No parece un asunto que se quede únicamente en la curiosidad ilustrativa que siendo como es el Reglamento General de Protección de Datos (RGPD) vigente en el espacio de la Unión Europea un sofisticado vehículo legislativo, contemplado por la mayoría de la ciudadanía informada como una ley para la salvaguarda de la privacidad, resulte que no menciona ni una sola vez, ni en su preámbulo ni en su parte dispositiva, el término “privacidad”. Si acaso puede encontrarse en una nota a pie de página, para hacer una referencia a la Directiva Europea 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas.

El RGPD, como bien recalca su parte propositiva, está dedicado y enfocado a proteger, de usos indebidos o no autorizados, el dato asociado con cualquier persona física. No abarca únicamente los datos digitales, sino cualquier tipo de dato personal recogido, almacenado o tratado para convertirlo en información, amén de que el reglamento ha sido dotado de una estructura y de una intención dirigidas a cubrir la libre circulación de datos dentro de los límites jurisdiccionales de una suerte de ciberespacio europeo. No obstante, no tiene a la privacidad en su objeto regulatorio. Y esta ausencia podría ser jurídicamente eficiente si el RGPD hubiera llegado para ser complementario a la Directiva 2002/58/CE, pero no es así: la Directiva es un corpus menor dirigido a obligar a operadores tecnológicos y de servicios a mantener la seguridad y confidencialidad de los datos que obtienen y procesan; mientras el RGPD acaba siendo, de hecho, el responsable de que todos nos encontremos una y otra vez con autorizaciones de protección de la privacidad que tenemos que otorgar a los servicios digitales y webs de todo tipo que llenan nuestro día a día en Internet. Es como si el RGPD estuviera llamado a regular la privacidad digital sin siquiera tenerla en cuenta. Esto es una desconcertante anomalía.

En efecto, la experiencia cotidiana en el terreno práctico de la navegación en el ciberespacio respecto de las regulaciones del RGPD nos sugiere que el reglamento europeo es muy útil para proteger el dato de las personas físicas, y lo es mucho menos cuando se trata de la salvaguarda de la privacidad digital, en su sentido más finalista, de esas mismas personas. El ejemplo perfecto de esta desarmonización del RGPD es WhatsApp, en concreto su polémica última actualización de política de privacidad en vigor desde el 7 de enero de 2021.

Resumiendo mucho, las nuevas condiciones de servicio de WhatsApp para sus dos mil millones de usuarios en el mundo, a quienes obliga a aceptarlas o a abandonar el servicio (con lo que eso supondría para miles de millones de contactos personales ya adictos al WhatsApp), implican que Whatsapp puede compartir metadatos de conexión con su matriz Facebook, cruzándose pues la información sobre los usuarios (y sus contactos) que atesoran ambas plataformas, sumando Facebook 2.7 mil millones de inscritos en el mundo. Este cambio no afecta, sin embargo, a los países de la Unión Europea, donde la RGPD actúa para impedir a WhatsApp cederle datos personales a Facebook. La información a la que, respecto de usuarios con contratos digitales subscritos con WhatsApp fuera del espacio europeo, accederá Facebook incluyen el número de teléfono del usuario, metadatos sobre interacción con otros usuarios, dirección IP, datos de configuración del dispositivo utilizado.

Cuando se producen modificaciones de las condiciones de servicio y/o de privacidad de cualquier plataforma de servicios digitales sociales en red del alcance planetario que tienen Facebook o WhatsApp, o de otros operadores como Google, las dos preocupaciones centrales que subyacen entre las inquietudes de usuarios y expertos son 1) si la empresa que presta el servicio es capaz de leer y compartir nuestros contenidos personales; 2) si con la información que estas empresas recopilan, y comparten entre sí y con otros, son capaces de elaborar un perfil personal sobre nosotros, sobre cada usuario individual, perfil conteniendo gustos, inclinaciones, intenciones, incluso sobre nuestra personalidad.

La RGPD es sofisticada en este punto, y obliga a los responsables de recogida y tratamiento de datos personales a obtener consentimiento informado de sus usuarios para proceder a cualquier utilización de esos datos en la elaboración de perfiles con los fines que sean.

En lo tocante a la confidencialidad de los contenidos personales compartidos en privado diariamente entre miles millones de usuarios a través de WhatsApp, por ejemplo, esta empresa es tajante en su política de privacidad: asegura que el cifrado extremo-a-extremo de su aplicación impide que los contenidos sean <<leídos ni por nosotros (WhatsApp) ni por terceros>>; y afirma que los mensajes no se conservan en los servidores de WhatsApp en cualquier caso más allá de 30 días, quedando almacenados únicamente en los teléfonos de cada usuario individual.

Las preguntas ante estas aseveraciones, que son similares en numerosas políticas de privacidad de proveedores de servicios digitales, y que tienen la fuerza legal de cláusulas de un contrato cuando son aceptadas por el usuario, son inevitablemente las siguientes: aunque los mensajes privados de contenido personal no sean “leídos” por la empresa que proporciona el servicio, ¿el resto de datos que recopilan y comparten con otras empresas (entre WhatsApp y Facebook en un territorio extra-europeo como Latinoamérica), son suficientes para que el proveedor de servicios elabore perfiles personales de usuarios, que vendidos a otras empresas les sirvan para adoptar decisiones que afecten a las vidas de esos usuarios?; ¿la palabra “leídos” es equivalente a “tratados” o significa, literalmente, “leídos”?

Respecto de ambas cuestiones, cabe traer a colación el ejemplo de Gmail, el servicio de correo electrónico de Google. En ese servicio, los mensajes de los usuarios también están protegidos por cifrado, que en teoría limita al proveedor del servicio y a terceros acceder a la “lectura” de los mensajes individuales, privados, personales o profesionales (miles de empresas utilizan Gmail). Sin embargo, cualquier usuario de Gmail tiene la experiencia intuitiva de que las ads de publicidad que le aparecen en el navegador Chrome o en Google Search cuando busca por internet, no digamos nada de la publicidad asociada al propio Gmail, guardan una estrecha relación con lo hablado por el usuario, supuestamente en privado, en mensajes de correo electrónico, como si “alguien” estuviera “leyendo” los mensajes para ofrecerle, en base a ellos, una publicidad personalizada. Entonces, ¿esos mensajes privados son “leídos” para que las ads publicitarias sean personalizadas en base a los contenidos de interés del individuo expresados en sus mensajes electrónicos privados, o es casualidad que la publicidad digital tenga tan alto grado de concordancia con lo que cada persona menciona en sus mensajes privados? Pues podrían ser ambas cosas: ni es casualidad, ni los mensajes son literalmente “leídos”.

En realidad, responder a las interrogantes sobre en qué punto -si lo hubiera- de la secuencia de procesamiento de información privada por parte del software de un proveedor de servicios digitales como WhatsApp o Google (por poner dos ejemplos comunes, sin intención de señalar) ese proveedor pudiera tener hipotético acceso al contenido de esa información privada, es un intento bastante vano. Hasta donde sabemos, a pesar de la ingente cantidad de datos personales que manejan de la población mundial, ninguna de las grandes tecnológicas globales ha sido sometida a una auditoría de procesos de obtención y tratamiento de datos: es decir, no sabemos cómo funcionan internamente, más allá de lo que nos “aseguran” que hacen… y en este asunto de “asegurar”, el lenguaje utilizado en los contratos, como suele ocurrir, es clave.

No es necesario que ni WhatsApp ni otro operador accedan a “leer” los mensajes privados cifrados, así como tampoco es necesario ni leer ni almacenar contenidos privados en servidores, si no se hace “lectura”, sino procesamiento por inteligencia artificial automatizada de esos contenidos. Para que ese procesamiento sea posible, una de dos, o el mensaje privado es accedido por los algoritmos de inteligencia artificial antes de que sea cifrado, es decir, en el propio dispositivo personal del usuario; o el contenido privado es descifrado in itinere en los servidores del proveedor del servicio, lo que implicaría que el software automatizado de inteligencia artificial dispone de las claves de descifrado no para “leer”, sino para procesar automáticamente cada mensaje individual.

Por tanto, con lo que sabemos públicamente, no se puede afirmar contundentemente, pero sí hipotetizar con una cierta preocupación razonable, que el cifrado extremo-a-extremo de algunos servicios digitales de redes sociales privadas podría estar diseñado para que ningún otro actor, salvo el proveedor -y los conversadores involucrados, claro- tengan acceso al contenido de las conversaciones. El cifrado extremo-a-extremo podría -hipotéticamente- no ser un mecanismo de protección de privacidad de la persona, sino de la propiedad industrial de la empresa.

En cuanto al tema del perfilado personal de usuarios a partir de toda la información de actividad y de conexiones de esos propios usuarios, téngase en cuenta que, aun sin que un sistema automatizado “lea” el contenido de mensajes privados, los metadatos que las políticas de privacidad de los proveedores de servicios han sido autorizadas -por cada usuario individual- a recoger y analizar son tan ingentes en volumen y variados en morfología que abren la posibilidad de que modelos matemáticos de análisis de big data elaboren unos perfiles personales que revelen mucho sobre los intereses de cada individuo conectado a una o varias redes sociales. De entrada, es inmediato deducir que, con la información recopilada, Facebook puede elaborar un mapa de contactos personales integrado con WhatsApp de todos los usuarios individuales que tengan instaladas ambas plataformas en cualquier país de Latinoamérica, o en Estados Unidos; en base a las direcciones IP, podría segmentar esos mapas de contactos personales por áreas territoriales y, tal vez, por subgrupos de actividades profesionales. Además, podría ocurrir que usuarios de una misma malla de contactos recibieran en sus teléfonos o en sus computadores personales publicidad segmentada en función de los intereses de su propio grupo de contactos más íntimos y personales, desvelándose así para todos esos contactos, aunque sea indirectamente, algún interés muy privado de alguna de las personas conectadas a su misma red de amigos.

Todas estas operaciones que los proveedores de servicios sociales llevan a cabo con nuestros datos, con los datos de comportamiento digital de sus usuarios individuales, son, hasta que no se demuestre lo contrario, perfectamente legales y aceptadas en un contrato vinculante por cada persona que acceda a tales servicios. De hecho, al ser redes sociales “gratuitas”, el pago que los usuarios hacemos por utilizarlas es, precisamente, en especie, a través de los datos que cedemos.

Respecto del perfilado personal y social, los usuarios son informados genéricamente en sus contratos de que sus datos serán procesados, cedidos, y tratados automáticamente para “analizarlos” con fines comerciales o de mejora de producto, pero nada sobre lo que podrían denominarse obras derivadas, es decir, empaquetamientos secundarios de datos personales en modelos psicométricos, sociométricos o econométricos por partes interesadas a las que han sido cedidos o vendidos esos datos más allá del alcance jurídico del contrato original firmado por el usuario con su primer proveedor de servicios. A esas obras derivadas, modelos de análisis de big data cuya materia prima podrían ser datos en bruto procedentes de redes sociales, la RGPD no llega, puesto que está diseñada para proteger el dato personal en bruto, pero no la privacidad digital integral de la persona. Tampoco está pensada la RGPD para salvaguardar la que podríamos denominar “privacidad de grupo”: con un volumen suficiente de datos sobre un colectivo de personas, aunque sean anonimizados en lo individual, ¿puede llegarse a desvelar, aunque sea aproximadamente, mediante análisis estadístico, el perfil de un individuo concreto de ese colectivo? Por supuesto que sí. Ahora pensemos en el volumen de conjuntos de colectivos, es decir, mallas de contactos personales, sobre los que atesoran datos analizables los grandes proveedores de servicios digitales.