Galetes de tercers

El pioner que va llegir els termes de privacitat de Facebook

La història comença amb Maximilian Schrems, un jove de 23 anys que va fer quelcom gairebé impensable: es va llegir completament els termes i condicions de privacitat de Facebook. Mentre milions d'usuaris accepten sense llegir, el Max va decidir exercir realment els seus drets de privacitat i va demanar a Facebook que li revelés tota la informació que tenien sobre ell. Facebook li va enviar una carpeta de 200 pàgines amb dades extraordinàriament detallades. El que més va sorprendre Marc és que una persona que només usava Facebook una vegada per setmana durant deu anys, sense publicar res, podia tenir tanta informació recopilada. El tio es va adonar que si la mateixa petició la feien usuaris més actius, rebrien "totxos" de milers de pàgines. Això va marcar el principi d'una batalla legal que transformaria la privacitat digital a Europa.

La privacitat europera: una directriu que canvia les regles del joc

Arran de les investigacions de Schrems, Europa va revocar el 2020 el "Privacy Shield", un acord que permetia transferir dades europees als Estats Units. La raó fonamental era que als EUA existeix la clàusula S702 que permet a l'NSA accedir a dades de ciutadans europeus sense restriccions. Marc explica que la Unió Europea ha establert una règia clara: les dades de ciutadans europeus generades a Europa no poden sortir d'Europa. Tot i que Marc admet que no entén completament els detalls tècnics de com es fa aquesta segregació de dades (si és mitjançant dashboards separats o altres mecanismes), la realitat és que aquesta legislació es va manifestar puntualment el 2020 amb países implementant restriccions. Àlex afegeix que des del punt de vista de l'administració pública, té sentit auditar on estan les dades, ja que existeixen productes alternatives que ofereixen transparència total sobre la ubicació física de la informació.

Google Analytics es torna il·legal a Europa

La situació ha evolucionat de manera accelerada. Àustria i França van prohibir Google Analytics el 2021, considerant que infraeix la regulació de privacitat. Però el punt culminant va arribar quan Dinamarca, el 2022, va prohibir a un ajuntament l'ús de Google Workspace, cosa que significa que els treballadors públics no podien ni fer servir Google Docs. Marc ho descriu com "heavy" perquè infraestructures tecnològiques senceres s'han de replantejar si les empreses volen fer negocis amb administracions públiques europees. Àlex apunta que hi ha companyies europees que han descartsat productes de gegants tecnològics específicament per manca de control sobre on estan les seves dades. Una startup barcelonesa famosa ha hagut de distribuir les seves dades per diverses zones geogràfiques perquè els seus clients europeus exigien tenir les dades a Europa.

El GDPR i la LOPD: legislacions que la majoria ignora

Durant la recerca, Marc es va assabentar que GDPR significa "General Data Protection Regulation". Explica que el GDPR és una legislació anterior que regula la privacitat, però que el control de transferència de dades és posterior. Marc està convençut que la majoria de petites empreses (menys de 50 empleats) no compleixen el GDPR ni la LOPD. Quan un entrepreneur crea una empresa, generalment vol estabelir un mecanisme perquè la gent es registri en una base de dades (com una newsletter), però rarament es registra això formalment a l'Agència de Protecció de Dades. Marc comparteix que en MarsBased ho tenen al dia només perquè les grans corporacions ho demanen quan fan processos d'homologació. Si treballes per HP, Ford o el Barça, ells requereixen que els teus contractors estiguin conformes amb GDPR. Els riscos son reals: si un contractista menor commet una fuga de dades, les corporacions grans carreguen amb el stigma públic, tot i que jurídicament la culpa sigui del proveïdor més petit.

L'analogia del botiguer: cookies de tercers i vigilància digital

Marc presenta una analogia brillant per explicar per què els cookies de tercers són problemàtics. Imagina anar a una sabateria i que el venedor et coneix, aprèn sobre tu, i potser te fa recomanacions. Fins aquí, tot bé. Però la situació digital és equivalent a que no només el venedor del costat també sapigui tot sobre tu, sinó que hi hagi un "super botiguer omnipotent" que sap informació sobre tu de tots els botiguers. Això seria completament inacceptable en el món físic, però en Internet és la norma. Marc es va dedicar a rebutjar tots els cookies de tercers i considera que es tracta d'un dret fonamental exercir aquest control. Àlex añade una complicació: que la configuració dels cookies no està estandarditzada, i mentre alguns llocs fan fàcil dir "no a tot", altres fan extremadament difícil rebutjar-los, obligant els usuaris per comoditat a acceptar-ho tot.

Adblockers, Pi-Hole i la cerca de la neteja digital

Els nois analitzen les eines disponibles per protegir la privacitat. Àlex fa servir Brave com a navegador i AdGuard com a bloqueador addicional, havent bloquejat més de 2 milions de trackers en un any. Marc ha muntat un Pi-Hole a casa seva, que és un projecte de Raspberry Pi open source extremadament potent però complicat de configurar, especialment quan es viatja (requeria VPN). El dilema és que la majoria d'adblockers gratis, com uBlock Origin, utilitzen models de negoci dubidosos: permeten que certs anunciants paguin per passar els seus filtres (Fair Usage Advertisement). La solució més pura és l'open source, però fins i tot això planteja interrogants sobre qui es beneficia de la vigilància.

L'advertència de la privacitat alemanya i el cost de les dades personals

Marc explora com Alemanya sempre ha mostrat reticència a compartir dades. Els alemanys van ser els primers a demanar tapar cares i matrícula de cotxes a Google Street View. A més, els alemanys eviten les targetes de crèdit perquè volen preservar privacitat: una targeta de crèdit revela on has estat, on has comprat, quan, en quin país... Això representa una fuga massiva de dades personals. Marc comparteix que és més conscient d'aquesta vulnerabilitat: si hi ha un data leak de Mastercard o dels bancs, aquesta informació dels teus moviments es pot usar en contra teva. La conclusió és que la privacitat no és sobre "no tenir res a amagar", sinó sobre mantenir control sobre qui sap què sobre tu i qui pot accedir a les dades que gens a gens s'acumulen.

Internet necessita solucions, però ningú vol destruir la publicitat

Marc expressa la seva frustració amb la publicitat en Internet i somia amb una empresa que cargue contra tot el sistema d'anuncis, però reconeix (com fa Àlex) que és impossible. La publicitat és el model de negoci fonamental d'Internet perquè escala requereix gratis, i una vegada tens usuaris gratis, la manera més eficient de monetitzar és publicitat. Els gegants (Facebook, YouTube, Twitter) funcionen totalment sobre publicitat. Però, observa Àlex, hi ha un emergent model de "passion economy" o "economia del creador" on nínxols petits de contingut es monetitzen directament amb subscripcions dels usuaris interessats, sense intermediaris publicitaris. Aquests models no necessàriament porten anuncis, però mai aconseguiran l'escala de les plataformes masives. La conclusió és que mentre la privacitat es millora legislativament a Europa, la realitat és que la publicitat seguirà sent el motor del negoci digital global.