Durante su carrera como abogado David A. Straite ha demandado a fondos de inversión que daban pérdidas y a fabricantes de paneles solares que contaminaban. En la actualidad tiene un nuevo coto de caza: Internet.

A lo largo de los últimos ocho meses, Straite, socio de Stewarts Law, con sede en Londres (Reino Unido) ha demandado a AT&T Samsung, Facebook y Google, alegando que estas empresas han violado leyes sobre las escuchas telefónicas de Estados Unidos y han cometido fraude informático al rastrear a los usuarios en la Web o vía teléfono inteligente de forma contraria a las políticas de privacidad de las propias empresas.

Straite está especializado en casos de demandas colectivas, en las que los abogados presentan una demanda en nombre de miles e incluso millones de personas afectadas por productos defectuosos o malas prácticas empresariales. Es el mismo tipo de demanda que se ha usado para perseguir a los fabricantes de asbestos, las empresas tabaqueras y a los fabricantes de aparatos médicos defectuosos. Ahora los abogados ven las meteduras de pata de las empresas de Internet en el terreno de la privacidad como un campo listo para la contienda donde pueden obtener jugosas compensaciones.

“El número de casos crece a toda velocidad”, afirma Todd Ruback, director de privacidad y tecnología en el bufete DiFrancesco Bateman. “Hace una década la privacidad era una preocupación lejana para los ejecutivos y las juntas directivas, pero ahora mismo es un huracán a plena potencia”.

Las empresas tecnológicas, entre ellas, Microsoft, LinkedIn y Zynga, reconocen que se enfrentan a una situación peligrosa. Algunos han estado revisando los acuerdos con los usuarios para que éstos renuncien a su derecho a demandar, incluso han presentado informes ante el Tribunal Supremo con la esperanza de cambiar la opinión respecto a este tipo de demandas. Pero ahora que la percepción que tiene el público de las empresas tecnológicas en lo que respecta a cuestiones de privacidad ha cambiado, muchas empresas prefieren llegar a un acuerdo en los tribunales que enfrentarse a un jurado. Este mes Facebook acordó pagar 20 millones de dólares (unos 15 millones de euros) para cerrar una denuncia sobre el uso de las caras de sus miembros en los anuncios en línea.

Al castigar a las empresas que hacen un mal uso de los datos personales, este tipo de demandas podría beneficiar a los consumidores. Pero por otra parte, el aumento del número de demandas amenaza con ahogar la innovación en Silicon Valley. En 2010, por ejemplo, Netflix canceló la continuación prevista de un premio público de un millón de dólares (unos 760.000 euros) para el desarrollo de software de recomendación de películas después de que los abogados los demandaran por hacer públicos -de forma accidental- historiales de alquiler de películas que podían ligarse a consumidores individuales.

Los riesgos legales que rodean a la privacidad están creando nuevas industrias. Los denominados 'ciberseguros', que protegen contra los daños económicos causados por virus, pérdida de datos y otros fallos electrónicos, son el tipo de seguros que más crece en Estados Unidos ahora mismo, según la corredora de seguros Marsh. Mientras, la Asociación Internacional de Profesionales de la Privacidad, una entidad gremial dedicada a un campo que apenas se reconocía hace unos años, acaba de celebrar la llegada de su miembro número 10.000.

La legislación también se multiplica. La Comisión Nacional del Mercado de Valores de Estados Unidos comunicó el año pasado a las empresas que cotizan en bolsa que deben informar sobre sus 'ciberincidentes' a los inversores. Y desde 2002, en un esfuerzo por acabar con el robo de identidades, en 49 estados y territorios de Estados Unidos se han aprobado leyes que exigen a las empresas que pierden datos personales –por accidente o por pirateo- que avisen a los consumidores y a las autoridades locales. 

Todo ello ha facilitado a los abogados la posibilidad de presentar demandas. “En el caso de los casos más graves, estamos observando que las demandas colectivas se presentan en las primeras 24 horas”, afirma Bob Parisi, vicepresidente sénior de Marsh.

Sirva como ejemplo la demanda por 5 millones de dólares (unos 3,75 millones de euros) por negligencia que se presentó cuando se supo que unos piratas se habían hecho con 6,5 millones de contraseñas de la red social LinkedIn en junio. Sin embargo, este tipo de casos se han enfrentado a un obstáculo clave: suele ser muy difícil demostrar que alguien ha resultado perjudicado o ha sufrido lo que los libros de derecho denominan 'lesión de hecho'. Si los abogados no encuentran víctimas de las violaciones de privacidad, los jueces sobreseerán sus casos.

Últimamente las empresas de Internet empiezan a preocuparse porque algunos tribunales han dado señales de que utilizan estándares más laxos para permitir que los juicios procedan. En un caso que trababa sobre un portátil perdido que contenía los nombres y números de la seguridad social de 97.000 empleados de Starbucks, el Noveno Tribunal del Circuito de Apelaciones estableció que los trabajadores podían demandar a la empresa por la mera existencia de una "amenaza” de robo de identidad.

Ese fallo ha contribuido a un “notable aumento” de las demandas y los acuerdos, según Parisi. “Si la empresa realmente ha metido la pata, no quieren ir a los tribunales a airear esos trapos sucios”, afirma.

En su último caso contra Facebook, que aún está en los tribunales, Straite pide 15.000 millones de dólares (unos 12.000 millones de euros) en daños, casi la misma cantidad que ha recaudado la empresa en su reciente salida a bolsa. La demanda se basa en el supuesto uso por parte de la red social de cookies para rastrear a los usuarios cuando no estaban activos en la red. Según Straite, eso es una violación de la Ley Federal sobre Escuchas Telefónicas, igual que si hubieras escuchado las conversaciones telefónicas del vecino.

Convenientemente, esa ley sobre escuchas prevé “compensaciones legales” por violación de 100 dólares (unos 76 euros) por cada usuario al día. Eso significa que se puede ganar dinero simplemente con que se haya incumplido la ley, no es necesario demostrar que los actos de Facebook hayan perjudicado a nadie. Straite llegó a la impresionante cantidad de 15.000 millones de dólares en daños (unos 12.000 millones de euros) multiplicando un único día de penalización por los 150 millones de usuarios que Facebook tiene en Estados Unidos.

“Pero esto no es solo por el dinero”, afirma el abogado. “Tiene que ver con el grado de consentimiento que la gente ha dado para que los rastreen o no por la Web”.

Facebook no ha querido comentar nada sobre el asunto, pero cree que es peligroso dejar que las demandas colectivas cojan fuerza. Junto con otras empresas tecnológicas, incluida LinkedIn, Facebook presentó un informe en agosto del año pasado ante el Tribunal Supremo de Estados Unidos en un caso relacionado. En él afirmaban que las demandas presentadas por personas “que no han sufrido ningún  tipo de perjuicio” eran un burdo intento “de manipular el sistema para extorsionar en busca de compensaciones económicas”.

Hay más empresas tecnológicas maniobrando para impedir las demandas. Este año, Microsoft ha estado exigiendo a los usuarios de Xbox Live que firmen un acuerdo de privacidad actualizado que les prohíbe participar en demandas colectivas (una táctica posible gracias a un fallo del Tribunal Supremo sobre la legislación contractual). Como la mayoría de la gente no lee la letra pequeña, probablemente no se den cuenta de que están renunciando a sus derechos legales.

“Si dicen: ‘Podemos entrar en tu ordenador y hacer lo que queramos’, la gente pulsará ‘Sí’”, afirma Straite.

El abogado de 41 años que declara ser un “enamorado de la tecnología”, es un pionero. Como el trabajo consistente en demandar a las farmacéuticas y a los corredores de bolsa ha disminuido, cada vez hay más abogados que ven la privacidad en Internet como la próxima gran oportunidad. Pero no es fácil dominar cosas tan críticas como las cabeceras HTTP, las sesiones de cookies y las muestras P3P. Straite afirma que su empresa ha contratado a expertos en tecnología externos para montar su caso. 

No todo el mundo preocupado por la privacidad en línea piensa que las demandas ayudarán. “No esperaba que nadie usara mi trabajo sobre Facebook como base para una demanda. Era lo último que se me podía ocurrir”, explica Nil Cubrilovic, el programador y bloguero australiano que primero documentó cómo rastrea Facebook a los usuarios que no están registrados en ese momento. Cubrilovic afirma que le han contactado abogados pero decidió que eran “buitres” y se negó a ayudarlos.

Este programador se pregunta cuál es la necesidad de hacer una demanda, sobre todo teniendo en cuenta que Facebook hizo frente al problema después de que él lo identificara. ¿No debería bastar con eso? “Mi preocupación es que las demandas coarten a las start-ups que comenten errores no buscados con la privacidad y la seguridad”, afirma. Teme que se dé una situación en la que las complicaciones legales y reguladoras impliquen que “solo las empresas más grandes puedan permitirse competir”. 

Pase lo que pase, los consumidores no deben esperar que les legue un cheque por correo. Incluso un acuerdo multimillonario supondría solo unos céntimos por cabeza si se dividiera entre los usuarios de Facebook. En cambio, en demandas colectivas recientes en las que Facebook ha llegado a un acuerdo económico, la red social ha aceptado pagar unos millones a los abogados demandantes y donar una cantidad equivalente a organizaciones sin ánimo de lucro dedicadas a la defensa de la privacidad en línea.