si se establece en EE.UU.

      La ley europea solo es de aplicación en Europa. Y los demás países se rigen por su propia normativa, a la que Facebook está sujeta, tanto si su sede comercial está en Europa como si no.

      Vaya cacao mental tienen en Reuters.

  • #009
    JJ - 20 abril 2018 - 00:33

    Facebook no lo tiene fácil. Le han pillado en algo muy serio y tiene que mover ficha. Pero su modelo de negocio, aunque de forma indirecta, consiste en robar masivamente la información personal de sus usuarios y venderla a los anunciantes.

    En el caso de Cambridge Analytica la información obtenida ha afectado al resultado de las últimas elecciones en EEUU.

    Si se cambia el modelo y se deja de hacer esto, que sería la mejor si se quieren conservar las democracias occidentales, muchos inversores le abandonarán y su capitalización bursátil se verá muy reducida. Tendría que cambiar a un modelo de publicidad convencional, como el que existe en medios gráficos tradicionales y tv. Quizás no exista otra salida si se quiere evitar que ocurra lo mismo que en Rusia o en China donde Internet y las redes sociales se utilizan para controlar y someter a la población.

    Si por el contrario, se sigue como hasta ahora con engaños o maquillaje, los inversores estarán contentos, por ahora, pero podría existir un descontento creciente en los usuarios. Muchos se irían y la imagen de Facebook se vería muy afectada.

    En su comparecencia en el senado, me pareció que Mark Zuckerberg dijo algo bastante importante, pero que a muchos les sonó a excusa. Fue una comparecencia rara, incluido el maletín sobre el que Zuckerberg se sentó.

    “Hay gente en Rusia cuyo trabajo es explotar nuestros sistemas, así que esto es una carrera armamentística”

    ver enlace

    Creo que esto es importante por el Rusiagate, y porque Donald Trump parece estar vinculado a capitales oscuros relacionados con el Kremlin desde hace mucho tiempo y que él habría canalizado mediante negocios inmobiliarios.

    Trump y el blanqueo de capitales

    Tal vez Zuckerberg esté de alguna forma entrampado, o metido en un lío que no ha podido o sabido evitar pero que él no ha creado. No parece la clase de persona que busque este tipo de problemas. Tal vez los responsables sean Jared Kushner (marido de Ivanka), el propio Donald Trump, su asesor Peter Thiel (muy vinculado a Facebook y creador de Palantir) y Robert Mercer quienes, o bien habrían convencido a Zuckerberg para que no interfiriera o bien le habrían engañado acerca de los propósitos de Cambridge Analytica.

  • #011
    Gorki - 20 abril 2018 - 11:00

    Ese es el problema. Basta con colocar la residencia legal de una empresa en Internet, en por ejemplo la Isla de Santo Tome, para que tu empresa haga legalmente todo lo que se permita legalmente en las Isla de Santo Tomé. Si ahí no hay derecho a la intimidad, cualquiera que, (voluntariamente), utilice los servicios de esa empresa, pierde su derecho a su intimidad, lo que publique en Internet será público.

  • #012
    Gorki - 20 abril 2018 - 11:17

    Pese a lo que pretenda la Union Europea, No pueden lmultar a una empresa que no tiene residencia en su territorio, porque esa empresa no tiene que cumplir con sus leyes territoriales por mucho que sus clientes si sean de ese territorio.

    Pongo un ejemplo- El alcohol es de venta legal en unos países si y otros no, Una empresa radicada en España puede vender libremente vino por Internet, pues en España es legal tal comercio, si un clmarroqu´quiere comprar vino puede pedirlo a la empresa de española. El alcohol esta prohibido en Marruecos, por tanto el Gobiernno marroquí, puede tratar de interceptar esa botella antes de que llegue a su destino, o incluso sancionar al comprador, pero nunca puede multar a la empresa española.

    Analogamente si Faceoo decide no cumplir con la GDPR el Union europea puede interceptar los mensajes que van o vienen a Facebook, o incluso sancionar a quien utilice ese servicio, pero nunca sancionar a Facebook.

    El primer problema es que el ciudadano europeo quiere libremente conectar a Facebbok por tanto el cortar las comunicaciones sería considerado fuera de lugar como prohibir Telegram y en el segundo caso es que buena forma es tratar de proteger a un ciudadano, si se le sanciona por dejarse robar sus datos.

    Sinceramente no se como va a poder aplicar la UE el reglamento de la GDPR en datos situados fuera de la UE, Y si así, es basta que una empresa copie los datos de sus clientes fuera de la UE, para hacer aquí lo que la manden y fuera lo que la parezca.

    • MANUEL - 21 abril 2018 - 19:15

      Creo que te equivocas, el Departamento de Justicia de EEUU a multado a empresas europeas (Alstom) por malas prácticas en Asia y Oriente Medio. La UE puede perseguir malas prácticas que perjudican a ciudadanos de la UE en cualquier sitio. Tarde o temprano tendrá ocasión de sancionarlas.

  • #014
    Sibel - 25 abril 2018 - 01:21

    Me gusta como es que te expresas. Tienes un buen contenido respecto a tu opinión y conocimiento.!

Dejar un Comentario

Los comentarios están cerrados