En octubre entra en vigor la Directiva de protección de datos de la Unión Europea. Poco conocida en los Estados Unidos, la Directiva prohibirá la transferencia electrónica de información personal sobre ciudadanos europeos a países con leyes de protección de la privacidad que se consideren inadecuadas. Como resultado, muchas empresas estadounidenses con operaciones europeas podrían ver interrumpidas significativamente sus actividades.
Una respuesta legislativa generalizada que imita la legislación europea es una reacción equivocada. Un mejor enfoque es la autorregulación de las industrias y empresas con más probabilidades de verse afectadas. Además, la propia Directiva de la UE parece respaldar estas acciones sectoriales.
Se proporcionará un examen más exhaustivo del tema en el próximo libro de Brookings de Swire y Litan, None of Your Business: World Data Flows, Electronic Commerce and the European Privacy Directive. Por Peter P. Swire y Robert E. Litan
Estados Unidos y el resto del mundo se encuentran inmersos en una revolución en el procesamiento de la información y la comunicación. Mucho acerca de esta revolución es bienvenido: computadoras personales más poderosas que los mainframes de hace una generación; comunicación prácticamente instantánea de voz y datos en todo el mundo; y un universo de información en constante expansión disponible en Internet.
No obstante, al menos un aspecto de la revolución informática ha generado una gran preocupación: la amenaza potencial a la privacidad individual. Con las dramáticas reducciones en el costo de procesamiento y acceso a la información, es más fácil que nunca rastrear a otras personas y averiguar muchas cosas sobre ellas: dónde están, qué compran, qué sitios visitan en la Web y muchos más. más. Por lo tanto, no es sorprendente que las encuestas de opinión pública informen que un impedimento importante para un mayor crecimiento del comercio electrónico (hacer negocios en Internet) es el temor de los usuarios de que la información que comunican llegue a otros sitios no deseados. manos y ser utilizado en formas que no aprueban.
Las crecientes preocupaciones sobre la privacidad en la era de la información han provocado un gran debate entre los responsables políticos aquí y en el extranjero. En particular, se está produciendo un vigoroso debate sobre si, y en qué medida, los problemas de privacidad, no solo en el contexto de Internet sino de manera más amplia, deben ser manejados por los mecanismos del mercado, la tecnología, la autorregulación de la industria o la regulación gubernamental obligatoria. .
En 1998, este debate podría estallar en una guerra comercial total. La chispa podría ser la implementación de la Directiva de Protección de Datos de la Unión Europea, que entrará en vigencia en octubre. Poco conocida en este país, excepto entre algunas industrias que son conscientes de su impacto potencial, la Directiva prohíbe (con algunas excepciones) la transferencia de información personal sobre ciudadanos europeos a otros países que carecen de la protección adecuada de la privacidad.
¿Decidirá la UE que Estados Unidos carece de protecciones de privacidad adecuadas? O, como creemos que es más probable, ¿se señalarán sectores importantes de la economía estadounidense como inadecuados? ¿Hay alguna forma de evitar el próximo enfrentamiento sobre la política de privacidad?
Política de privacidad a ambos lados del Atlántico
¿Cuándo se adelanta el reloj?
Si bien la privacidad se toma muy en serio a ambos lados del Atlántico, Estados Unidos y Europa adoptan enfoques muy diferentes al tema. Como explica Fred Cate en su excelente y reciente guía sobre la ley de privacidad, Privacidad en la era de la información (Brookings Institution Press, 1997), a diferencia de las naciones de Europa occidental, Estados Unidos no tiene una ley de privacidad única e integral. Tampoco tiene una agencia encargada de administrar tal ley. El enfoque de los Estados Unidos hasta la fecha ha sido más selectivo, regulando tanto al sector público como al privado estrictamente en ciertas áreas (la divulgación de datos personales por parte del gobierno, las agencias de informes crediticios, los proveedores de televisión por cable y las tiendas de alquiler de videos), pero manteniendo la manos fuera del sector privado. La ausencia de una legislación de privacidad genérica en los Estados Unidos no es una indicación de que la privacidad carece de importancia, sino que refleja el hecho de que la Constitución y las legislaturas, tanto a nivel federal como estatal, también valoran los objetivos de las políticas en competencia, incluida la prevención y el enjuiciamiento de actos delictivos. , la protección de la prensa de la Primera Enmienda, y una sospecha generalizada de intervención del gobierno, sospecha que parece haber aumentado en los últimos años.
El enfoque europeo de la privacidad es más completo y restrictivo, lo que refleja el hecho de que en Europa, la privacidad es un derecho humano claramente establecido que merece una protección estricta. Algunas leyes nacionales de privacidad han existido durante más de veinte años, pero en 1995 la Unión Europea adoptó la directiva general. La Directiva tiene como objetivo actualizar y armonizar las protecciones de privacidad en toda la UE, y requiere que cada nación miembro de la UE adopte una estricta ley de privacidad que debe incluir ciertos elementos:
Que Estados Unidos y la UE difieran en sus enfoques de la privacidad, así como en sus enfoques de una variedad de cuestiones políticas, no importaría, excepto por una cosa. El artículo 25 de la Directiva prohíbe la transferencia de datos personales de cualquier persona de la UE a otros países que la UE determine que no proporciona un nivel adecuado de protección de la privacidad. La Directiva contiene una serie de derogaciones (excepciones) a su prohibición plana, como los casos en los que: el interesado ha dado su consentimiento inequívoco a la transferencia; la transferencia es necesaria para completar una transacción (como la compra de un billete de avión o el uso de una tarjeta de crédito en Europa); la información personal es pública de otro modo; o la parte que desea enviar la información ha celebrado un contrato aprobado por la autoridad supervisora del país desde el cual planea transferir los datos. Sin embargo, a juzgar por los pronunciamientos públicos de los funcionarios de la UE hasta el momento, es probable que estas excepciones se interpreten de manera restrictiva. Por lo tanto, es probable que la prohibición, en general, tenga consecuencias reales.
rusia antes de pedro el grande
¿Qué decidirá la UE?
Adivinar exactamente cómo aplicará la UE la prueba de idoneidad a los Estados Unidos es una empresa peligrosa, porque los funcionarios de la UE han estado enviando mensajes contradictorios. Las señales mixtas pueden deberse a los deseos simultáneos de la UE de parecer estricta pero razonable, estricta para alentar a los Estados Unidos a cambiar sus leyes de privacidad, razonables para evitar la interrupción del comercio normal. Otra causa puede ser la política interna de la UE. Quizás comprensiblemente, los funcionarios responsables de la protección de datos han marcado la línea más dura en público, sugiriendo en discursos que las protecciones de privacidad actuales en los Estados Unidos no son adecuadas para los propósitos europeos. Otros funcionarios, como los que están presionando a Europa para que participe activamente en el comercio electrónico y, por lo tanto, desconfían de los movimientos que podrían inhibir el flujo de datos dentro y fuera de la UE, han adoptado un tono más comprometedor. A partir de nuestras conversaciones con funcionarios gubernamentales de EE. UU. Y Europa y personas conocedoras de la comunidad corporativa a ambos lados del Atlántico, proyectamos los siguientes resultados:
Sectores y prácticas en riesgo
La lista anterior de posibles objetivos podría representar solo la punta del iceberg. Si la UE decide que el enfoque de gran autorregulación seguido por Estados Unidos no es suficiente para justificar una conclusión de adecuación, es posible un embargo de información mucho más amplio. Sin duda, los funcionarios de la UE podrían, no obstante, permitir el paso de cierta información en virtud de una o más de las excepciones. Pero según nuestras entrevistas y nuestra lectura de la Directiva en sí, la transferencia de mucha información sobre personas en Europa podría restringirse, con efectos perturbadores quizás sorprendentemente graves.
Algunos de los impactos adversos podrían sentirlos cualquier empresa que opere en Europa, independientemente de la nacionalidad de su propietario. Todas las corporaciones mantienen amplias bases de datos que contienen información personal sobre sus funcionarios, empleados, proveedores y clientes. Si la corporación opera tanto en los Estados Unidos como en Europa, es casi seguro que almacena estos datos en una o más computadoras centrales o servidores ubicados a ambos lados del Atlántico, moviendo la información de un lado a otro según sea necesario.
Ahora considere lo que sucedería si un gobierno europeo, de acuerdo con la política de la Comisión Europea, dijera a las empresas multinacionales con oficinas en Europa que no pueden transferir datos personales a los Estados Unidos, ya sea por telecopia, en un disco de computadora, o por Internet. De repente, la empresa descubriría que no podía enviar ninguna información personal sobre sus empleados europeos, frustrando su capacidad para relacionar a su gente con puestos de trabajo. Los empleados que utilicen intranets o extranets de la empresa (redes de información con proveedores y clientes clave) encontrarían sus comunicaciones con otros en los Estados Unidos sujetas a prohibiciones y sanciones si contuvieran información que cumpliera con la definición amplia de datos personales. Las bases de datos llenas de información sobre clientes europeos no pudieron enviarse a los Estados Unidos para su procesamiento.
¿Son estos posibles efectos adversos fantasiosos? Lamentablemente no. Además, no es probable que se limiten a unas pocas empresas. Todas las empresas multinacionales que operan en Europa con presencia en EE. UU. Podrían encontrar necesario cambiar radicalmente la forma en que mantienen y transfieren datos sobre empleados y clientes si la UE toma una determinación amplia de que gran parte de la economía de EE. UU. Carece de la protección de privacidad adecuada.
Mientras tanto, incluso las determinaciones más estrictas de insuficiencia podrían ser especialmente perjudiciales para determinadas industrias. Las aerolíneas y las cadenas de hoteles que hacen negocios en Europa podrían verse incapaces de transferir datos que indiquen las preferencias de comida, asientos y otras preferencias de los viajeros a los sistemas de reservaciones en los Estados Unidos. Las empresas farmacéuticas podrían encontrar imposible compartir datos de ensayos de investigación europeos incluso con sus propios empleados ubicados en los Estados Unidos. Los banqueros de inversión que deseen ejecutar acuerdos en Europa podrían verse incapaces de recopilar datos sobre los funcionarios que dirigen las empresas que sus clientes pueden querer comprar. Se podría prohibir a las firmas contables de los Estados Unidos que realicen auditorías de transacciones que involucren a individuos europeos.
Algunos escépticos nos han dicho que los europeos nunca tomarían medidas que pudieran producir estos efectos. No han escuchado los comentarios de varios funcionarios europeos o no han leído la Directiva con atención. Otros pueden afirmar que los europeos nunca pudieron hacer cumplir ninguna restricción de datos. Eso puede ser cierto. Pero el hecho de que muchas transferencias de datos simplemente puedan volverse ilegales expone a cualquier empresa que haga negocios en Europa a la amenaza potencial de acciones legales, publicidad negativa y acoso. Además, las empresas estadounidenses en particular deben recordar que sus operaciones europeas están formadas en gran parte por europeos, y las empresas arriesgan la buena voluntad de sus empleados y clientes si violan conscientemente la legislación europea.
Evitando el enfrentamiento
Es una suposición segura que entre ahora y octubre de 1998, Estados Unidos no adoptará en forma legislativa el tipo de sistema regulatorio integral para proteger la privacidad personal que ahora prevalece en Europa. Esto es cierto a pesar del hecho de que solo en el 104º Congreso (1995-96), se presentaron cerca de 1.000 proyectos de ley que contienen algunas disposiciones relativas a la privacidad. Ni el Congreso controlado por los republicanos ni la Administración Clinton tienen el apetito por el tipo de enfoque regulatorio general que se encuentra ahora en Europa.
¿Significa esto que Estados Unidos y la UE están en curso de colisión sobre el tema de la privacidad? No necesariamente. Si los funcionarios de ambos lados del Atlántico muestran algo de creatividad y flexibilidad durante los próximos meses, existe al menos una posibilidad de que se pueda evitar una guerra de privacidad.
En particular, Estados Unidos debería tomar dos pasos importantes en su propio interés y el de sus ciudadanos que, al mismo tiempo, podrían proporcionar una cobertura suficiente para que los europeos se abstengan de implementar incluso un embargo parcial sobre la información personal que de otro modo estaría destinada a este país. . Los funcionarios europeos podrían afirmar para el consumo interno que fue su Directiva la que nos indujo a tomar el tema de la privacidad más en serio.
propiedades físicas de venus
Primero, debido a que no existe un hogar institucional dentro del gobierno federal para asuntos relacionados con la privacidad en el sector privado, la Administración debe establecer una oficina permanente que se ocupe no solo de la privacidad, sino de otros temas que afectan al comercio electrónico en general, como el cifrado, Impuestos sobre Internet (que deberían evitarse) y protección de la propiedad intelectual en la Red. Nuestra preferencia sería ubicar esa oficina dentro del Departamento de Comercio, que debería tener una misión actualizada en esta era digital para incluir la facilitación del comercio electrónico.
En segundo lugar, en lugar de establecer una nueva agencia federal para emitir regulaciones detalladas que rijan la privacidad, las diferentes industrias deben establecer sus propios códigos de conducta de privacidad y las empresas dentro de ellas deben acordar cumplir con dichos códigos de una manera que pueda ser verificada. Como mínimo, dichos códigos deben incluir principios de privacidad que: (1) notifiquen a los consumidores qué datos se recopilan sobre ellos y cómo se pretende usarlos, y (2) brinden una oportunidad significativa para que los consumidores limiten el uso y reutilización de sus datos personales, así como para corregir errores que pudieran existir en los ficheros de la empresa. La ventaja clave de los códigos desarrollados por empresas e industrias individuales es que, por definición, evitan la mentalidad única de los reguladores gubernamentales y dan como resultado prácticas que se adaptan a circunstancias específicas en diferentes sectores de la economía.
Los críticos de ambos lados del Atlántico pueden objetar que la autorregulación es inadecuada porque no se puede hacer cumplir. Esto no es verdad. Las empresas que informan a los consumidores sobre su política de privacidad y no la cumplen estarán abiertas a demandas por tergiversación y a enjuiciamiento por parte de la Comisión Federal de Comercio o de los estados por participar en una práctica injusta o engañosa. Además, las personas que se sienten agraviadas siempre pueden informar a los medios de comunicación, que han demostrado ser quizás las herramientas de aplicación más eficaces de todas. El año pasado, Lexis-Nexis, AOL y Experian se convirtieron en sujetos de historias de los medios sobre sus prácticas de datos y, una vez expuestas, cada empresa abandonó rápidamente la práctica.
Sin embargo, el enfoque de autorregulación tiene pocas posibilidades de convencer a la UE de que Estados Unidos mantiene protecciones de privacidad adecuadas, a menos que las empresas estadounidenses en varios sectores se muevan agresivamente para adoptar y adherirse a principios claros de privacidad. Uno de nosotros (Peter Swire) participa actualmente en un esfuerzo encabezado por Alan Westin, ex profesor de derecho en la Universidad de Columbia y ampliamente considerado como el experto legal más destacado del país en materia de privacidad, para desarrollar dichos códigos. La Administración, por su parte, ha notificado al sector privado que espera grandes avances en la dirección de la autorregulación para este verano, cuando un informe sobre este tema debe estar en el escritorio del presidente Clinton, o de lo contrario instará a la adopción. de la legislación.
En ese momento, el ofrecimiento de patrocinar la legislación —desconocido en este momento en su contenido y amplitud— puede ser demasiado poco y demasiado tarde para apaciguar a los europeos. Sin embargo, lo más fundamental es que creemos que la legislación en este ámbito es prematura, especialmente en lo que respecta a la información en Internet. Dados los fuertes temores del público sobre la falta de privacidad en la Red, las empresas interesadas en el comercio electrónico tienen fuertes incentivos basados en el mercado para abordar los problemas de privacidad. De hecho, ahora se están desarrollando varios enfoques tecnológicos que incorporarían protecciones de privacidad en la estructura de las transacciones de Internet. Uno de esos mecanismos permitiría a los consumidores especificar una opción predeterminada en su navegador en relación con la cantidad de información personal sobre ellos que se transmitirá a menos que se anule específicamente. Dada la tendencia del Congreso a ser altamente prescriptivo en cualquier legislación que promulgue, es difícil estar seguro de que incluso un proyecto de ley de privacidad minimalista, uno que simplemente codificó algunos principios de privacidad simples, surgiría sin muchas otras restricciones potencialmente onerosas e imprudentes. adjunto.
Un enfoque más práctico sería que la Casa Blanca y / o la nueva oficina del Departamento de Comercio alentaran el rápido desarrollo de códigos de privacidad por parte de empresas con prácticas de privacidad que probablemente sean motivo de preocupación, no solo para los europeos, sino también para los estadounidenses. De hecho, la Administración tiene previsto llevar a cabo una serie de reuniones con empresas de sectores clave para instarlas a desarrollar o actualizar sus políticas de privacidad, no solo para evitar un posible conflicto con Europa, sino también para evitar la imposición de nueva legislación potencialmente onerosa por parte del Congreso y los Estados. El sector privado debe actuar con rapidez y acelerar el desarrollo y la implementación de políticas, principios o códigos de conducta de privacidad o, de lo contrario, el vacío se llenará con la acción del gobierno. Además, la UE tendría dificultades para resistir un importante impulso de autorregulación por parte del sector privado aquí. Después de todo, el artículo 27 de la propia Directiva sobre privacidad instruye a los Estados miembros y a la Comisión a fomentar el desarrollo de códigos de conducta. Si la UE reconoce el progreso hacia la autorregulación en este país, entonces se puede evitar el próximo enfrentamiento sobre la privacidad.