Max Schrems, el abogado y activista que puso en jaque a Meta tras multa de US$ 1.300 millones por no cumplir estándares de privacidad

Un abogado civil contra decenas de expertos, Meta y políticas intercontinentales; los resultados de la explosiva revelación de Edward Snowden; dos victorias en cortes internacionales contra la empresa fundada por Mark Zuckerberg; y una multa multimillonaria al gigante tecnológico. Estos son solo algunos de los condimentos de la historia de Max Schrems, abogado y activista austriaco que, a todas luces, se podría presentar como la de David contra Goliat tras asestar un duro golpe a Meta.

A través de una carrera de años dedicada al activismo sobre derechos digitales, Schrems logró que la Comisión de Protección de Datos (CPD) de Irlanda impusiera este lunes una multa de 1.300 millones de dólares en contra de la empresa dueña de Facebook e Instagram por continuar transfiriendo datos de ciudadanos europeos hacia Estados Unidos, pese a la existencia de un fallo de la Unión Europea de 2020 -impulsado por el propio abogado- que lo prohibía.

Con esto, Meta se convirtió en la compañía con la mayor multa en la historia del rubro tras el inicio de régimen de privacidad de datos implementado hace cinco años por la UE, superando los más de 800 millones de dólares que Luxemburgo obligó a pagar a Amazon.com en 2021. Pero detrás del récord está la historia de un hombre que puso en jaque dos acuerdos intercontinentales de transferencia de datos, nada menos que entre la Unión Europea y Estados Unidos.

Max Schrems, nacido en 1987 en Austria, llevaba un semestre cursado de derecho en la Universidad de Santa Clara, en Silicon Valley, cuando escuchó a los abogados de Facebook y Amazon reclamando por las estrictas políticas de privacidad plasmadas en las leyes europeas. Sin embargo, también se ufanaban de que “las multas eran tan irrisorias y los beneficios tan suculentos que compensaba saltárselas”, relató años atrás El País.

De 23 años por ese entonces, el joven estudiante no esperó cuando regresó a Viena para solicitar sus datos personales en manos de la empresa fundada y dirigida por Mark Zuckerberg, en ese tiempo simplemente Facebook. Las leyes europeas de ese entonces ya permitían dicha interacción. La respuesta llegó en forma de CD, con 1.200 páginas que incluían toda su información personal de entre 2008 y 2011. En medio de los documentos, Schrems se percató que la red social sabía que era homosexual, pese a que nunca lo explicitó en la plataforma.

“Mucho de lo que pasa en las redes -el análisis de tus gustos, tus amistades, tus ideas- sucede sin que hagas nada. En mi caso, por ejemplo, nunca hablé de mi orientación sexual en Facebook, pero aun así, al ver que muchos de mis amigos eran homosexuales, dedujo que yo también lo soy”, dijo a El País en una entrevista en 2021.

De ahí en más, el abogado inició una cruzada que lo llevó a hacer caer dos acuerdos intercontinentales en menos de 10 años, precisamente por violar la privacidad digital de los usuarios europeos. Al principio no tuvo tanto éxito como hoy, considerando que presentó 22 demandas ante las autoridades de protección de datos de Irlanda, nación en que Facebook (y Meta, actualmente) tienen su domicilio en Europa. No hubo victorias judiciales y, según él, “si hubieran hecho algo, el escándalo de Cambridge Analytica no habría ocurrido”, dijo al mismo medio español. Pero su historia llegó a periódicos de todo el mundo, y lentamente se inició una cruzada que ya lleva 10 años impulsando.

“Dos o tres semanas después me llamaron de Facebook: querían verse conmigo. El proceso había salido en todos los periódicos. No me lo esperaba, sinceramente, y a veces me pregunto si hubiera hecho lo mismo sabiendo hasta dónde iba a llegar el asunto”, comentó a El País.

Quienes sí pusieron atención al debate fueron quienes discutieron el Reglamento General de Protección de Datos (RGPD), política que desde 2018 rige el consentimiento informático de los ciudadanos europeos, exigiendo, entre otras cosas, pedir a los usuarios su visto bueno antes de utilizar sus datos. De hecho, la excomisaria europea de Justicia, Derechos Fundamentales y Ciudadanía, Viviane Reading, reconoció a The New York Times que el caso de Schrems había, en parte, motivado la medida.

Antes de que esta fuera aprobada, la cruzada del activista ya había cruzado fronteras continentales. Para 2013, mientras terminaba su carrera de abogado, interpuso una denuncia basada en la revelación del consultor tecnológico norteamericano Edward Snowden sobre la utilización de datos de europeos por parte de agencias de inteligencia estadounidenses a través del programa PRISM. Dos años después, en 2015, la máxima autoridad judicial del Viejo Continente, el Tribunal de Justicia de la Unión Europea (TJUE), le dio la razón, invalidando el tratado Safe Harbour (puerto seguro), consignó El Diario.

Sus batallas contra gigantes le permitieron fundar una ONG llamada NOYB, acrónimo de None of Your Business, o “No es asunto tuyo”, en español. “En un mundo ideal no existiríamos, pero ahora mismo el gran problema que tenemos en Europa no son las leyes, sino hacer que se cumplan. Las autoridades no tienen el dinero, la capacidad o el personal para hacerlas cumplir, y sobre todo les falta la voluntad para que eso suceda”, dijo a El País tras ser consultado si no la parece que su labor la deberían hacer los propios políticos.

“Una de las cuestiones que más me atraen de todo esto es que, aunque siempre hemos sabido que algo raro sucede en nuestros teléfonos, se daba por supuesto que el derecho a la privacidad no se defendía porque no era relevante. Decir que no necesitas privacidad porque no tienes nada que esconder, es como sostener que no necesitas la libertad de expresión porque no tienes nada que decir”, agregó.

Tras el fracaso del primer acuerdo, tanto Washington como Bruselas se lanzaron a buscar un segundo trato que permitiera y blindara la transferencia de datos personales entre ambas regiones, lo que, según El Diario, es un punto de tope fundamental para los negocios de numerosas empresas europeas. La preocupación era tal, que el medio Fortune presentó a Schrems como “la némesis de Facebook”.

Así surgía la segunda propuesta, bautizada como Privacy Shield (escudo de privacidad) y lanzada a la vida pública en 2016. Bastaron unos cuantos años para que una nueva demanda, bajo términos muy similares a la anterior, derribaran por segunda vez un acuerdo entre los dos bloques. En 2020, el TJUE hizo caer la política argumentando que las leyes estadounidenses permitían a sus agencias de seguridad acceder a bases de datos de las compañías tecnológicas, lo que viola los derechos de los ciudadanos europeos, detalló el diario.

El fallo fue un duro golpe a las aspiraciones de Meta, que incluso amenazó con retirar a Facebook e Instagram de suelo europeo por los efectos que la decisión judicial podía traer a la compañía y a otras del rubro, afirmaron en aquel entonces.

“Llevo 10 años estudiando y litigando con Facebook y todavía no entiendo del todo cómo funciona. No podemos pretender que una chica de 18 años comprenda exactamente qué implica usar Facebook, es absurdo. Nadie se lee las condiciones de privacidad”, planteó en El País.

Fue basándose en el último fallo, el de 2020, que la Comisión de Protección de Datos (CPD) de Irlanda emitió la multa récord de 1.200 millones de euros equivalentes a 1.300 millones de dólares. El organismo argumentó que Meta incumplió del Reglamento General de Protección de Datos (RGPD) del bloque, forzando además a, en un plazo de cinco meses, suspender la transferencia de datos de los usuarios de Facebook, mas no para Instagram y WhatsApp.

También dio seis meses para que la empresa de Mark Zuckerberg detenga “el tratamiento ilegal, incluido el almacenamiento, en Estados Unidos” de los datos personales de ciudadanos europeos que ya fueron transferidos al país norteamericano, detalló el fallo. Con esto, deberán ser eliminados todos esos datos almacenados en los servidores de Facebook.

Desde la empresa aseguraron que apelarán a la medida. “Estamos... decepcionados por haber sido señalados cuando utilizamos el mismo mecanismo legal que miles de otras empresas que quieren prestar servicios en Europa”, escribieron este lunes en un comunicado Nick Clegg, presidente de asuntos globales de Meta, y Jennifer Newstead, directora jurídica de Meta. “Esta decisión es errónea, injustificada y sienta un peligroso precedente para las innumerables empresas que transfieren datos entre la UE y Estados Unidos”, agregaron en su mensaje.

Pero para Mark Deem, socio del bufete británico Wiggin, la decisión y la abultada cifra de la multa servirá como una advertencia a otras empresas que transfieran datos desde la UE hacia otras regiones, dijo a The Guardian. “Uno de los propósitos de la cifra es servir de advertencia a otras empresas sobre cómo gestionan las transferencias internacionales de datos”, declaró al respecto.