Resumen

  • El incidente de Cambridge Analytica no es solo un escándalo de privacidad; es un registro del control de la plataforma sobre quién podía conceder acceso, quién podía verificar la eliminación, quién podía notificar a los usuarios y quién podía detectar el uso indebido de datos políticos antes de que periodistas, reguladores y legisladores forzaran una rendición de cuentas pública.
  • Las fuentes públicas de la FTC, SEC, ICO, el Parlamento británico, las autoridades de privacidad canadienses, Facebook y los registros judiciales respaldan una clara distinción entre hallazgos confirmados, conclusiones de gobernanza basadas en evidencia y asuntos que siguen siendo desconocidos a partir de pruebas públicas.
  • La lección más contundente en materia de rendición de cuentas es que las reglas de la plataforma de aplicaciones son débiles cuando la aplicación depende principalmente de las promesas de los desarrolladores después de que los datos ya han abandonado el límite técnico de la plataforma.
  • Los registros públicos no prueban todos los usos posteriores de cada conjunto de datos de perfil, cada decisión de campaña, cada consideración interna de Facebook o cada daño individual; sin embargo, prueban que el diseño y la aplicación de los permisos de la plataforma se convirtieron en una superficie de control para los riesgos cívicos.

El caso comenzó dentro de un sistema de permisos

Facebook convirtió a Cambridge Analytica en una prueba para la rendición de cuentas de los datos de la plataforma porque el control central no consistía en una contraseña robada, un firewall vulnerado o una intrusión externa misteriosa. Los registros públicos describen una ruta de desarrollador a plataforma. Una aplicación de cuestionario de personalidad asociada con Aleksandr Kogan recopiló datos de las personas que la instalaron y, bajo el diseño de plataforma de Facebook en ese momento, también pudo obtener datos sobre los amigos de esos usuarios. La FTC describió posteriormente el asunto más amplio de privacidad de Facebook y el acuerdo enhttps://www.ftc.gov/news-events/news/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions-facebook, mientras que la queja presentada por la FTC enhttps://www.ftc.gov/system/files/documents/cases/182_3109_facebook_complaint_filed_7-24-19.pdfy la orden enhttps://www.ftc.gov/system/files/documents/cases/182_3109_facebook_order_filed_7-24-19.pdfhicieron permanente el registro de aplicación. Por lo tanto, la cuestión de la rendición de cuentas es práctica: ¿quién controlaba la arquitectura de permisos, quién supervisaba el cumplimiento de las políticas de desarrollador, quién verificaba que los datos no se compartieran y quién informaba a los usuarios cuando fallaba el límite?

La propia declaración de Facebook de marzo de 2018 enhttps://about.fb.com/news/2018/03/suspending-cambridge-analytica/dijo que la compañía había suspendido a Cambridge Analytica y otros después de enterarse de que los datos obtenidos a través de la aplicación de Kogan no habían sido eliminados como se certificó. Esta declaración es importante porque confirma varios hechos de control sin necesidad de especulación. Primero, Facebook tenía un límite de políticas de desarrollador. Segundo, Facebook confió en una certificación o confirmación de que los datos habían sido eliminados. Tercero, la compañía consideró posteriormente que la confirmación era insuficiente. Cuarto, la suspensión pública ocurrió años después del período de recopilación de datos de la aplicación y después de que la compañía ya había sido informada sobre el intercambio. El problema no era solo si existía una regla. Era si la regla era aplicable cuando los datos ya habían abandonado la plataforma.

El alcance se hizo público en la actualización de producto y privacidad de Facebook de abril de 2018 enhttps://about.fb.com/news/2018/04/restricting-data-access/, que indicó que la información de hasta 87 millones de personas podría haber sido compartida inapropiadamente con Cambridge Analytica. Esta declaración debe leerse con cuidado. No es evidencia de que cada una de esas personas sufriera la misma consecuencia, de que cada campo se usara en una campaña o de que exista una cadena causal completa de comportamiento electoral demostrable públicamente. Sin embargo, es una admisión a nivel de plataforma de que el sistema de permisos creó una exposición poblacional. Un usuario que nunca instaló el cuestionario aún podía ser parte de la ruta de datos porque un amigo lo hizo. Por lo tanto, el evento cae en una categoría diferente a las disputas ordinarias sobre consentimiento de aplicaciones.

El límite del desarrollador es importante porque el consentimiento y el control no coincidían. La persona que instala una aplicación puede tomar una decisión, por imperfecta que sea. Los amigos cuyos datos se volvieron accesibles a través de esa aplicación no tomaron una decisión específica de la aplicación. Facebook controlaba la arquitectura del producto que permitió ese flujo de datos, los términos de la aplicación que restringían a los desarrolladores y las herramientas de aplicación que podían detectar o sancionar el abuso.

Los usuarios no controlaban ni las decisiones comerciales del desarrollador posterior ni el mercado de datos políticos que luego hizo valiosos los datos. Cuando el control y la exposición se encuentran en lugares diferentes, la rendición de cuentas debe recaer en la parte que diseñó y operó la superficie de permisos.

Eso no significa que cada afirmación sobre el uso político hecha en el debate público estuviera probada. El registro es más sólido y más estrecho. Muestra que la plataforma de Facebook permitió la recopilación a gran escala, que los datos llegaron a Cambridge Analytica o partes afiliadas, que las promesas de eliminación fueron insuficientes, que los reguladores posteriormente encontraron fallas significativas de privacidad y divulgación, y que la legislación trató el caso como un problema de gobernanza democrática.

La tarea de la rendición de cuentas es separar estos puntos probados de afirmaciones no fundamentadas, al tiempo que se reconoce la gravedad de una regla de plataforma que no impidió la explotación de datos políticos posteriores.

Los registros regulatorios convirtieron la disculpa en evidencia

El acuerdo de la FTC es uno de los registros públicos centrales de rendición de cuentas porque vinculó el episodio de Cambridge Analytica con las obligaciones de privacidad más amplias de Facebook bajo una orden anterior de la FTC. El comunicado de prensa de la FTC dijo que Facebook pagaría una multa de 5 mil millones de dólares y aceptaría nuevas restricciones de privacidad. La orden hizo más que imponer un pago.

Exigió un programa de privacidad, obligaciones de certificación, estructuras a nivel de junta directiva, revisiones por parte de evaluadores independientes y controles que alejaron la gobernanza de la privacidad de la toma de decisiones informales de productos. Una multa por sí sola puede considerarse un costo de hacer negocios. Una orden de gobernanza es un intento de cambiar quién debe ver, certificar y responder por el riesgo.

El valor de la queja de la FTC no radica en que responda todas las preguntas históricas. Proporciona una descripción redactada por el regulador de presuntas tergiversaciones, fallas de control de privacidad y la forma en que el acceso de los desarrolladores interactuaba con la configuración del usuario. También se sitúa junto al registro de aplicación específico de Cambridge Analytica de la FTC, que incluye la medida y declaración de la FTC de diciembre de 2019 enhttps://www.ftc.gov/news-events/news/press-releases/2019/12/ftc-issues-opinion-order-against-cambridge-analytica-app-developer-aleksandr-kogany el expediente administrativo enhttps://www.ftc.gov/legal-library/browse/cases-proceedings/182-3107-cambridge-analytica-llc-matter. Estas fuentes ayudan a separar la responsabilidad de la plataforma de la responsabilidad de los actores posteriores. Facebook controlaba el límite de la plataforma. Kogan y Cambridge Analytica enfrentaron sus propios cargos y órdenes relacionados con cómo se recopilaron, representaron o utilizaron los datos.

El registro de la SEC agrega otra capa de rendición de cuentas. La SEC anunció cargos contra Facebook enhttps://www.sec.gov/news/press-release/2019-140y dijo que la compañía acordó pagar 100 millones de dólares para resolver las acusaciones de que sus divulgaciones públicas presentaron el uso indebido de datos de usuarios como un riesgo hipotético después de que la compañía conocía el uso indebido de Cambridge Analytica. La orden de la SEC enhttps://www.sec.gov/files/litigation/admin/2019/34-86457.pdfno es una orden de privacidad en el mismo sentido que el caso de la FTC. Es un registro de divulgación de valores. Su importancia es que la gobernanza de los datos de la plataforma se convirtió en una divulgación de riesgo para los inversores. Una vez que una empresa sabe que un riesgo se ha materializado, una presentación pública que trata ese riesgo simplemente como posible puede convertirse en un problema de rendición de cuentas tanto para los accionistas como para los usuarios.

La Oficina del Comisionado de Información del Reino Unido proporcionó otro registro público de aplicación. Su anuncio de octubre de 2018 enhttps://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2018/10/facebook-issued-with-maximum-500-000-fine/dijo que la ICO había impuesto la multa máxima disponible de 500.000 libras según la ley británica anterior. El aviso de multa de la ICO enhttps://ico.org.uk/media/action-weve-taken/mpns/2260051/facebook-mpn-20181024.pdfdescribió fallas para proteger los datos personales de los usuarios y ser transparente sobre cómo se recopilaron los datos por parte de otros. La cantidad era pequeña según los estándares globales posteriores de la plataforma, porque el sistema legal anterior era limitado, pero la determinación fue importante: el ecosistema de desarrolladores de Facebook se había convertido en un asunto de aplicación de privacidad fuera de los Estados Unidos.

El Parlamento británico trató el caso como un problema político y democrático de rendición de cuentas. El informe final del Comité de Digital, Cultura, Medios y Deporte de la Cámara de los Comunes enhttps://publications.parliament.uk/pa/cm201719/cmselect/cmcumeds/1791/1791.pdfsituó a Cambridge Analytica dentro de una investigación más amplia sobre desinformación, campañas basadas en datos, poder de la plataforma e integridad electoral. Los informes parlamentarios no son sentencias penales. Son registros públicos de supervisión. Su valor aquí radica en mostrar por qué la población afectada no se limitaba a los usuarios de aplicaciones o anunciantes. El evento tocó cuestiones de persuasión política, transparencia de campañas, gobernanza de plataformas y cómo las instituciones democráticas pueden escudriñar los sistemas de datos privados que dan forma al debate público.

Las autoridades de privacidad canadienses llegaron a una conclusión similar. Los hallazgos conjuntos de la Oficina del Comisionado de Privacidad de Canadá enhttps://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2019/pipeda-2019-002/determinaron que Facebook tuvo fallas significativas de privacidad en el asunto de Cambridge Analytica y no protegió adecuadamente la información de los usuarios. Nuevamente, el valor público no radica en que proporcione una cronología técnica interna completa. Muestra que múltiples reguladores en diferentes sistemas legales llegaron al mismo problema de control: una plataforma no puede externalizar la protección de la privacidad a las promesas de los desarrolladores de aplicaciones y luego tratar el abuso a gran escala como si hubiera ocurrido fuera de su ámbito de rendición de cuentas.

El aviso al usuario se retrasó por diseño y lagunas de evidencia

El problema de la notificación al usuario es central. Facebook dijo en 2018 que se enteró en 2015 por periodistas de que Kogan había compartido datos con Cambridge Analytica, y que exigió certificaciones de que los datos habían sido destruidos. El escándalo público estalló en 2018 después de informes de The Guardian enhttps://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-electiony The New York Times enhttps://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html. Estos informes no son documentos de aplicación primarios, pero son parte de la cronología pública porque forzaron la cuestión de control latente a la visibilidad pública. Los usuarios se enteraron entonces de que un incidente de datos conocido dentro del límite de confianza de la plataforma no había desencadenado una notificación amplia y simultánea a los usuarios.

El retraso es importante porque las medidas de privacidad caducan con el tiempo. Un usuario notificado en 2015 podría haber cambiado la configuración de la aplicación, revisado las aplicaciones conectadas, advertido a amigos, cambiado las expectativas sobre los datos políticos o exigido pruebas de eliminación antes. Un usuario notificado en 2018 recibió información después de que los datos ya se habían compartido, después de que la disputa de certificación había envejecido y después de que el uso de datos políticos se había convertido en una controversia pública. La notificación no es solo una cortesía. Es un restablecimiento del control.

Permite a las personas afectadas decidir qué hacer cuando la plataforma ya no tiene el control exclusivo del riesgo.

La actualización de Facebook de abril de 2018 dijo que la compañía mostraría a los usuarios si su información podría haber sido compartida inapropiadamente con Cambridge Analytica, y describió restricciones más amplias al acceso de los desarrolladores. Eso es un paso correctivo, pero no elimina la cuestión de la rendición de cuentas. Una plataforma que espera hasta la crisis pública para notificar a los usuarios crea una brecha de evidencia. Los usuarios no pueden reconstruir a qué datos se accedió, cómo se usaron, si se copiaron nuevamente o si se combinaron con otros conjuntos de datos políticos o comerciales.

La notificación tardía puede identificar una exposición potencial, pero no puede restaurar integralmente al usuario en términos de control perdido.

Las pruebas públicas más sólidas respaldan una conclusión limitada: Facebook tenía conocimiento previo de un problema de intercambio, confió en las certificaciones de eliminación y no notificó a los usuarios hasta que el problema se hizo público. El registro no permite a un lector externo probar cada razón interna para la sincronización. No prueba que cada empleado relevante de Facebook tuviera el mismo entendimiento. No prueba todos los usos posteriores. Pero es suficiente para evaluar el diseño de control.

Si una plataforma recibe una notificación de que los datos se compartieron en contra de la política, una promesa de eliminación no debería ser el final del caso a menos que la plataforma pueda verificar la eliminación de forma independiente o revelar por qué no puede hacerlo.

Aquí entra en juego la economía de la denuncia de abusos. Una plataforma de desarrolladores debe decidir cuánto invertir en la revisión de aplicaciones sospechosas, quejas de usuarios, informes de periodistas, aplicación a desarrolladores, escalada legal y monitoreo posterior a la terminación. Si la aplicación es barata para la plataforma pero costosa para los usuarios de impugnar, la plataforma podría subestimar el abuso hasta que aumente la presión externa. Un usuario no puede verificar a Kogan, Cambridge Analytica, un proveedor de servicios de campaña o una cadena de datos intermediada.

Facebook podía crear términos para desarrolladores, bloquear aplicaciones, restringir el acceso a la API, exigir certificaciones, encargar auditorías y notificar a los usuarios. No son herramientas perfectas, pero son herramientas que la plataforma tenía y los usuarios no.

La revisión de aplicaciones falló como control de riesgo cívico

El registro de Cambridge Analytica muestra por qué la revisión de aplicaciones no puede tratarse solo como una función de producto de consumo. En una plataforma de redes sociales, los permisos de las aplicaciones pueden exponer gráficos sociales, señales demográficas, gustos, conexiones de amigos y categorías de comportamiento que pueden ser valiosos para publicidad, modelado psicográfico, divulgación de votantes u operaciones de influencia. Eso no significa que cada aplicación sea política, cada desarrollador sea abusivo o cada conjunto de datos altere una elección.

Significa que la plataforma debe clasificar ciertos flujos de datos como riesgos para la infraestructura cívica antes de que un escándalo pruebe el punto.

Los cambios en la Graph API de Facebook después del escándalo son parte de la evidencia. La actualización de abril de 2018 describió restricciones en eventos, grupos, páginas, inicio de sesión, Instagram, búsqueda, historial de llamadas y texto, y permisos de aplicaciones. El hecho de que Facebook pudiera restringir el acceso después del evento muestra que el sistema anterior era una decisión de diseño, no una ley de la naturaleza. Una plataforma a menudo defiende el acceso amplio a la API como innovación para desarrolladores. Ese argumento tiene peso: las aplicaciones útiles dependen del acceso.

Pero una plataforma que otorga acceso amplio también debe financiar la aplicación, la revocación, la revisión y la notificación significativa al usuario. La innovación no exime del deber de mantener aplicables los límites de permisos.

El asunto de la FTC sobre Kogan y Cambridge Analytica es relevante porque muestra que los actores posteriores también tenían obligaciones. La FTC alegó prácticas engañosas relacionadas con la aplicación y la recopilación de datos. Eso es importante para la equidad. Facebook no fue el único actor en la cadena. Kogan, Cambridge Analytica, las campañas políticas, los corredores de datos y otros proveedores de servicios tenían cada uno un control potencial sobre su propio comportamiento. Pero la responsabilidad de la plataforma no se anula por la mala conducta posterior.

Un operador de puente no está exento de barandillas solo porque un conductor también se comporta mal. La plataforma construyó el carril por el que se movían los datos.

Los hechos confirmados muestran que la revisión de aplicaciones y la aplicación de políticas no evitaron la ruta de datos. La conclusión basada en evidencia va más allá: el modelo de gobernanza de Facebook trató el cumplimiento de las políticas de desarrollador como suficientemente manejable hasta que los eventos públicos demostraron que no era así. Esta conclusión está respaldada por las restricciones posteriores, las determinaciones regulatorias y la propia cronología de suspensión y notificación de Facebook.

Lo que sigue siendo desconocido: cómo se tomó cada decisión de revisión de aplicaciones, qué advertencias internas se emitieron, cómo se priorizó el riesgo entre los equipos y qué auditorías privadas encontraron qué hechos en qué momento. Estas incógnitas son importantes porque impiden que un artículo público haga acusaciones individuales no fundamentadas.

El mapa de control práctico sigue siendo claro. Facebook controlaba las API, las reglas de revisión, el acceso de los desarrolladores, la escalada de aplicación, las decisiones de bloqueo, la configuración del lado del usuario y las notificaciones públicas. Los desarrolladores controlaban sus aplicaciones y promesas. Los clientes de campañas controlaban cómo adquirían y usaban los servicios de análisis. Los reguladores controlaban la aplicación y la elaboración de reglas posteriores.

Los usuarios controlaban solo opciones limitadas y sus propias decisiones de aplicaciones, y la exposición a través de amigos significaba que incluso esas decisiones podían ser anuladas por la instalación de otra persona. Esta asimetría es la razón por la que el diseño de la plataforma es la superficie principal de rendición de cuentas.

El consentimiento no viajó con los datos

El caso de Cambridge Analytica a menudo se describe como una falla de consentimiento, pero esa expresión es demasiado estrecha. El consentimiento falló porque no era portátil, visible ni exigible una vez que los datos abandonaron Facebook. Una solicitud de plataforma puede pedir a un usuario que permita que una aplicación acceda a cierta información. No puede garantizar por sí sola que la aplicación mantenga los datos separados posteriormente, no los venda, no los combine con archivos de votantes y los elimine a pedido. Una vez que los datos cruzan un límite, la aplicación técnica se vuelve más difícil.

Por eso, las reglas de la plataforma deben incluir prevención, verificación y auditoría permanente, no solo un clic de aceptación.

El acceso a los datos de los amigos hizo que la debilidad fuera aún más evidente. Las personas afectadas podían incluir a aquellos que nunca interactuaron con la aplicación. Por lo tanto, la cadena de consentimiento no solo era débil; estaba socialmente delegada. La acción de un usuario en una aplicación podía tener consecuencias para los datos de otro usuario. Esta estructura está en el centro de la soberanía de datos y la localidad de datos como un problema práctico. Las personas a menudo asumen que sus datos se rigen por la plataforma y las expectativas legales asociadas con su cuenta.

En realidad, las API de la plataforma pueden exportar datos a sistemas de desarrolladores, empresas de análisis, operaciones de campañas, almacenamiento en la nube, entidades legales y jurisdicciones que el usuario nunca ve.

El registro de aplicación de la ICO formuló el problema en términos de privacidad de datos, mientras que la FTC lo formuló en términos de promesas de privacidad y violaciones de órdenes, y la SEC en términos de divulgación a inversores. Estos son diferentes vocabularios legales para el mismo problema operativo. La gobernanza de datos no puede reducirse a una política de privacidad si el sistema de permisos real permite a terceros extraer grandes cantidades de datos sociales y la plataforma no puede verificar el cumplimiento. Una promesa de control es tan fuerte como el mecanismo que evita que el control se evapore.

Los compromisos posteriores del programa de privacidad de Facebook son relevantes porque movieron la gobernanza hacia una evaluación documentada. La orden de la FTC exigía un programa más formal y certificaciones. Tales compromisos no son evidencia de que todo riesgo futuro desaparezca. Son evidencia de la capa de control que los reguladores consideraron faltante o insuficiente.

Un programa maduro de datos de plataforma debe identificar permisos de alto riesgo, exigir una justificación de minimización de datos, probar las afirmaciones de los desarrolladores, mantener registros de terminación y eliminación, monitorear la extracción anómala, registrar las decisiones de aplicación y notificar a los usuarios cuando la plataforma no pueda verificar la contención.

El caso también muestra por qué el daño al interés público difiere del daño ordinario a la privacidad individual. Una persona puede no ser capaz de identificar un solo mensaje, anuncio o decisión causado por la transferencia de datos. Sin embargo, la agregación de millones de perfiles puede importar a los sistemas políticos, la sociedad civil y la supervisión electoral. La continuidad del sector público es relevante aquí porque las instituciones democráticas dependen de la confianza en la comunicación política, la transparencia de las campañas y la equidad de los entornos de información.

Por lo tanto, una falla de datos de la plataforma puede causar un daño que es difuso, institucional y difícil de reparar solo con notificaciones individuales.

Las fallas de divulgación ampliaron el alcance de la rendición de cuentas

El caso de la SEC amplió el alcance de la rendición de cuentas más allá de los usuarios y los reguladores. Las empresas públicas divulgan los riesgos a los inversores. La SEC alegó que el lenguaje del factor de riesgo de Facebook describía el potencial de uso indebido de datos de usuarios, aunque la compañía ya sabía que se había producido un uso indebido. La importancia no radica simplemente en que Facebook pagó un acuerdo. Es que los incidentes de privacidad pueden convertirse en incidentes de control de divulgación.

Cuando los ejecutivos, los equipos legales, los equipos de privacidad y las funciones de relaciones con inversores tienen imágenes diferentes del mismo evento, la rendición de cuentas pública se rompe.

Esto es significativo para todas las grandes plataformas. Un incidente de privacidad puede comenzar en un equipo de producto, ser manejado por un equipo de políticas, escalar a través de canales legales y luego quedar fuera de la divulgación pública de valores hasta que estalle una crisis de reputación. El registro de la SEC dice que eso no es suficiente si el evento es material para los inversores. Un programa de incidentes maduro debe conectar el riesgo del producto, el riesgo legal, el riesgo de privacidad, el riesgo de comunicación y el riesgo de divulgación financiera.

De lo contrario, una empresa puede saber que ocurrió un evento mientras solo dice al mercado que tal evento podría ocurrir.

El problema de la divulgación también afecta a los usuarios. Si una empresa presenta públicamente un incidente de datos conocido como hipotético, los usuarios pueden subestimar la necesidad de revisar la configuración, cambiar el comportamiento o exigir respuestas. Los inversores pueden subestimar el alcance de la exposición regulatoria. Los legisladores pueden subestimar la urgencia de la supervisión. Los anunciantes y desarrolladores pueden subestimar el cambio de gobernanza inminente. La divulgación no es una formalidad. Es un control de coordinación entre las partes interesadas que no pueden ver los sistemas privados de la plataforma.

El registro público respalda esta conclusión sin requerir especulación privada. La orden de la SEC, la orden de la FTC, la multa de la ICO, las determinaciones canadienses, el informe parlamentario y las propias declaraciones de Facebook describen aspectos superpuestos del mismo episodio. Los detalles difieren, pero la dirección es consistente: Cambridge Analytica no fue un incidente aislado de una aplicación. Se convirtió en una prueba de si una plataforma podía identificar, gestionar, divulgar y remediar el uso indebido de datos que fluía a través de su propia arquitectura de permisos.

Lo que sigue siendo desconocido es sustancial. El registro público no revela cada reunión interna, cada borrador, cada evaluación legal, cada alerta técnica o cada decisión de liderazgo. No permite que los externos reconstruyan la ruta exacta desde el conocimiento interno hasta el lenguaje público de divulgación. Pero la orden pública de la SEC es suficiente para respaldar la conclusión de rendición de cuentas de que los controles de divulgación deben integrarse en los controles de gobernanza de datos. Un equipo de privacidad que sabe de abusos y una divulgación de valores que trata el abuso como hipotético no son mundos de riesgo separados.

Las promesas de eliminación no fueron evidencia de contención

Una de las lecciones más importantes es la diferencia entre las promesas de eliminación y la evidencia de contención. La declaración de Facebook de 2018 dijo que había exigido y recibido certificaciones de que los datos habían sido destruidos. Eventos posteriores mostraron que ese no era un punto final suficiente para la confianza pública. Cuando los datos se copian en los sistemas de otra entidad, la certificación puede ser un control legal, pero no es lo mismo que una prueba técnica. Puede ser necesaria; rara vez es suficiente.

La evidencia de contención requeriría pruebas más sólidas: qué datos se conservaron, dónde se almacenaron, quién accedió a ellos, si se copiaron en copias de seguridad, si se crearon modelos derivados, si terceros los recibieron, si la eliminación fue auditada de forma independiente, si se conservaron registros y si se detectaría el incumplimiento. Algunas de estas preguntas pueden no ser respondibles completamente después del paso del tiempo. Precisamente por eso la prevención y la verificación oportuna son importantes. Cuanto más tarde una plataforma intente contener los datos exportados, más incierta se vuelve la evidencia de contención.

El expediente de la FTC sobre Cambridge Analytica y las órdenes relacionadas ayudaron a asignar responsabilidad a los actores posteriores, pero no restauraron el control del usuario sobre la exposición histórica. La orden de la FTC sobre Facebook abordó la gobernanza de la plataforma para el futuro. La multa de la ICO impuso la multa máxima disponible según la ley anterior relevante. El informe canadiense documentó fallas significativas. Las demandas civiles agregaron otro canal público de rendición de cuentas, incluido el sitio web del acuerdo de privacidad enhttps://www.facebookuserprivacysettlement.com/y el expediente del tribunal federal para In re Facebook, Inc. Consumer Privacy User Profile Litigation enhttps://www.cand.uscourts.gov/judges/chhabria-vince-vc/in-re-facebook-inc-consumer-privacy-user-profile-litigation-mdl-no-2843/. Los acuerdos no son lo mismo que las determinaciones posteriores al juicio, pero muestran cómo los reclamos de los usuarios se tradujeron en un marco de compensación y exención de responsabilidad.

La lección de eliminación se aplica más allá de Facebook. Toda plataforma que permita que aplicaciones de terceros recopilen datos personales debe decidir qué sucede cuando la aplicación pierde la autorización, viola la política o cambia de propósito. ¿Obtiene la plataforma pruebas de eliminación legibles por máquina? ¿Audita a los desarrolladores de alto riesgo? ¿Revisa los flujos de datos antes de otorgar permisos amplios? ¿Monitorea el volumen de extracción? ¿Tiene derechos contractuales para auditar sistemas posteriores? ¿Notifica a los usuarios cuando la eliminación no se puede verificar?

¿Distingue entre errores comunes de desarrolladores y transferencias de datos con riesgo cívico? Cambridge Analytica mostró los costos de responder estas preguntas después del hecho.

Las pruebas públicas respaldan una conclusión basada en evidencia: la aplicación anterior de Facebook dependía demasiado de las garantías posteriores al movimiento de datos y no lo suficiente de controles de uso de datos verificables antes o durante el acceso. Esta conclusión se basa en las declaraciones de la empresa y los registros regulatorios. No debe extenderse a afirmaciones sobre cada aplicación o cada empleado de Facebook. El punto es sistémico: la gobernanza de datos de la plataforma falla cuando la política se trata como un documento y no como un circuito de control aplicable.

El uso de datos políticos convirtió el riesgo de la plataforma en riesgo del sector público

Cambridge Analytica fue importante porque la ruta de datos se cruzó con las campañas políticas y el debate público. Un caso de abuso de aplicación comercial puede dañar a los consumidores; un caso de abuso de datos políticos también puede afectar la confianza democrática. El informe del Parlamento británico trató las campañas basadas en datos, la responsabilidad de la plataforma y la desinformación como problemas conectados. La actualización más amplia de la investigación de la ICO enhttps://ico.org.uk/media/action-weve-taken/2260271/investigation-into-data-analytics-for-political-purposes-update.pdfsituó el asunto de Facebook dentro de una investigación más amplia sobre el análisis de datos con fines políticos. Estas fuentes no prueban todas las afirmaciones públicas sobre los resultados electorales. Muestran que las instituciones democráticas consideraron los flujos opacos de datos políticos como un problema de supervisión.

La distinción es importante. Es fácil exagerar la influencia comprobada de Cambridge Analytica en los resultados electorales. Las pruebas públicas no permiten una afirmación causal clara de que la transferencia de datos alteró un resultado electoral específico. El caso de rendición de cuentas no necesita esa afirmación. Un sistema de datos de plataforma puede ser irresponsable incluso si la efectividad de la persuasión posterior es incierta.

La falla de control consiste en que los actores políticos pudieron buscar ventajas a partir de datos cuya recopilación, consentimiento, intercambio y estado de eliminación no eran transparentes para las personas descritas por los datos.

El riesgo de los datos políticos también cambia el modelo de daño. Si un usuario recibe un anuncio manipulador, se asigna a un público objetivo modelado o es excluido de un mensaje de campaña, es posible que nunca lo sepa. Si una campaña construye una estrategia con datos obtenidos indebidamente, los externos pueden no poder separar el efecto de los datos de los mensajes, las compras de medios, las operaciones de campo, los archivos de votantes o el clima político más amplio. La opacidad misma es parte del problema de rendición de cuentas.

La continuidad del sector público depende de que las instituciones puedan escudriñar y cuestionar la infraestructura que da forma a la comunicación política.

Facebook creó posteriormente más herramientas de transparencia para los anuncios políticos e impuso más restricciones, pero el caso de Cambridge Analytica sigue siendo una línea de base porque expuso la brecha entre el alcance de la plataforma y la supervisión pública. Los reguladores pueden castigar después del hecho. Las legislaturas pueden celebrar audiencias. Los periodistas pueden investigar. Los usuarios pueden demandar. Pero ninguno de estos mecanismos funciona tan limpiamente como los controles de plataforma que previenen la extracción de datos de alto riesgo antes de que se vuelva políticamente útil en otro lugar.

Por lo tanto, el caso pertenece tanto a la continuidad del sector público como a la soberanía de datos. Una plataforma global de redes sociales no es una agencia gubernamental, pero puede dar forma al entorno de información en el que trabajan las instituciones públicas. Si sus reglas de aplicación fallan, las consecuencias pueden alcanzar la confianza cívica. Eso no significa que cada incidente de plataforma sea una falla estatal. Significa que los operadores de plataformas deben tratar ciertos permisos, especialmente aquellos que afectan a los gráficos sociales y el análisis político, como riesgos a nivel de infraestructura.

Qué cambió y qué evidencia sigue siendo importante

Los cambios de Facebook después del escándalo incluyeron restricciones al acceso de desarrolladores, avisos a usuarios, cambios en la revisión de aplicaciones, compromisos de programas de privacidad y garantías públicas de liderazgo. La declaración preparada de Mark Zuckerberg y la página de transcripción de la audiencia enhttps://about.fb.com/news/2018/04/transcript-of-zuckerbergs-senate-hearing/son relevantes porque muestran cómo la empresa presentó el caso ante los funcionarios electos como una falla de responsabilidad que requería cambios de producto y gobernanza. La orden de la FTC luego convirtió algunas garantías en obligaciones exigibles. La diferencia entre una promesa voluntaria y una orden exigible es central. Una disculpa pública puede iniciar la rendición de cuentas, pero la rendición de cuentas duradera requiere auditoría, informes, revisión y consecuencias.

La evidencia a observar después de Cambridge Analytica no es solo si se repite un escándalo similar. Es si los flujos de datos de alto riesgo se regulan antes del escándalo. Una plataforma seria debería poder responder: ¿qué permisos exponen a los amigos o los gráficos sociales; qué aplicaciones reciben combinaciones de datos sensibles; qué desarrolladores tienen fines políticos, de corretaje, de análisis o de elaboración de perfiles; qué datos salen de la plataforma; qué evidencia de eliminación existe; qué umbral de notificación al usuario se aplica; y qué ejecutivos certifican que el sistema de control funciona?

Estas son preguntas de gobernanza, no de relaciones públicas.

Otro punto de observación es si la configuración del usuario refleja un control real. Un panel de privacidad puede dar a las personas opciones, pero si esas opciones no pueden evitar el intercambio con terceros a través de la aplicación de otro usuario, el panel puede sobreestimar el control. Una plataforma debe distinguir entre la configuración que controla la visibilidad directa, la configuración que controla el movimiento de la API y la configuración que solo afecta el acceso futuro.

Cambridge Analytica mostró que los usuarios necesitan respuestas claras sobre lo que la plataforma aún puede hacer cumplir después de que los datos la abandonan.

La coordinación regulatoria también es importante. La FTC, la SEC, la ICO, las autoridades canadienses, el Parlamento británico y los tribunales tocaron cada uno diferentes partes del episodio. La fragmentación puede crear brechas cuando la privacidad, la divulgación de valores, la supervisión electoral, la protección al consumidor y los litigios civiles operan de forma aislada. El caso muestra por qué los incidentes importantes de plataformas requieren una rendición de cuentas transversal.

Un incidente de datos puede ser simultáneamente un problema de protección al consumidor, un problema de privacidad, un problema de divulgación de valores, un problema de transparencia política y un problema de litigio privado.

El registro público aún deja preguntas abiertas. No muestra completamente cómo se utilizaron todos los datos afectados, si todo el material derivado fue eliminado, cómo cada destinatario posterior manejó los datos, qué señales de riesgo internas existían antes de 2015 o cómo cada equipo entendió el problema antes de 2018. Estas incógnitas no deben llenarse con certeza infundada. Deben tratarse como razones para requisitos de evidencia más sólidos. Si una plataforma no puede demostrar la contención, la carga de la prueba no debe recaer en los usuarios para demostrar a dónde fueron sus datos.

También hay una lección de adquisiciones para las instituciones que utilizan plataformas de redes sociales para divulgación pública, publicidad, comunicación con votantes o investigación. Las agencias públicas, universidades, organizaciones benéficas, organizaciones de medios y campañas a menudo tratan las herramientas de la plataforma como infraestructura de audiencia. Pueden comprar anuncios, operar páginas, autorizar aplicaciones, incrustar herramientas para compartir o utilizar análisis sin tener poder directo sobre la aplicación de la plataforma.

Cambridge Analytica mostró que los usuarios institucionales deben preguntar si la plataforma puede documentar el acceso a datos de alto riesgo, las salvaguardas para los segmentos políticos, la escalada de revisión de aplicaciones, los derechos de auditoría, la verificación de eliminación y los umbrales de notificación al usuario. Estas preguntas no son solo para los oficiales de privacidad. Pertenecen a las adquisiciones, el cumplimiento de campañas, la seguridad de la información, la comunicación pública y la supervisión de la junta directiva.

La misma lección se aplica a los desarrolladores. Un ecosistema de aplicaciones saludable necesita acceso útil, pero el acceso útil debe clasificarse según el riesgo. Las integraciones de bajo riesgo pueden seguir una revisión más ligera. Las aplicaciones que solicitan gráficos sociales, amigos, perfiles, datos políticos, demográficos o de comportamiento necesitan obligaciones más sólidas de limitación de propósito, registro y revocación. Los desarrolladores deben saber que el acceso es condicional y que el abuso posterior puede desencadenar requisitos de evidencia, no solo la suspensión de la cuenta.

Las plataformas deben publicar lo suficiente sobre estas obligaciones para que los desarrolladores legítimos entiendan las reglas y los usuarios entiendan por qué una solicitud de permiso es sensible. El secreto en torno al modelo de aplicación puede proteger a los atacantes, pero la opacidad total también puede debilitar la confianza pública.

Para los usuarios, el caso es un recordatorio de que el control superficial y el control de datos no son lo mismo. Un usuario puede eliminar una aplicación, cambiar una configuración o cerrar una cuenta, pero estas acciones pueden no recuperar los datos ya exportados a otro sistema. Eso no hace que las acciones del usuario sean inútiles. Significa que los controles del lado del usuario deben combinarse con garantías del lado de la plataforma para el acceso futuro, la exportación histórica, la eliminación y la notificación.

Una configuración de privacidad debe decir lo que puede prevenir, lo que no puede deshacer y cuándo la plataforma informará a las personas de que un límite de terceros ha fallado.

El estándar de rendición de cuentas es el consentimiento exigible

El estándar final de rendición de cuentas es el consentimiento exigible. El consentimiento no es exigible si los usuarios no saben qué sale de la plataforma, si los amigos pueden exponerlos sin una elección específica de la aplicación, si los desarrolladores pueden desviar o compartir datos sin detección oportuna, si las promesas de eliminación reemplazan la verificación, si el abuso conocido no se divulga claramente y si el uso de datos políticos solo se examina después de la acción periodística y regulatoria. El consentimiento exigible requiere un sistema de permisos que pueda ser auditado, restringido, revocado y explicado.

Los hechos confirmados respaldan este estándar. Los registros públicos confirman la ruta de datos de la aplicación, el aviso de suspensión de Facebook, la estimación de hasta 87 millones de personas afectadas, la multa y orden de la FTC, el acuerdo de divulgación de la SEC, la multa de la ICO, las determinaciones de privacidad canadienses, el escrutinio parlamentario y los procesos de acuerdo de litigios civiles.

La conclusión basada en evidencia respalda una conclusión de gobernanza más amplia: los controles de plataforma de Facebook no estaban a la altura de los riesgos cívicos y de privacidad de los flujos de datos que la plataforma permitía. Lo que sigue siendo desconocido son el uso posterior completo, las consideraciones internas y los daños a nivel individual.

La responsabilidad debe seguir al control práctico. Facebook controlaba la arquitectura de la plataforma y el modelo de aplicación. Los desarrolladores controlaban sus aplicaciones y el cumplimiento de los términos. Las empresas de datos políticos y las campañas controlaban su adquisición y uso de servicios de análisis. Los reguladores controlaban la aplicación posterior. Los usuarios controlaban solo opciones limitadas y, a veces, ni siquiera eso cuando estaba involucrado el acceso a datos de amigos.

Este mapa es la razón por la que Cambridge Analytica sigue siendo un caso vivo de rendición de cuentas incluso años después de los primeros titulares.

La lección más amplia para la gobernanza de la nube y la plataforma es simple pero exigente: las reglas de acceso a los datos deben construirse como controles operativos, no como lenguaje de reputación. Una plataforma debe asumir que la remediación se vuelve incierta y la confianza pública es más difícil de restaurar una vez que los datos abandonan su límite.

El control más seguro es la prevención mediante la minimización, la verificación de propósito, los permisos estrictos, la revisión de desarrolladores, la supervisión del acceso anómalo, la suspensión rápida, la eliminación verificada y la notificación a los usuarios cuando la contención es incierta.

Por lo tanto, el registro de Cambridge Analytica de Facebook pertenece a un archivo de riesgo, no porque responda todas las preguntas políticas, sino porque plantea la pregunta de infraestructura correcta. Cuando una plataforma privada se convierte en el guardián de la identidad, los gráficos sociales, la publicidad, la comunicación política y el acceso de terceros, su sistema de permisos ya no es solo una característica del producto. Es una superficie de rendición de cuentas pública.

La prueba es si la plataforma puede demostrar que el consentimiento, la aplicación, la eliminación, la divulgación y la remediación funcionan antes de que los externos impongan el registro.