Cómo nuestras leyes de privacidad obsoletas condenaron a las aplicaciones de rastreo de contactos

La pandemia nos ha enseñado muchas cosas: cuán vulnerables todavía somos a las enfermedades no controladas. Cuán divididos estamos políticamente, incluso cuando se trata de proteger nuestra salud. Cuánto hemos dado por sentada la erradicación de enfermedades anteriores, como la poliomielitis y la viruela. Cuánto disfrutamos de la simple libertad de comer en un restaurante o curiosear en una tienda. Cuánto dependemos de la interacción con amigos y familiares para nuestra felicidad diaria.





Soy un abogado de privacidad, por lo que una de las lecciones que aprendí de la pandemia tiene que ver con la privacidad y el fracaso de las aplicaciones de rastreo de contactos. La primavera pasada, cuando la enfermedad comenzó a propagarse rápidamente, estas aplicaciones fueron anunciadas como una forma prometedora de controlarlo mediante el seguimiento de los diagnósticos y la exposición a través de la autoevaluación y el seguimiento de la ubicación. En ese momento, Apple y Google anunciaron un esfuerzo conjunto para desarrollar tecnología que los departamentos de salud gubernamentales puedan usar para crear aplicaciones para sus comunidades, con la privacidad y la seguridad del usuario como un elemento central del diseño. Si bien estas aplicaciones han tenido éxito mixto en todo el mundo, han sido un gran fracaso en los Estados Unidos. De hecho, a pesar de las esperanzas iniciales y los múltiples esfuerzos para implementar estas aplicaciones en varios estados y localidades, los estadounidenses las han rechazado en gran medida y han jugado un papel importante papel mínimo en el control de la enfermedad.



Una razón clave de esta falla es que las personas no confían en las empresas de tecnología o en el gobierno para recopilar, usar y almacenar sus datos personales, especialmente cuando esos datos involucran a sus salud y paradero preciso . Aunque Apple y Google se comprometieron a construir medidas de privacidad en el diseño de las aplicaciones, incluida la opción de inclusión voluntaria, el anonimato, las limitaciones de uso y el almacenamiento de datos solo en el dispositivo del usuario, los estadounidenses simplemente no quedaron convencidos. Por ejemplo, un Washington Post / University of Maryland encuesta realizado poco después del anuncio de la aplicación encontró que el 50% de los usuarios de teléfonos inteligentes no usaría una aplicación de rastreo de contactos incluso si prometiera depender del rastreo y los informes anónimos; El 56% no confiaría en que las grandes empresas tecnológicas mantengan los datos en el anonimato; y el 43% ni siquiera confiaría en las agencias de salud pública y las universidades para hacerlo. En junio, la desconfianza de los estadounidenses había aumentado, con un nueva encuesta mostrando que el 71% de los encuestados no usaría aplicaciones de rastreo de contactos, y la privacidad se citó como la razón principal.



Los problemas de privacidad no fueron la única razón por la que estas aplicaciones fallaron. Como predijeron los expertos, también fallaron por otras razones, incluida la insuficiencia de las pruebas, la falta de confiabilidad de los autoinformes y la propagación amplia y rápida de la enfermedad. Sin embargo, la respuesta de los estadounidenses a estas aplicaciones muestra que la privacidad ahora juega un papel fundamental en la toma de decisiones. Contrariamente al antiguo argumento de que la gente decir les importa la privacidad pero actuar como si no lo hicieran (a veces llamado el paradoja de la privacidad ), Los estadounidenses se negaron a usar estas aplicaciones en gran parte debido a problemas de privacidad. La privacidad realmente importaba.



Los estadounidenses tenían buenas razones para desconfiar de la recopilación de datos de estas aplicaciones. En los últimos años, han sido víctimas una y otra vez por violaciones de datos y otra abusos de privacidad (incluso por el gran tecnología compañías ) demasiado numerosos para mencionarlos. En muchos casos, las leyes de privacidad en este país no han logrado protegerlos de estos abusos, ya sea porque los abusos quedaron fuera del alcance limitado de estas leyes o porque las leyes impusieron sanciones u otros recursos insuficientes. Los mismos peligros acechaban con respecto a las aplicaciones de rastreo de contactos. De hecho, como probablemente sepan los lectores de este blog, los EE. UU. No tienen una ley de protección de datos de referencia que proteja los datos confidenciales obtenidos a través de estas aplicaciones.



evento gregoriano fecha mes año

Si bien EE. UU. Tiene leyes que protegen cierto datos en cierto sectores del mercado, esas leyes tienen una aplicación limitada aquí. De hecho, ninguna ley de los EE. UU. De la que tenga conocimiento requeriría claramente que todos los datos recopilados a través de las aplicaciones de rastreo de COVID se almacenen y transmitan de manera segura, se utilicen solo con el propósito de rastrear COVID y se eliminen de forma segura cuando ya no se necesiten para este fin. Sin tales protecciones, no hay garantía de que estos datos confidenciales no terminen en manos de compañías de seguros, empleadores, acreedores, ladrones de identidad o acosadores, para ser utilizados de manera que puedan dañar o discriminar a las personas.



Por ejemplo, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) proporciona ciertas protecciones para nuestra información médica, pero solo si los datos son recopilados y utilizados por un entidad cubierta —Es decir, un proveedor médico como un médico o un hospital o un socio comercial que ayude a realizar actividades médicas. Ese no fue el caso aquí, ya que los departamentos de salud estatales y locales eran los que recopilaban y usaban los datos. En cualquier caso, en abril, el HHS ya había anunciado que estaba suspender La aplicación de la HIPAA y las sanciones para muchas entidades cubiertas que tomaron medidas de buena fe para combatir el COVID, lo que hace que la pregunta sea en gran medida discutible y sugiere que el HHS consideraba que sus propias reglas de privacidad de la salud estaban mal equipadas para hacer frente a una emergencia de salud pública.

A otras leyes de EE. UU. No les va mucho mejor. El Ley de la FTC permite que la FTC impugne, generalmente después de los hechos, actos o prácticas injustas o engañosas en el comercio, incluidas las tergiversaciones materiales sobre la privacidad o seguridad de los datos, o las prácticas de datos que causan daños importantes al consumidor sin compensar los beneficios. Aunque se puede decir que esta ley tiene la aplicación más amplia de cualquier ley de EE. UU. Aplicable a la privacidad, no se acerca a brindar las protecciones específicas necesarias aquí: límites claros sobre cómo (y durante cuánto tiempo) se pueden usar los datos recopilados a través de aplicaciones de rastreo de COVID, almacenados y compartidos. En cambio, en la mayoría de los casos, permite a las empresas decidir por sí mismas qué protecciones de privacidad proporcionar (o no), siempre que eviten el engaño y las formas obvias de daño. Para agravar el problema, la Ley de la FTC no autoriza sanciones civiles (necesarias para disuadir las irregularidades) excepto en casos limitados.



Si las aplicaciones son utilizadas por ciudadanos de estados o localidades particulares, es posible que se apliquen las leyes estatales o locales. Sin embargo, una mirada rápida a la ley estatal líder (la Ley de Privacidad del Consumidor de California o CPPA) no es prometedora, ya que no se aplica a la agencias gubernamentales que crean y usan estas aplicaciones. Incluso si se aplicara la CCPA, una ley que protege a los ciudadanos solo en un estado difícilmente brinda las garantías de privacidad necesarias para una amplia aceptación a nivel nacional de las aplicaciones de rastreo de contactos.



Meses después de la pandemia, el Congreso intentó llenar este vacío legal promulgando otra ley estrecha y específica para cada situación. En mayo y junio, después de que ya se habían desarrollado e implementado aplicaciones de rastreo de contactos en ciertas localidades, varios senadores se apresuraron a circular proyectos de ley para regular las aplicaciones y los datos sensibles que recopilan. Algunos de estos proyectos de ley tenían graves defectos y lagunas , y ninguno de ellos avanzó en el Congreso.

Entonces, ¿qué lecciones podemos aprender de esta experiencia? Primero está la lección obvia, resaltada anteriormente, de que las preocupaciones sobre la privacidad alimentaron la desconfianza del público hacia estas aplicaciones y ayudaron a asegurar su falla. Durante años, los defensores de leyes de privacidad estrictas han argumentado, a menudo ante una audiencia escéptica de la industria, que se necesitan protecciones sólidas para mantener la confianza del consumidor en el mercado. El rastreo de contactos es un ejemplo concreto.



Lo que sucedió aquí también nos recuerda que los estándares claros que rigen el uso de datos no deben verse solo como un restricción , sino también como una forma de permitir usos responsables de los datos, incluido el uso de datos para emergencias. Una ley de privacidad debidamente elaborada debe regir y guiar nuestras prácticas de datos cotidianas, así como la forma en que usamos la información personal para combatir una pandemia.



Además, nuestra experiencia aquí ilustra acertadamente el caos y la confusión que enfrentamos habitualmente cuando intentamos administrar la privacidad en los EE. UU.: Un mosaico de leyes que deja muchos de nuestros datos desprotegidos, incertidumbre sobre qué leyes se aplican, esfuerzos apresurados para llenar los vacíos en el calor del momento y erosionando la confianza del público.

En conjunto, todas estas lecciones nos llevan a la misma conclusión que fue el tema de mi publicación anterior en el blog: que necesitamos una ley de privacidad federal básica para establecer reglas de privacidad claras y aplicables en todo el mercado, una que proteja nuestra información personal. en tiempos buenos y en tiempos de crisis.