Francia ha acusado formalmente a X (antes Twitter) de recopilar ilegalmente datos de usuarios en violacion de la ley de privacidad europea. Pavel Durov, fundador de Telegram, apoyo publicamente a Elon Musk y califico la accion judicial de lo que el cree que es: presion politica disenada para silenciar a una plataforma no cooperante antes de las elecciones presidenciales francesas de 2027. Pero la historia de fondo no se refiere solo a una empresa o a un regulador. Trata de un gobierno que opera uno de los aparatos de vigilancia mas extensos de Europa y que ahora utiliza la ley de privacidad como arma contra las mismas plataformas a las que antano intento coaccionar para que cooperaran.
Las acusaciones concretas de Francia contra X
La investigacion, dirigida por la autoridad francesa de proteccion de datos CNIL en coordinacion con la fiscalia de Paris, se centra en tres acusaciones principales. Primera: extraccion de datos no autorizada. Los reguladores franceses acusan a X de recopilar sistematicamente datos de comportamiento - patrones de navegacion, senales de interaccion, identificadores de dispositivos, datos de localizacion - mas alla de lo que los usuarios consintieron explicitamente al crear sus cuentas. Segunda: intercambio ilegal de datos con intermediarios publicitarios fuera del marco regulatorio de la UE, lo que significa que los datos recopilados bajo las normas de consentimiento europeas se enrutaron a traves de mercados de datos de terceros que no cumplen los estandares de adecuacion del RGPD. Tercera: uso de datos personales, incluidos mensajes directos y publicaciones, para entrenar a Grok, el asistente de IA de X, sin informar a los usuarios de que sus comunicaciones privadas podrian convertirse en material de entrenamiento de IA.
Estos cargos remiten directamente a disposiciones especificas del RGPD. El articulo 5 establece principios fundamentales de los datos: los datos personales deben recopilarse para "fines especificos, explicitos y legitimos" y no pueden procesarse posteriormente de manera incompatible con esos fines. Entrenar un modelo de IA comercial con mensajes privados de usuarios, sin su consentimiento especifico para ese uso, constituye una infraccion de manual del principio de limitacion de finalidad y minimizacion de datos del articulo 5. El articulo 32 exige a las plataformas que implementen "medidas tecnicas y organizativas adecuadas" para garantizar la seguridad de los datos, estandar que Francia sostiene que X ha incumplido desde que la adquisicion de Elon Musk en 2022 desencadeno despidos masivos que eliminaron gran parte de la infraestructura de confianza y seguridad de la plataforma.
El contraataque de Durov: la ley de privacidad como herramienta politica
La respuesta de Durov fue directa. En una publicacion en Telegram, argumento que Francia esta utilizando selectivamente el RGPD como arma contra las plataformas que se niegan a cooperar con las solicitudes de censura del gobierno, mientras que los propios servicios de inteligencia del Estado frances recopilan datos a una escala que eclipsa todo lo que se acusa a X. Su argumento: la Direction Generale de la Securite Interieure (DGSI) de Francia opera programas de recopilacion masiva de metadatos bajo la Ley de Inteligencia de 2015, ampliada mediante legislacion antiterrorista posterior, que permiten la interceptacion de comunicaciones y la agregacion de datos a gran escala sin necesidad de ordenes judiciales individuales en muchos casos. El aparato estatal que ahora procesa a X por recopilacion de datos es a su vez uno de los recolectores de datos mas agresivos de Europa.
El momento politico agudiza el argumento. Las elecciones presidenciales francesas estan previstas para la primavera de 2027. Desde la adquisicion de Musk, X ha desafiado abiertamente las exigencias regulatorias de la UE, ha rehabilitado cuentas suspendidas, se ha negado a las ordenes de retirada de contenidos y ha ridiculizado a los funcionarios europeos. La investigacion de la CNIL abre un punto de presion que otorga a las autoridades francesas influencia sobre una plataforma que ha sido abiertamente poco cooperativa. Independientemente de la validez juridica de los cargos, el contexto politico hace dificil desestimar el planteamiento de Durov.
La hipocresia estructural de la politica digital europea
La critica de Durov senala una contradiccion que recorre toda la gobernanza digital europea. Los gobiernos que construyeron y financian programas de vigilancia masiva - el GCHQ en el Reino Unido, el BND en Alemania, la DGSI en Francia - son tambien los arquitectos y aplicadores del RGPD, un marco de privacidad del que se eximen explicitamente a traves de exclusiones de seguridad nacional. Los servicios de inteligencia operan completamente fuera del ambito del RGPD. Las empresas privadas se enfrentan a multas de miles de millones de euros por el mismo tipo de recopilacion de datos que los organismos estatales llevan a cabo con una supervision minima y transparencia nula.
Esta estructura de dos niveles no es accidental. Las leyes francesas de vigilancia de inteligencia se han ampliado de manera constante desde 2015. La investigacion del Proyecto Pegasus de 2021 revelo que la inteligencia francesa habia adquirido el software espia del Grupo NSO, herramientas disenadas para comprometer silenciosamente dispositivos y extraer datos que ni siquiera las aplicaciones de mensajeria cifrada pueden proteger. Nada de esto desencadeno acciones de ejecucion del RGPD. El RGPD no se aplica cuando quien recopila datos es el Estado.
Lo que senala la alianza Durov-Musk
La alianza publica entre Durov y Musk es notable porque sus plataformas suelen presentarse como competidoras en el espacio de las comunicaciones seguras. Ambos han chocado con los reguladores europeos: Telegram por las demandas de acceso policial, X por los requisitos de moderacion de contenidos. Su posicion compartida es que la accion regulatoria europea no es una aplicacion neutral de los derechos de privacidad, sino una aplicacion selectiva de las normas para coaccionar el cumplimiento de las plataformas en materia de contenido politico. Si esa caracterizacion es totalmente precisa es discutible. Pero la asimetria estructural - la vigilancia estatal exenta, la vigilancia de las plataformas procesada - otorga al argumento un peso real.
Mientras reguladores y plataformas luchan por los derechos sobre los datos a nivel institucional, la unica capa que protege de manera fiable a los usuarios individuales en ambos lados de esta ecuacion es el cifrado en el origen. Una VPN enruta el trafico a traves de un tunel cifrado antes de que llegue a cualquier plataforma sujeta a solicitudes de datos del gobierno, reduciendo la exposicion tanto a la recopilacion de datos corporativa que los reguladores estan combatiendo como a la interceptacion a nivel estatal de la que los reguladores se eximen.
