Un documento interno -escrito por un ingeniero de privacidad de anuncios de la compañía- se ha filtrado y ha sido publicado por el portal Motherboard. En él se puede leer claramente cómo Facebook admite no poder cumplir con la legislación actual vigente en Europa (GDPR) a nivel fundamental, ya que ni siquiera tienen claro qué datos personales se tratan, cómo ni por qué.
El documento original ha sido reescrito por Motherboard para proteger la fuente y fue redactado en el 2021, pero de él se pueden extraer conceptos claros de cómo Facebook ha hecho saltar las alarmas internamente ya que temen por la continuidad del modelo de negocio actual.
Extracto traducido del documento:
No tenemos un nivel de control adecuado ni explicación de cómo usan los datos nuestros sistemas, por lo cual no podemos no podemos hacer cambios controlados confiables en nuestras políticas, o compromisos externos del tipo «No usaremos X datos para Y finalidad». Y pese a ello, esto es precísamente lo que los reguladores esperan que hagamos, aumentando nuestro riesgo de errores y tergiversación
Dicho de otra forma, los propios ingenieros de privacidad de Facebook admiten claramente que les cuesta tener claro y llevar un seguimiento de dónde van los datos personales una vez entran en sus sistemas. Internamente, se refieren a este problema como.
¿Qué incumple y qué admite exactamente Facebook?
El RGPD en su artículo 5.b especifica que los datos deben ser recogidos y tratados para fines específicos de los cuales debe tener constancia el interesado ANTES de otorgar el consentimiento (aunque en este caso, casi que podríamos llamarlo «afectado» más que «interesado»). Si Facebook no es capaz de explicar y justificar un tratamiento concreto, no tiene permitido realizar el tratamiento de dichos datos.
En el documento indica que sus anuncios se basan en más de 15 mil características y para poner un ejemplo, explica que para activar una sola característica de los anuncios se utilizan más de 6 mil tablas enlazadas entre ellas.
Como explicación, utilizan el siguiente concepto:
Durante más de una década hemos tenido un sistema de fronteras abiertas donde colaboradores individuales han formado parte de nuestra cultura. El resultado de este diseño se puede comparar a la siguiente analogía: Imagina que tienes una botella de tinta en tu mano y dicha tinta es el resultado de mezclar todo tipo de datos (3PD, 1PD, SCD, Europa, etc.). Si vuelcas esa tinta en un lago (nuestro sistema abierto), ¿cómo podrías volver a poner esa tinta en la botella? ¿cómo podrías organizar la tinta para que solo fluya en ciertas partes del lago?
Nota aclaratoria:
3PD significa «Third-party data», es decir, «datos de terceros»
1PD significa «First-party data», es decir, «datos del interesado»
SCD significa «Sensitive categories data», es decir, «categoría de datos sensibles»
Un ejemplo claro de incumplimiento fue, por ejemplo, cuando la red social te pedía el número de teléfono para proteger tu cuenta de accesos maliciosos, pero lo utilizaron para sugerirte a «Gente que quizás conozcas», cotejándolo con los contactos de la agenda de tu smartphone. Gizmodo denunció este hecho y Facebook tuvo que dejar de hacerlo por vulnerar la privacidad de los usuarios.
El documento aclara tres razones por las cuales NO se está cumpliendo con el RGPD:
Problemas principales:
1.- Falta de inversión > Política de anotación. No existen inversiones agresivas ni proporcionadas en torno a la Familia de Aplicaciones para insertar políticas a sus decenas de miles de orígenes de datos (por ejemplo, las APIS en WWW, las Tablas en Hive, etc.)
2.- Déficit tecnológico > Política de propagación. Incluso aunque las políticas sean incluidas, es necesario que sean manejadas a través de complejos operadores (uniones, insertados, concatenaciones, transformaciones, etc.). Esto es muy dificil a nivel tecnológico debido a las distintas clases de operadores que se utilizan habitualmente en nuestros flujos de anuncios. Al contrario que en la visión original, PPF no sería capaz de admitir la mayoría de tipos de operadores de anuncios, en ningún momento
3.- Carencia tecnológica > Cobertura del sistema. Las políticas necesitan ser cedidas de uno sistema de datos a otro, pasando por todo tipo de sistemas raíz sin ser expulsados (por ejemplo, www > thrift > scribe > hive > etc.). Hay más de 140 sistemas de procesamiento de datos (Tipos de Activos) e incluso para algunos de los principales, PPF no funcionará con ellos a partir del 2023.
Nota aclaratoria:
PPF significa «Purpose Policy Framework», es decir, «Marco de políticas de finalidades»
Resumido en castellano sencillo:
- No nos hemos preocupado en invertir para cumplir las regulaciones
- Nuestros sistemas de publicidad son tan invasivos que no podemos separar los datos
- No hemos querido hacer las cosas bien y todo está mezclado porque es más fácil y barato
Más adelante, Facebook explica que «decenas de miles de puntos de captación de datos NO controlados para sus anuncios a día de hoy». Comentan que planean migrar a un sistema donde tengan los datos más controlados «CDS o Curated Data Sources», pero no especifican una fecha.
También indican que actualmente tal y como está diseñado Facebook, es imposible separar los datos personales de los datos de anuncios, para lo cual tienen que migrar todo su sistema a otra plataforma correctamente diseñada, pero aun así, seguirían sin cumplir el RGPD:
Nota aclaratoria:
«WWW» no se refiere a la web de Facebook como tal, sino a todos los sistemas (internos y externos) que opera la plataforma y su código, que va desde la propia web, las aplicaciones de usuarios, las APIs, los sistemas publicitarios, mensajería, etc.