Por dell cameron
No hace ni un mes, 53 legisladores de la Cámara votaron, por primera vez en este siglo, para enviar un proyecto de ley federal de privacidad integral al pleno. Fue un logro loable, pero ha estado congelado desde entonces. Ahora, cuando faltan menos de 100 días para las elecciones de mitad de período, cualquier esperanza de que se lleve a cabo una reforma nacional de la privacidad antes de que tome posesión un nuevo Congreso es cada vez más tenue.
La Ley de Protección y Privacidad de Datos de los Estados Unidos (ADPPA, por sus siglas en inglés) puede haber avanzado más que cualquiera de sus predecesoras, pero hay muchos obstáculos en su camino: tiene detractores vocales en ambos lados del pasillo, incluido uno cuyo apoyo es absolutamente clave para obtener un punto de apoyo en el Senado. Y sus partidarios más entusiastas se apresuran a reconocer que el proyecto de ley no está exento de fallas. Algunos demócratas siguen insistiendo en que el proyecto de ley es demasiado débil, especialmente en California, cuyos residentes ya disfrutan de las protecciones de privacidad más estrictas del sindicato. Mientras tanto, algunos republicanos sostienen que la ley es demasiado onerosa para las corporaciones, los mismos gigantes tecnológicos que han estado amenazando con intimidar durante años por acusaciones de parcialidad en gran parte ilusorias.
Lo que le dirán los más cercanos a la mesa de negociación es que existe un amplio consenso en al menos un punto: la aprobación de la Ley de Protección y Privacidad de Datos de los Estados Unidos demostraría una victoria bipartidista legítima. En una era política marcada por divisiones extremas, uno podría incluso llamarla histórica. Dejando a un lado los obstáculos, se beneficia enormemente del hecho de que la privacidad, o su casi extinción, ha logrado abrirse camino en ese reino de problemas raros endurecidos contra las guerras culturales alimentadas todas las noches por nuestra política exasperantemente partidista.
La ADPPA es un proyecto de ley largo que incluso los abogados especializados en privacidad han tenido algunas dificultades para analizar. Incluye una red de excepciones, tanto para las entidades que cubre como para los tipos de información que están obligadas a recopilar. La maldición de regular la tecnología es que avanza tan rápido que se necesita cierto grado de ambigüedad para evitar que la ley se vuelva irrelevante al día siguiente. Debido a esto, muchas de las protecciones que ofrece se basan en gran medida en el concepto de razonabilidad ., otorgando a los tribunales un espacio considerable en el futuro para determinar cómo se aplican. En términos generales, busca regular que las empresas de información «recopilen, procesen o transfieran», en la medida en que dicha información pueda estar «razonablemente vinculada a un individuo o dispositivo». La idea es proteger a los consumidores al establecer nuevos límites en las categorías de datos humanos que las empresas pueden recopilar y usar, minimicándolos idealmente a solo lo que se necesita para proporcionar un servicio solicitado por los usuarios.
“Esta es una ley que puede aprobarse”, dijo Nathalie Maréchal, directora de políticas de Ranking Digital Rights. “Es extraño que no tengamos un proyecto de ley federal de privacidad de referencia, y esto es mucho mejor que el statu quo”.
David Brody, abogado del Comité de Abogados por los Derechos Civiles Bajo la Ley, estuvo de acuerdo. “Creo que es tan bueno como razonablemente se puede esperar que sea, en algo que es bipartidista”, dijo.
Las leyes y regulaciones en las que confían los estadounidenses para proteger su privacidad son, en el mejor de los casos, obsoletas. En el peor de los casos, perpetúan daños graves al otorgar a los principales titulares de datos como Amazon y Google una enorme libertad para manipular y violar la confianza de las personas sin infringir nunca la ley. Otorgada por el Congreso un siglo antes de que el poder de la plataforma comenzara a dominar casi toda la vida y los negocios, la autoridad de la Comisión Federal de Comercio para investigar prácticas «engañosas» e «injustas» no anticipa la mercantilización masiva del comportamiento personal de los consumidores. No se puede esperar más que un texto medieval sobre la peste contenga conocimiento de la medicina moderna que una ley anterior a la era de la radio para comprender las alturas del oportunismo que se han alcanzado a través de la vigilancia desenfrenada de miles de millones.
En un sentido legal, las empresas involucradas en prácticas de datos turbios rara vez “engañan” a sus clientes. Si bien las políticas de privacidad se han convertido en el estándar de la industria, una práctica mantenida por los guardianes de la plataforma como Apple y Google más que cualquier mecanismo legal, nada prohíbe a los principales titulares de datos enterrar a sus clientes en una avalancha de tonterías vagas y demasiado técnicas. Todo este esquema gira en torno a una teoría evidentemente absurda, que el usuario promedio de Internet es alguien razonablemente capaz, para empezar, de atravesar toda esta ofuscación contractual.
“Cuando haces algo con una empresa, simplemente te ponen un galimatías delante de ti. Haces clic en una casilla y no te das cuenta de que acabas de aceptar no demandarlos nunca”, dijo Adam Schwartz, abogado sénior de Electronic Frontier Foundation. (En particular, la ADPPA hace poco para evitar esto).
Incluso si los términos fueran justos y fáciles de comprender, la mayoría encontraría que solo les queda la ilusión de elegir. El monopolio que se ha convertido en el sello distintivo del dominio de las plataformas en la actualidad le ha dado a un puñado de empresas un control de portero sin precedentes sobre la mayoría de los modos modernos de intercambio interpersonal, así como las mismas reservas de conocimiento humano. Las presiones sociales y las exigencias de la vida profesional más o menos obligan a los usuarios ahora a aceptar cualquier término que se les presente.
El senador Roger Wicker, republicano y miembro de alto rango del Comité Senatorial de Comercio, Ciencia y Transporte, instó a sus colegas el mes pasado a adoptar la ADPPA y agregó que, si bien ninguna legislación es perfecta, el proyecto de ley representa el «compromiso bipartidista y bicameral». ” con la “mejor oportunidad de llegar al escritorio del presidente antes de fin de año”. Dicho esto, Wicker asintió vagamente hacia el deseo de ajustar aún más el alcance del proyecto de ley.
El senador Ron Wyden, uno de los defensores de la privacidad más prominentes del Capitolio, y autor de una legislación mucho más estricta , que haría que los ejecutivos fueran encarcelados por mentir sobre sus prácticas al Congreso, sigue sin estar convencido de que la ADPPA limite lo suficiente el uso de lo que el proyecto de ley llama “ datos anonimizados”. “El senador Wyden está analizando de cerca la última versión del proyecto de ley de la Cámara”, dijo a Gizmodo el portavoz principal, Keith Chu, en un correo electrónico. “Sin embargo, el proyecto de ley continúa eximiendo los datos no identificados, que sabemos que pueden volver a vincularse fácilmente a estadounidenses individuales”.
El mayor logro de la ADPPA es que trae un compromiso a dos áreas de disputa que han negado durante mucho tiempo la posibilidad de cualquier legislación bipartidista: preferencia estatal y derecho de acción privado (la capacidad de los consumidores individuales, o clases de ellos, de llevar a las empresas a los tribunales por su cuenta). ). La prioridad estatal ha sido durante mucho tiempo un requisito para cualquier proyecto de ley que busque obtener el favor de los republicanos. Si bien los defensores de la privacidad se oponen estrictamente a la idea, el proyecto de ley tal como se propone se adelantaría a la autoridad de los estados para aprobar sus propios paquetes integrales de privacidad. Y aquí radica el mayor obstáculo para su aprobación: ganarse a los californianos que ya han luchado para proteger sus propios datos y han obtenido un control significativo por sí mismos. En 2020, más de 9.3 millones de residentes de California votaron para aprobar la Ley de Derechos de Privacidad del Consumidor (CPRA),
Estas enmiendas de California introdujeron conceptos como “información personal sensible”, una clasificación que requiere controles aún más estrictos que para la que es meramente “personal”. Amplió el «derecho a eliminar», ahora requiere que las empresas envíen esas demandas a terceros con quienes pueden compartir sus datos. Y agregó credenciales de inicio de sesión a la lista de elementos por los que las personas podrían demandar a raíz de una violación de datos. Es más, creó un nuevo organismo de control para el estado, la Agencia de Protección de Privacidad de California, otorgándole una variedad de poderes de investigación y cumplimiento.
En resumen, la ADPPA refleja en gran medida las protecciones que disfrutan los californianos. En cierto modo, es una ley aún más fuerte. La ADPPA, por ejemplo, prohibiría estrictamente la publicidad dirigida a niños y menores de 17 años, algo que la CPRA no cumple. La CPRA requiere que las empresas informen a los residentes sobre su «derecho de exclusión voluntaria» de la venta o transferencia de sus datos personales; sin embargo, pocos usuarios, si es que los hay, son realmente conscientes de cuáles y cuántas empresas poseen esa información. Por el contrario, el mecanismo de “No vender” que la ADPPA busca crear permitiría, en teoría, a los consumidores hacer demandas a empresas que ni siquiera saben que existen. Y a diferencia de la CPRA, la ADPPA no libera por completo a los titulares de datos cuando los terceros con los que trabajan se comportan de manera delictiva o negligente.
Los expertos en privacidad han destacado algunos aspectos del proyecto de ley federal que parecen más débiles que la ley de California. Una disposición de la CPRA, por ejemplo, prohíbe estrictamente que los legisladores estatales modifiquen la ley a menos que sea para proteger aún más a los consumidores. Viceversa, la ADPPA siempre sería susceptible de que un Congreso más sesgado hacia los negocios la diluya en el futuro.
La CPRA requiere que los grandes titulares de datos auditen periódicamente sus propias prácticas. Y aunque la ADPPA también lo hace, hay un par de diferencias clave: California requiere que las empresas divulguen los resultados de esas auditorías a los reguladores cada año de forma predeterminada. La ADPPA requeriría que las empresas realicen auditorías cada dos años, y las haría accesibles solo a pedido del gobierno.
Otros han afirmado que la ley estatal protege mejor a los consumidores contra la discriminación de precios, aunque la diferencia puede, en la práctica, ser insignificante. Si bien la ADPPA prohibiría a las empresas cobrar a los usuarios tarifas diferentes para brindar el mismo servicio relacionado con la privacidad, contiene una excepción para uno en particular: cuando los usuarios ejercen su derecho a exigir que se eliminen los datos personales, las empresas pueden ofrecer «diferentes tipos de fijación de precios” en la tramitación de dichas solicitudes. Si bien la ley de California pretende prohibir tales esquemas de precios escalonados, no parece hacerlo si la diferencia de precio está “razonablemente relacionada con el valor” de los datos en sí.
Por otro lado, la legislatura de California también ha definido la fijación de precios prohibidos utilizando términos adicionales y más amplios, lo que es «injusto», «coercitivo» o «usurario», y no simplemente irrazonable, un hecho que podría, potencialmente, llevar a los jueces a aplicar menos presunciones a favor de prácticas comerciales turbias cuando los consumidores acuden a los tribunales para obtener ayuda.
La preferencia viene en varios sabores y la ADPPA hace todo lo posible para encontrar el término medio. Algunas leyes federales, por ejemplo, prohíben que los estados aprueben cualquier cosa, incluso tangencialmente relacionada con un tema. La ADPPA solo tiene prioridad sobre lo que está directamente «cubierto» por el proyecto de ley. Además, contiene numerosas exenciones que dan a las legislaturas estatales espacio para promulgar leyes de privacidad en una amplia gama de áreas. Mantendrían el poder, por ejemplo, de aprobar leyes adicionales que aborden los derechos de privacidad de los estudiantes y empleados, o fortalecer aún más las protecciones en torno a los datos médicos y bancarios, así como cualquier información personal contenida en los registros públicos. Los ayuntamientos seguirían siendo libres de regular las escuchas telefónicas y otras formas de espionaje electrónico o prohibir que los departamentos de policía adopten el reconocimiento facial y otras herramientas de vigilancia invasivas.haber hecho
Cuando se trata de empoderar a los usuarios para que lleven a los violadores de la privacidad a los tribunales civiles, los republicanos generalmente se oponen. Prefieren, en cambio, una estructura de ejecución de dos niveles que otorgue a la Comisión Federal de Comercio y a los fiscales generales del estado el poder de tomar medidas enérgicas contra los infractores.
La ADPPA, nuevamente, logra un equilibrio. Los consumidores pueden acudir a los tribunales cuando consideran que se han violado los derechos que les otorgan determinadas disposiciones, pero la gama de recursos a disposición de los tribunales es limitada. Los jueces pueden otorgar daños compensatorios, por ejemplo, que aborden estrictamente cualquier daño real sufrido. En algunos casos, pueden otorgar medidas cautelares, ordenando a las empresas que no participen en ciertas actividades que puedan causar más daño. (Una cláusula de «derecho a subsanar» en el proyecto de ley impide el uso de medidas cautelares, en caso de que un infractor logre remediar la infracción por su cuenta dentro de los 45 días posteriores a la notificación del consumidor).
Lo que les faltaría a los tribunales bajo la ADPPA es la capacidad de castigar financieramente a las empresas por su comportamiento más atroz, algo que, según los expertos en privacidad, es un gran compromiso por parte de los consumidores.
“Es un problema”, reconoció Brody. “Probablemente el componente más débil de todo el proyecto de ley es la falta de daños punitivos”.
Pero los límites a la acción privada no son necesariamente tan importantes como parecen. Los fallos recientes de la Corte Suprema han puesto a prueba la capacidad de las víctimas de violación de datos para buscar reparación en la corte federal de todos modos. El Congreso no puede simplemente convertir en ley que una violación equivale a daño. Como dice el tribunal : “Una lesión de derecho no es una lesión de hecho”. Los consumidores deben demostrar concretamente que han sufrido un daño “real” como resultado de una infracción. Aparentemente, el mero hecho de que violen su privacidad no es suficiente. En cualquier caso, vincular un daño “concreto” a la empresa que lo causó no siempre es fácil de hacer.
Uno de los principales grupos de derechos digitales del país, la EFF, ha expresado notablemente su decepción por varios de los límites de la ADPPA. Adam Schwartz, quien representó a los viajeros cuyos dispositivos fueron incautados en la frontera de EE. UU., dijo que el oprobio de la EFF no debe interpretarse como una oposición abierta. Tiene preocupaciones clave, dijo, la mayoría de las cuales giran en torno a la exención del proyecto de ley para la aplicación de la ley. Cualquier empresa que «recopile, procese o transfiera datos cubiertos» en nombre de una agencia gubernamental es básicamente inmune a sus protecciones.
“El gobierno ahora está comprando sin querer los datos de ubicación de la aplicación del teléfono y usándolos para investigar a las personas, pero las personas no saben que están siendo investigadas”, dijo. “Estamos potencialmente a años de que los tribunales hagan cumplir la Cuarta Enmienda y, mientras tanto, necesitamos que el Congreso haga algo”.
En los últimos años, varias empresas han sido sorprendidas vendiendo datos personales de personas al gobierno. Eso incluye información que, de otro modo, agencias como el FBI podrían necesitar una orden judicial u otro proceso legal para obtener. No fue hasta este mes que los líderes demócratas del Congreso exigieron detalles específicos sobre esta actividad a una variedad de agencias, incluido el FBI y el Departamento de Seguridad Nacional. Poco se sabe públicamente sobre el apetito del gobierno por comprar datos privados y existen pocas o ninguna regla para evitarlo. Pero durante años se ha sabido que al menos algunas empresas han proporcionado información confidencial al gobierno a cambio de un precio, eludiendo los requisitos probatorios derivados de las protecciones garantizadas por la Cuarta Enmienda.
El senador Wyden, que cuestionó la definición de ADPPA de datos «no anonimizados», también expresó su preocupación por la posibilidad de una laguna que «podría permitir que los corredores de datos vendan datos de ubicación al gobierno sobre visitas a centros de salud reproductiva, por ejemplo , u otra información privada que es trivialmente fácil de conectar con las personas”.
Schwartz está de acuerdo, argumentando que el proyecto de ley no da a los contratistas del gobierno un amplio margen de maniobra para compartir información con el gobierno. “Cuando mezclas eso con la preferencia, se vuelve muy aterrador”, dijo. Schwartz señaló el caso flagrante de Clearview AI, una empresa de vigilancia privada que ha colaborado con cientos de departamentos de policía y es conocida por haber recolectado miles de millones de fotografías de las redes sociales sin el permiso de nadie.
“Si el Congreso aprobara esta ley hoy sin la preferencia”, dijo Schwartz, “y al día siguiente Clearview convenciera a un juez de que esta es su tarjeta para salir de la cárcel, entonces queremos que California o Nueva York o algún estado diga , ‘Está bien, vamos a aprobar la misma ley que la ADPPA, pero vamos a regular Clearview como cualquier otra entidad cubierta’”.
Sin embargo, los expertos dicen que este vacío legal podría cerrarse fácilmente si el Congreso también aprobara un proyecto de ley patrocinado por Wyden titulado de manera llamativa, La Ley de la Cuarta Enmienda no está a la venta . El lenguaje en ese proyecto de ley protegería efectivamente cualquier información para la cual tradicionalmente se requiere una orden judicial.
Otra concesión que alarma a la EFF es que, por el momento, la ADPPA permitiría a las empresas continuar obligando a los usuarios a someterse a arbitraje, adjuntando cláusulas a sus términos de servicio que esencialmente prohíben a los usuarios abordar cualquier irregularidad en los tribunales. La única excepción introducida en el proyecto de ley hasta ahora bloquea el arbitraje para menores y víctimas de violencia de género y de pareja.
Incluso con todas sus posibles deficiencias, la ADPPA, al menos por ahora, sigue siendo la mejor esperanza para los estadounidenses oprimidos durante mucho tiempo por el comportamiento egoísta y explotador de las corporaciones que, mientras alimentan a las personas con aspiraciones acerca de conectar y empoderar a los usuarios, se han vuelto locas. ; manipular, mentir y abusar de su confianza, exponiéndolos al robo, fraude, acoso, violencia e incluso la muerte sin una apariencia de lealtad o cuidado.
GIZMODO