Max Schrems, jurista: “La promesa de la nube fue que todo sería mucho más barato, pero resulta que funciona con monopolios” | Tecnología

Pocos particulares han influido tanto en la legislación europea como el austriaco Max Schrems (Viena, 37 años). A los 23, de vuelta a casa tras estudiar un semestre de Derecho en la Universidad de Santa Clara, California, presentó 22 denuncias contra Facebook después de analizar la información que la compañía tenía sobre él (1.200 folios) y detectar varias posibles violaciones de su privacidad. El proceso no acabó en sanción, pero provocó revuelo en Europa. Tanto, que la excomisaria de Justicia Viviane Reading reconocería más tarde que la cruzada de Schrems inspiró el Reglamento General de Protección de Datos (RGPD), que entró en vigor en 2018.A los 26 años inició un nuevo proceso contra Facebook, esta vez por enviar sus datos personales a EE UU, donde la normativa de privacidad es más laxa que en la UE. Los tribunales le dieron la razón en 2015: desde entonces, la información personal de los ciudadanos europeos solo se puede transferir a aquellos países que garanticen un tratamiento equiparable al europeo. En 2020, el Tribunal de Justicia de la UE tumbó el régimen de transferencia de datos entre EE UU y la UE, también a instancias de Schrems, al considerar que no era suficientemente garantista.Más informaciónEl jurista ha demandado a Apple y a Google por rastrear sin permiso los teléfonos móviles que funcionan con los sistemas operativos de las respectivas compañías. O a Microsoft por hacer un mal uso de los datos de menores con su paquete 365 Educación. O a X por entrenar su herramienta de inteligencia artificial (IA) con datos de los usuarios sin avisarles. No se arruga ante las grandes tecnológicas, que conocen perfectamente la organización desde la que Schrems ejerce el activismo: Noyb (acrónimo de None of Your Business, No es asunto tuyo). Atiende a EL PAÍS en Madrid tras participar en el Cloud Summit 2025, un evento celebrado en la Universidad de Nebrija en colaboración con la Asociación Española de Proveedores de Cloud y Data Centers (Apecdata).Pregunta. Usted lleva años tratando de que las tecnológicas estadounidenses traten los datos de los ciudadanos europeos de acuerdo a los estándares comunitarios. ¿Es eso posible con Trump en la Casa Blanca?Respuesta. Un sistema legal demuestra si es estable en situaciones en las que tienes un presidente loco. Si todo el mundo fuera amable y amistoso, no necesitaríamos ley. Para calibrar el problema hay que saber qué parte de la economía de datos se puede ver afectada por la guerra comercial. Uno de los únicos terrenos en los que Europa puede tomar represalias contra EE UU es en la industria digital, donde tiene empresas que ganan un montón de dinero. La Comisión acaba de multar a Meta y Apple, y la primera respondió con un comunicado de prensa muy trumpista, diciendo: “Oh, esto es un arancel”. Acabas de romper la ley y sabías que lo hacías, así que ahora no puedes decir que es un arancel. Es como si alguien conduce con su Porsche a 300 km/h y, cuando le multan, dice que van contra él porque es rico. P. ¿Hace bien la Comisión multando a dos gigantes tecnológicos en plena guerra arancelaria?R. La Comisión va despacio porque no quiere ser quien lance la primera piedra. Pero en algún momento tienes que hacer cumplir tu ley. Debemos afrontar la cuestión de la dependencia tecnológica. En EE UU se ha hablado incluso de que las empresas estadounidenses no ofrezcan sus servicios en Groenlandia y Dinamarca. Es una locura, porque entonces nadie volvería a confiar en esas compañías, pero también pensábamos que nadie haría nunca una guerra comercial.P. ¿Cómo debe abordar la UE esta situación?R. Creo que lo más importante es que la respuesta sea gradual. No se crea una red social o un servicio de mensajería instantánea por arte de magia. Yo estudié en EE UU y una gran cosa allí es que, ya en la escuela secundaria, te dicen que eres el mejor, que eres el más grande. En Europa, generalmente, tendemos a lo contrario, dudamos de si somos lo suficientemente buenos. Debemos ser conscientes de que somos capaces de ser menos dependientes tecnológicamente de EE UU, siempre que haya un plan. Y lo que creo que falta es ese plan. Para las transferencias de datos, por ejemplo, una de las opciones sería decir: hay que ir eliminándolas gradualmente, porque el marco legal no es tan estable como se nos prometió. Schrems dio en la Universidad de Nebrija una conferencia magistral sobre transferencia de datos entre EE UU y la UE.Álvaro GarcíaP. ¿Ve factible desarrollar una infraestructura digital realmente europea?R. La industrialización arrancó en Reino Unido, pero el resto del mundo se acabó sumando a ella hasta superar a quien la inició. Creo que en el terreno digital puede pasar lo mismo. Deberíamos adoptar un marco regulatorio que propicie estos desarrollos. La alternativa es seguir controlados por las grandes tecnológicas. Hay empresas o incluso países, como el mío, que ya no pueden negociar con Microsoft, porque ahora dicen: “Lo hacemos todo en la nube y tienes que mover toda tu administración ahí, o no podrás usar nuestro software”.P. Desarrollar infraestructuras realmente propias, que no dependan de software ni hardware extranjero, costaría mucho dinero. R. Sí. Por eso creo que la única forma de hacerlo es gradualmente. Se puede ir cambiando según toque ir renovando licencias. Una gran promesa de la nube fue que todo sería mucho más barato y mejor, pero resulta que funciona con monopolios, ajustan exactamente el precio a tu punto de ruptura. Por eso cada vez se habla más de volver a las instalaciones propias: porque las promesas de la nube no se han hecho realidad. Deberíamos tener un entorno en el que realmente pudieras cambiar de proveedor de nube sin problemas, como sucede con las compañías de gas o electricidad. Necesitamos tener un sistema que tenga sentido. El RGPD creo que está razonablemente bien redactado, pero lo que ha venido después, no tanto. Así que ahora se habla en Bruselas de tener una sola ley digital que fusione toda la legislación aplicable.P. ¿El Reglamento Europeo de IA entró en vigor el año pasado y ya se quiere cambiar?R. Exacto. Si la UE quiere ser un referente en regulación tecnológica, también se debe ser más honesto con la calidad de los textos que se entregan. Y las leyes europeas no han salido de los cerebros más brillantes.P. Muchos abogados dicen que el RGPD está bien, pero que el problema es que no se hace cumplir.R. Sí. El problema de la aplicación del RGPD es enorme. Si miras todas las quejas en Europa, como promedio, solo se sanciona el 1,3% o 1,4% con cantidades que a veces son de solo 500 euros. La realidad es que, incluso en los casos en los que encuentras una violación, simplemente no hay consecuencia. P. ¿Cómo cree que afectará a la privacidad el auge de la IA?R. Desde el punto de vista del RGPD, la gran batalla es que las grandes empresas tecnológicas quieren justificar el entrenamiento de sus modelos con datos ajenos basándose en el interés legítimo, lo que básicamente significa que la gente que esté en desacuerdo tiene que optar por no participar antes de que se entrene el sistema. ¿Cómo se hace eso? Creo que toda la aplicación real de la IA, desde una perspectiva del RGPD, no es problemática. Las alucinaciones son un problema de responsabilidad, de corrección de datos, pero no son ilegales.P. Su historia con Facebook es larga. ¿Qué evolución ha visto en la compañía desde la primera vez que los demandó hasta ahora?R. No ha cambiado mucho, siempre han sido más agresivos y audaces que los demás. Y mucho más estúpidos: Google es más inteligente en la forma en que comunican y hacen las cosas. Meta es el matón de las Big Tech, por así decirlo. Lo realmente interesante es que todavía mantienen esa narrativa de ser innovadores y modernos, pese a que no han logrado nada grande en los últimos 10 o 15 años, más allá de comprar empresas como Instagram o WhatsApp. Todavía se alimentan de la enorme máquina de dinero que han construido con la publicidad online, que curiosamente también está muy poco regulada.P. ¿Cree que habría que legislar ahí?R. En Europa tenemos una ley que dice que no puede haber más de seis minutos de publicidad por hora en televisión. ¿Por qué demonios no podemos regular la publicidad en redes sociales y fijar, por ejemplo, que no supere el 10% de tu feed?P. Ya ha dicho que la UE debería responder a la guerra comercial de EE UU de forma gradual. ¿Cómo cree que lo hará realmente?R. Quizás sea el momento de aprovechar el conocimiento técnico que ya existe en Europa para desarrollar una auténtica autonomía digital. Esa sería una salida positiva. La negativa es que no hagamos nada, que nos sentemos y nos quejemos. Creo que estamos en ese punto. Pero tengo la sensación de que la fase de queja dura un tiempo y luego la gente se levanta de su silla y actúa. Entonces será el momento de convencernos de que Europa probablemente sea el lugar más estable que hay ahora mismo para alojar tus datos.