Por Natasha Singer del The New York Times en exclusiva para AM Guanajuato
Países Bajos.- En 2021, los consultores de privacidad que trabajaban para dos universidades neerlandesas emitieron un informe crítico sobre las aplicaciones educativas de Google, un conjunto de herramientas para el aula como Documentos de Google que son utilizadas por más de 170 millones de estudiantes y educadores en todo el mundo.
La auditoría advirtió que las herramientas de Google para las escuelas carecían de varias protecciones de privacidad —como límites estrictos sobre cómo la compañía podía usar los datos personales de los estudiantes y profesores— exigidas por las leyes europeas. Aunque la empresa abordó algunas de las preocupaciones, según dice el informe, Google se negó a cumplir con las solicitudes neerlandesas de reducir una serie de “altos riesgos” citados en la auditoría.
Se necesitó de una amenaza de la Autoridad Neerlandesa de Protección de Datos, el ente regulador de la privacidad de la nación, para resolver la negativa de la compañía: las escuelas neerlandesas pronto tendrían que dejar de utilizar las herramientas educativas de Google, declaró la agencia gubernamental, si los productos continuaban presentando esos riesgos.
Dos años después, Google ha desarrollado nuevas medidas de privacidad y herramientas de transparencia para abordar las inquietudes neerlandesas. El gigante tecnológico ahora planea implementar esos cambios a sus clientes educativos a finales de este año en los Países Bajos y otras partes del mundo.
El gobierno y las organizaciones educativas neerlandesas han tenido un éxito notable en obligar a las grandes empresas tecnológicas a realizar cambios importantes en materia de privacidad. Su estrategia de incentivos y amenazas hace que los ejecutivos de alto nivel de Silicon Valley se comprometan a meses de discusiones altamente técnicas y luego, los recompensa al negociar convenios colectivos que les permite a las compañías vender sus herramientas autorizadas a diferentes ministerios gubernamentales y escuelas del país. Además, los esfuerzos neerlandeses para impulsar cambios podrían proporcionarle un manual a otras naciones pequeñas que están en discusiones con las superpotencias tecnológicas.
Para algunas empresas tecnológicas de Estados Unidos, el visto bueno neerlandés se ha convertido ahora en un símbolo de estatus, una especie de sello de aprobación que le pueden mostrar a los reguladores de otros lugares para demostrarles que han superado uno de los procesos de cumplimiento de protección de datos más estrictos de Europa.
La manera en que los Países Bajos, un pequeño país con una población de alrededor de 17,8 millones de personas, llegó a influir en los gigantes tecnológicos de Estados Unidos es una historia al estilo de la de David y Goliat que involucra una ley trascendental llamada Reglamento General de Protección de Datos, que entró en vigor en 2018 por los Estados miembros de la Unión Europea.
Esa ley de la UE le exige a las compañías y otras organizaciones que minimicen su recopilación y uso de información personal. También obliga a las empresas, escuelas y otros a realizar auditorías, llamadas evaluaciones de impacto de la protección de datos, para ciertas prácticas, como el procesamiento de información personal confidencial, que podrían presentar altos riesgos de privacidad.
Pero las instituciones educativas y el gobierno central neerlandés han ido mucho más allá al encargar evaluaciones técnicas y legales detalladas de plataformas de software complejas como Microsoft Office y Google Workspace y asegurar una participación de alto nivel de las empresas en el proceso.
Tienen una estrategia centralizada que genera la capacidad de tener soluciones escalables”, afirmó Julie Brill, directora de privacidad de Microsoft. “Los Países Bajos siempre apuntan más alto”.
El año pasado, Zoom anunció cambios importantes en sus prácticas y políticas de protección de datos tras meses de intensas discusiones con SURF, una cooperativa en los Países Bajos que negocia contratos con proveedores de tecnología en nombre de universidades e instituciones de investigación neerlandesas.
Lynn Haaland, directora de privacidad de Zoom, afirmó que las conversaciones habían ayudado a la empresa de comunicaciones por video a comprender cómo mejorar sus productos para satisfacer los estándares europeos de protección de datos y “ser más transparentes con nuestros usuarios”.
Entre otras cosas, Zoom publicó un documento de 11 páginas que detalla cómo la compañía recopila y utiliza información personal sobre los usuarios que participan en reuniones y chats en su plataforma.
La experticia técnica neerlandesa ha ayudado a los auditores de privacidad a obtener información inusualmente detallada sobre cómo algunas de las compañías de software más importantes acumulan datos personales de cientos de millones de personas. También les ha permitido a los expertos neerlandeses denunciar a las empresas por prácticas que parecen violar las normas europeas.
Algunas importantes empresas de tecnología de Estados Unidos se resisten al principio, afirmó Sjoera Nas, asesora principal de Privacy Co., una consultora en La Haya que realiza las evaluaciones de riesgo de datos para el gobierno neerlandés y otras instituciones.
“Somos tan pequeños que, en principio, muchos proveedores de servicios de la nube nos miran, levantan una ceja y dicen: ‘¿Y qué? Ustedes son los Países Bajos. No importan’”, afirmó Nas, quien ayudó a liderar las negociaciones neerlandesas con Microsoft, Zoom y Google.
Pero luego, afirmó, las compañías empiezan a comprender que los equipos neerlandeses están negociando el cumplimiento de unas normas de protección de datos de los Países Bajos que también se aplican en toda la Unión Europea.
“Entonces, los proveedores de tecnología se dan cuenta de que no podrán brindar sus servicios a 450 millones de personas”, afirmó Nas.
La iniciativa neerlandesa comenzó a cobrar fuerza en 2018, después de que el Ministerio de Justicia y Seguridad del país encargara una auditoría de una versión empresarial de Microsoft Office. El informe concluyó que Microsoft recopiló sistemáticamente hasta 25.000 tipos de actividad de los usuarios, como cambios ortográficos y detalles del rendimiento del software de programas como PowerPoint, Word y Outlook sin proporcionar documentación ni darles a los administradores una opción para limitar esa recopilación de datos. En una publicación de blog en aquel momento, Nas, cuya empresa realizó la auditoría, describió los resultados como “alarmantes”.
El software de consumo generalmente recopila una gran cantidad de datos de uso y rendimiento de los dispositivos y los servicios en la nube de los usuarios, datos de diagnóstico que las empresas tecnológicas de Estados Unidos suelen emplear libremente para fines comerciales, como el desarrollo de nuevos servicios. Pero bajo las leyes de la UE, los datos de diagnóstico vinculados a un usuario identificable se consideran información personal, al igual que los correos electrónicos que envía una persona o las fotos que publica.
Eso significa que las empresas deben limitar su uso de datos personales de diagnóstico y proporcionarles a las personas copias de los mismos cuando lo soliciten. La auditoría neerlandesa reveló que Microsoft no había hecho esto.
Microsoft acordó abordar esos problemas. En 2019, la compañía presentó una nueva política de privacidad y transparencia para clientes de servicios de la nube en todo el mundo que incluyó “cambios solicitados por el Ministerio de Justicia neerlandés”, escribió Brill en una publicación de blog de la compañía. Microsoft también lanzó una herramienta de visualización de datos para permitirles a los clientes ver los “datos de diagnóstico sin procesar” que Office enviaba a la compañía.
Brill afirmó que las conversaciones con los neerlandeses ayudaron a Microsoft a adoptar los puntos de vista europeos sobre la protección de datos, un cambio en la cultura empresarial que, según ella, fue más significativo que los cambios en el software.
Comienza con la cultura y luego, con garantizar que el cambio cultural se manifieste en nuestros productos y nuestro software y, lo que es más importante, en la manera en la que le describimos a nuestros clientes lo que hacemos”, afirmó Brill.
Las iniciativas neerlandesas podrían proporcionar mejoras de privacidad para las escuelas en Estados Unidos y otros lugares, muchas de las cuales carecen de la experticia técnica interna para investigar de manera independiente cómo las plataformas complejas como Google recopilan y utilizan los datos de los estudiantes.
Sin embargo, los expertos neerlandeses en privacidad conciben su proceso de auditoría y negociación como parte de una estrategia mucho mayor de los países que intentan establecer su soberanía digital frente a las superpotencias tecnológicas de Estados Unidos.
Básicamente, estamos capturados por los gigantes tecnológicos”, afirmó Nas. “Estamos empezando a darnos cuenta de que la única manera de lidiar con esto es negociar con fuerza para que cumplan con los estándares europeos”.
Sjoera Nas, una consultora de privacidad neerlandesa que ayudó a liderar las negociaciones con Microsoft, Zoom y Google, en La Haya, Países Bajos, el 21 de diciembre de 2022. (Melissa Schriek/The New York Times)
Job Vos, funcionario de protección de datos de SIVON, una cooperativa de las escuelas neerlandesas que negocia contratos con proveedores de tecnología, en Zoetermeer, Países Bajos, el 19 de diciembre de 2022. (Melissa Schriek/The New York Times)
c.2023 The New York Times Company
HLL