Datos personales y su impacto en elecciones (Parte 1): Cambridge Analytica y el uso no autorizado de datos personales de Facebook
Antes del 2018 ya sabíamos que la tecnología había avanzado hasta el punto de poder crear algoritmos que permiten personalizar mensajes publicitarios según las preferencias del cliente.
Si un cliente compra por ejemplo el producto X online, la empresa puede hacer recomendaciones futuras al cliente basándose en su historial online de compras o de búsquedas.
Sin embargo, ha sido con el escándalo de Cambridge Analytica en marzo del 2018 cuando hemos visto cómo el uso de los datos personales para predecir el comportamiento de las personas y hasta cierto punto influir en sus decisiones, puede utilizarse en un terreno que ya no es comercial, sino político. Con repercusiones reales y duraderas.
Esto hace más necesario que nunca proteger los intereses de los titulares de datos personales ante el uso que ciertas empresas pueden hacer de ellos.
A la vista de la importancia de lo comentado, he querido comenzar este post por dos razones:
(1) Se trata de un tema que, por la época de híper-conectividad a las redes sociales en la que vivimos, es importante entender, y
(2) La Information Commissioner’s Office del Reino Unido con fechas 6 de julio y 24 de octubre de 2018 emitió su primer aviso de posible sanción bajo la normativa del RGPD a la empresa Aggregate IQ Data Services Ltd, presuntamente ligada a la matriz de Cambridge Analytica.
Debido a la extensión del post, éste consistirá en cuatro partes que se irán publicando a lo largo del mes de noviembre.
1. Strategic Communication Laboratories (SCL) y Cambridge Analytica
En marzo de 2018 tuvo lugar el escándalo de Cambridge Analytica sobre su uso no autorizado de los datos en Facebook de 87 millones de usuarios de distintos países para influir en las elecciones presidenciales de EEUU de 2016.
Christopher Wylie, ex empleado de Cambridge Analytica, fue el que denunció esta actividad.
¿Qué era Cambridge Analytica Ltd?
Cambridge Analytica era una empresa británica que combinaba la recolección y el análisis de datos con la comunicación estratégica para procesos electorales.
La empresa fue creada en 2013 como una rama de la matriz Strategic Communication Laboratories (SCL), para la creación de campañas publicitarias y políticas.
Como consecuencia del escándalo de Facebook-Cambridge Analytica, la empresa anunció su disolución en mayo de 2018.
¿Qué era Strategic Communication Laboratories (SCL)?
SCL era una empresa británica de investigación del comportamiento y de comunicación estratégica fundada en 1990. Strategic Communication Laboratories (SCL) era la matriz de Cambridge Analytica.
SCL llevaba a cabo recolección y análisis de datos personales del público. Los resultados servían para segmentar grupos específicos de personas de entre el público y mandarles comunicaciones hechas a medida para influir en su comportamiento en función de los deseos de los clientes de SCL.
En mayo de 2018, SCL anunció su disolución por el escándalo de Facebook-Cambridge Analytica.
2. El Dr. Aleksandr Kogan y el uso no autorizado de datos personales de Facebook.
La Information Commissioner’s Office del Reino Unido publicó un informe interino sobre la investigación del “Uso de análisis de datos en campañas políticas” (el “Informe”), con fecha 11 de Julio de 2018.
Según el Informe, se está investigando la alegación de que el Dr. Aleksander Kogan, un investigador externo a Cambridge Analytica, desarrolló una aplicación denominada ‘thisisyourdigitallife’ que entre el 2014 y el 2015, recolectó los datos de 87 millones de usuarios de Facebook a nivel mundial.
Facebook ha indicado que entre los afectados hay 1.079.031 británicos, 309.815 alemanes, 214.134 italianos, 211.667 franceses y 136.985 españoles.
¿Cómo fue exactamente el proceso de recolección de datos de Facebook?:
-
Cambridge Analytica y Kogan pagaron a 320.000 estadounidenses usuarios de Facebook para hacer un test de personalidad a través de la aplicación ‘thisisyourdigitallife’.
-
Para hacer el test, los usuarios tenían que conectarse con su cuenta de Facebook.
-
El test recogía información de la personalidad de los usuarios a través de sus respuestas. Asimismo, al ser necesario conectarse a Facebook para hacer el test, la aplicación también accedía a la información personal de las cuentas de Facebook de los usuarios.Concretamente: nombre, sexo, fecha de nacimiento, fotografías en las que aparecían etiquetados, mensajes de Facebook, posts que habían publicado, ciudad en la que vivían, páginas a las que le habían dado a “like”, las noticias que aparecían en su “feed”, lista de amigos, y direcciones de correo electrónico.
-
La aplicación también pedía permiso a los usuarios para acceder a la información de sus amigos de Facebook. Concretamente: nombre, sexo, fotografías en las que aparecían etiquetados, ciudad en la que vivían, las páginas de Facebook a las que le habían dado a “like” y su fecha de nacimiento.
-
Toda la información captada a través de los puntos 3 y 4, alcanzó a un total aproximado de 87 millones de cuentas de Facebook. De esos 87 millones de cuentas, se extrajeron 30 millones de cuentas pertenecientes a votantes estadounidenses.
-
La información captada a través de los test de personalidad mencionados en el punto 1 fue analizada a través del sistema OCEAN (Openness, Concientiousness, Extraversion, Agreeableness y Neuroticism), para averiguar el tipo de personalidad de los usuarios, y calcular qué tipo de personalidad tiende a apoyar determinados temas.
-
Los datos obtenidos del análisis OCEAN de los 320.000 usuarios que hicieron el test de personalidad se machearon con el perfil de Facebook de los 30 millones de votantes estadounidenses mencionados en el punto 5, con el fin de correlacionar patrones psicológicos de conducta unidos al sistema OCEAN y situar a los 30 millones de usuarios en alguna de las cinco categorías OCEAN.
-
Esta información fue utilizada posteriormente para mandar mensajes personalizados a los usuarios en función de su personalidad con el fin de influir en su comportamiento durante las elecciones presidenciales de EEUU de 2016.
Al comenzar a usar Facebook como plataforma para su aplicación, Kogan explicó a Facebook que la finalidad de la recolección de datos personales era para fines académicos. Sin embargo, según el Informe, Kogan compartió datos con SCL hasta en cuatro ocasiones para fines comerciales.
La Investigación también tiene pruebas de que Kogan compartió datos con otras empresas, como por ejemplo la empresa americana Euonia Technologies y la Universidad de Cambridge.
Infracciones de la normativa de protección de datos anterior al RGPD:
Según el Informe, los usuarios de ‘thisisyourdigitallife’ aceptaron los términos y condiciones de la aplicación y dieron permiso a la misma para acceder a sus datos personales de Facebook y a los datos de sus amigos.
Sin embargo, el consentimiento no fue válido en la medida en que no fue suficientemente informado, dado que no se aclaró que los datos personales podían ser vendidos a terceros, y tampoco para qué finalidad.
Asimismo, no se respetaron las limitaciones de Facebook en cuanto a la finalidad del tratamiento de los datos, que no se extendía a una finalidad comercial, sino únicamente a mejorar la experiencia de los usuarios de Facebook.
Consecuencias del escándalo de Cambridge Analytica:
El 23 de marzo de 2018, la Information Commissioner’s Office del Reino Unido realizó una redada en las oficinas de Cambridge Analytica y de SCL, en donde se incautó numerosa evidencia que a la fecha del Informe (11 de julio 2018) todavía continúa siendo analizada.
Tanto Cambridge Analytica como SCL iniciaron el proceso de su disolución en mayo del 2018. No obstante, muchos de los empleados de estas dos empresas se han refugiado en Emerdata Ltd, una empresa británica creada en agosto de 2017 por el presidente de SCL, cuya sede se encuentra casualmente en el mismo edificio donde tenía su sede Cambridge Analytica.
El Informe deja claro que la investigación continuará pese al proceso de disolución anunciado por ambas empresas y dice literalmente que “El hecho de que una empresa se encuentre en proceso de disolución no evitará que la Information Commissioner’s Office acabe imponiendo en la medida de lo posible, una sanción apropiada”.
Por su parte, Facebook ha entonado públicamente en Europa, EEUU y Canadá el mea culpa por sus fallos de gestión de la plataforma, y también ha prometido que tomará medidas para reforzar sus procesos y sistemas con el fin de evitar que se vuelva a usar de forma no autorizada los datos personales de sus usuarios. El tiempo dirá si estas medidas funcionan.
Por último, en abril de 2018 se interpuso ante el Tribunal de Delaware (EEUU) una demanda colectiva contra Facebook, Cambridge Analytica, SCL y una cuarta empresa por el uso no autorizado de los datos personales de millones de usuarios de Facebook. En caso de que Facebook fuera declarada culpable, tendría que pagar una multa aproximada de 70.000 millones de dólares.
Próximo Post:
En el próximo post, veremos la presunta relación entre Strategic Communication Laboratories (SCL) y Cambridge Analytica con la empresa Aggregate IQ Data Services Ltd, y su papel en las elecciones del Brexit en 2016.
______
Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.
Para más información sobre abc Compliance, pulse aquí.
Comentarios