Por qué proteger la privacidad es un juego perdido hoy en día y cómo cambiar el juego

Introducción: ¿cambio de juego?

Hay un episodio clásico del programa I Love Lucy en el que Lucy va a trabajar. envolver caramelos en una línea de montaje . La fila sigue acelerándose con los dulces acercándose y, a medida que se van alejando cada vez más, Lucy y su compañera Ethel luchan cada vez más para seguir el ritmo. Creo que estamos luchando contra un juego perdedor, dice Lucy.





Aquí es donde nos encontramos con la privacidad de los datos en Estados Unidos hoy. Cada vez se generan más datos sobre cada uno de nosotros cada vez más rápido desde más y más dispositivos, y no podemos mantener el ritmo. Es un juego perdido tanto para las personas como para nuestro sistema legal. Si no cambiamos las reglas del juego pronto, se convertirá en un juego perdido para nuestra economía y nuestra sociedad.



Cada vez se generan más datos sobre cada uno de nosotros cada vez más rápido desde más y más dispositivos, y no podemos mantener el ritmo. Es un juego perdido tanto para las personas como para nuestro sistema legal.



El drama de Cambridge Analytica ha sido el último de una serie de erupciones que han llamado la atención de la gente de una manera que no lo ha hecho un flujo constante de violaciones y usos indebidos de datos.



La primera de estas conmociones fueron las revelaciones de Snowden en 2013. Éstas dieron lugar a historias de larga duración que acapararon los titulares y que arrojaron luz sobre la cantidad de información sobre nosotros que puede terminar en lugares inesperados. Las divulgaciones también crearon conciencia sobre cuánto se puede aprender de esos datos (matamos a personas en función de los metadatos, dijo el exdirector de la NSA y la CIA, Michael Hayden). dicho ).



Las réplicas las sintieron no solo el gobierno, sino también las empresas estadounidenses, especialmente aquellas cuyos nombres y logotipos aparecían en las noticias de Snowden. Se enfrentaron a la sospecha de los clientes en el país y la resistencia del mercado de los clientes en el extranjero. Para reconstruir la confianza, presionaron para revelar más sobre el volumen de demandas de vigilancia y cambios en las leyes de vigilancia. Apple, Microsoft y Yahoo se involucraron en batallas legales públicas con el gobierno de los EE. UU.



Luego vino la violación de Equifax del año pasado que comprometió la información de identidad de casi 146 millones Americanos. No fue más grande que algunas de las numerosas violaciones de datos que lo precedieron, pero golpeó con más fuerza porque se extendió por todo el sistema financiero y afectó a los consumidores individuales que nunca hicieron negocios con Equifax directamente pero que, sin embargo, tuvieron que lidiar con el impacto de su crédito. puntuaciones en la vida económica. Para estas personas, la violación fue otra demostración de cuántos datos importantes sobre ellos se mueven sin su control, pero con un impacto en sus vidas.

Ahora, las historias de Cambridge Analytica han desatado una atención pública aún más intensa, completa con cortes de televisión en vivo para el testimonio de Mark Zuckerberg en el Congreso. Muchas de las personas cuyos datos se recopilaron no solo se sorprendieron de que una empresa de la que nunca habían oído hablar obtuviera tanta información personal, sino que la historia de Cambridge Analytica toca todas las controversias que se agitan en torno al papel de las redes sociales en el cataclismo de las elecciones presidenciales de 2016. . Facebook estima que Cambridge Analytica pudo aprovechar su investigación académica en datos sobre unos 87 millones de estadounidenses (mientras que antes de las elecciones de 2016, el director ejecutivo de Cambridge Analytica, Alexander Nix presumido de tener perfiles con 5.000 puntos de datos sobre 220 millones de estadounidenses). Con más de dos mil millones de usuarios de Facebook en todo el mundo, muchas personas tienen interés en este tema y, al igual que las historias de Snowden, está recibiendo una atención intensa en todo el mundo, como lo demostró Mark Zuckerberg al tomar su decisión legislativa. testimonio camino al Parlamento Europeo .



Las historias de Snowden forzaron cambios sustanciales a la vigilancia con la promulgación de la legislación estadounidense que restringe la recopilación de metadatos telefónicos y una mayor transparencia y salvaguardias en la recopilación de inteligencia. ¿Todas las audiencias y la atención pública sobre Equifax y Cambridge Analytica traerán cambios análogos al sector comercial en Estados Unidos?



Ciertamente lo espero. Dirigí el grupo de trabajo de la administración Obama que desarrolló el Declaración de derechos de privacidad del consumidor emitida por la Casa Blanca en 2012 con el apoyo de empresas y defensores de la privacidad, y luego redactó una legislación para convertir esta declaración de derechos en ley. La propuesta legislativa emitida después de que dejé el gobierno no tuvo mucha tracción, por lo que esta iniciativa sigue siendo un asunto pendiente.

Las historias de Cambridge Analytica han generado nuevos pedidos de legislación federal sobre privacidad por parte de miembros del Congreso de ambos partidos, juntas editoriales y comentaristas. Con sus audiencias de marquesina de Zuckerberg detrás de ellos, los senadores y congresistas se están moviendo para pensar qué hacer a continuación. Algunos ya han presentado proyectos de ley y otros están pensando en cómo serían las propuestas de privacidad. Los artículos de opinión y los hilos de Twitter sobre qué hacer han fluido. Varios grupos en Washington se han estado reuniendo para desarrollar propuestas de legislación.



Esta vez, las propuestas pueden aterrizar en un terreno más fértil. El presidente del Comité de Comercio del Senado, John Thune (R-SD), dijo que muchos de mis colegas en ambos lados del pasillo han estado dispuestos a ceder ante los esfuerzos de las empresas de tecnología para regularse, pero esto puede estar cambiando. Varias empresas se han mostrado cada vez más abiertas a la discusión de una ley de privacidad federal básica. En particular, Zuckerberg le dijo a CNN que no estoy seguro de que no debamos ser regulados, y Tim Cook de Apple expresó su firme convicción de que la autorregulación ya no es viable.



Desde hace un tiempo, los acontecimientos han ido cambiando la forma en que los intereses comerciales ven la perspectiva de una legislación federal sobre privacidad.

No se trata solo de control de daños o adaptación al techlash y la frustración del consumidor. Desde hace un tiempo, los acontecimientos han ido cambiando la forma en que los intereses comerciales ven la perspectiva de una legislación federal sobre privacidad. Una creciente difusión de la legislación estatal sobre neutralidad de la red, drones, tecnología educativa, lectores de matrículas y otros temas y, especialmente la nueva legislación amplia en California que se adelanta a una iniciativa de votación, ha hecho la posibilidad de un solo conjunto de reglas federales para todos. 50 estados se ven atractivos. Para las empresas multinacionales que han pasado dos años preparándose para cumplir con la nueva ley de protección de datos que ahora ha entrado en vigencia en la UE, lidiar con una ley estadounidense integral ya no parece tan abrumador. Y más empresas ven valor en una línea de base común que puede brindar a las personas tranquilidad sobre cómo se manejan y protegen sus datos contra valores atípicos y forajidos.



Este cambio en el sector empresarial abre la posibilidad de que estos intereses puedan converger con los de los defensores de la privacidad en una legislación federal integral que brinde protecciones efectivas a los consumidores. Las compensaciones para obtener reglas federales consistentes que se anticipen a algunas leyes y remedios estatales fuertes serán difíciles, pero con una base federal lo suficientemente sólida, la acción se puede lograr.



cómo la ley actual se está quedando atrás

Snowden, Equifax y Cambridge Analytica brindan tres razones evidentes para tomar medidas. Realmente hay trillones de razones. Así de rápido calcula IBM que estamos generando información digital, quintillones de bytes de datos todos los días: un número seguido de 30 ceros. Esta explosión se genera por la duplicación de la potencia de procesamiento de las computadoras cada 18-24 meses, lo que ha impulsado el crecimiento de la tecnología de la información a lo largo de la era de las computadoras, ahora agravado por los miles de millones de dispositivos que recopilan y transmiten datos, dispositivos de almacenamiento y centros de datos que la hacen más barata. y más fácil de mantener los datos de estos dispositivos, mayor ancho de banda para mover esos datos más rápido y software más poderoso y sofisticado para extraer información de esta masa de datos. Todo esto está habilitado y magnificado por la singularidad de los efectos de red, el valor que se agrega al estar conectado a otros en una red, en formas que aún estamos aprendiendo.

Esta información Big Bang está duplicando el volumen de información digital en el mundo cada dos años. La explosión de datos que ha puesto la privacidad y la seguridad en el centro de atención se acelerará. Los futuristas y los pronosticadores de negocios debaten cuántas decenas de miles de millones de dispositivos se conectarán en las próximas décadas, pero el orden de magnitud es inconfundible y asombroso en su impacto en la cantidad y velocidad de los bits de información que se mueven por el mundo. El ritmo del cambio es vertiginoso, y será incluso más rápido, mucho más vertiginoso que la línea de montaje de Lucy.

Las propuestas más recientes de legislación sobre privacidad apuntan a partes de los problemas que presenta esta explosión. La violación de Equifax produjo una legislación dirigida a los corredores de datos. Las respuestas al papel de Facebook y Twitter en el debate público se han centrado en la divulgación de anuncios políticos, qué hacer con los bots o los límites al seguimiento en línea de anuncios. La mayoría de la legislación estatal se ha centrado en temas específicos como el uso de datos de productos de tecnología educativa, el acceso a las cuentas de redes sociales por parte de los empleadores y la protección de la privacidad de los drones y los lectores de matrículas. La simplificación y expansión de Facebook de sus controles de privacidad y las recientes leyes federales de privacidad como reacción a los eventos se enfocan en aumentar la transparencia y las opciones de los consumidores. También lo hace la Ley de Privacidad de California recientemente promulgada.

Esta información Big Bang está duplicando el volumen de información digital en el mundo cada dos años. La explosión de datos que ha puesto la privacidad y la seguridad en el centro de atención se acelerará. Las propuestas más recientes de legislación sobre privacidad apuntan a partes de los problemas que presenta esta explosión.

Medidas como estas duplican el actual régimen de privacidad estadounidense. El problema es que este sistema no puede seguir el ritmo de la explosión de la información digital, y la omnipresencia de esta información ha socavado las premisas clave de estas leyes en formas cada vez más evidentes. Nuestras leyes actuales fueron diseñadas para abordar la recopilación y el almacenamiento de datos estructurados por parte del gobierno, las empresas y otras organizaciones, y están rompiendo las costuras en un mundo en el que todos estamos conectados y compartimos constantemente. Es hora de adoptar un enfoque más amplio y ambicioso. Necesitamos pensar en grande o continuaremos jugando un juego perdedor.

Nuestras leyes existentes se desarrollaron como una serie de respuestas a preocupaciones específicas, un tablero de ajedrez de leyes federales y estatales, jurisprudencia de derecho consuetudinario y aplicación pública y privada que se ha acumulado durante más de un siglo. Comenzó con el famoso artículo de Harvard Law Review del (más tarde) juez Louis Brandeis y su socio legal Samuel Warren en 1890 que sentó las bases para la jurisprudencia y los estatutos estatales durante gran parte del siglo XX, muchos de los cuales abordan el impacto de los medios de comunicación. en individuos que querían, como lo expresaron Warren y Brandeis, que los dejaran solos. El advenimiento de las computadoras mainframe vio las primeras leyes de privacidad de datos adoptadas en 1974 para abordar el poder de la información en manos de grandes instituciones como los bancos y el gobierno: la Ley federal de informes crediticios justos que nos da acceso a información sobre informes crediticios y la Ley de privacidad. que gobierna las agencias federales. Hoy en día, nuestro tablero de ajedrez de leyes de privacidad y seguridad de datos cubre los datos que más preocupan a las personas. Estos incluyen datos de salud, información genética, registros de estudiantes e información relacionada con los niños en general, información financiera y comunicaciones electrónicas (con diferentes reglas para los proveedores de telecomunicaciones, proveedores de cable y correos electrónicos).

Fuera de estos sectores específicos no hay una zona completamente anárquica. Con Alabama adoptando una ley en abril pasado, los 50 estados ahora tienen leyes que exigen la notificación de violaciones de datos (con variaciones en cuanto a quién debe ser notificado, con qué rapidez y en qué circunstancias). Al hacer que las organizaciones se centren en los datos personales y en cómo los protegen, reforzadas por la exposición a litigios de cumplimiento públicos y privados, estas leyes han tenido un impacto significativo en las prácticas de privacidad y seguridad. Además, desde 2003, la Comisión Federal de Comercio, tanto con mayorías republicanas como demócratas, ha utilizado su autoridad de aplicación para regular las prácticas comerciales desleales y engañosas y vigilar las prácticas irrazonables de privacidad y seguridad de la información. Esta aplicación, reflejada por muchos fiscales generales estatales, se ha basado principalmente en el engaño, basado en el incumplimiento de las políticas de privacidad y otras promesas de privacidad.

¿Cuándo comienza la primavera de 2021?

Estas palancas de aplicación en casos específicos, así como la exposición pública, pueden ser herramientas poderosas para proteger la privacidad. Pero, en un mundo de tecnología que opera a una escala masiva moviéndose rápido y haciendo las cosas porque uno puede, reaccionar a abusos particulares después de los hechos no proporciona suficientes medidas de seguridad.

A medida que el universo de datos sigue expandiéndose, más y más quedan fuera de las diversas leyes específicas en los libros. Esto incluye la mayoría de los datos que generamos a través de usos tan extendidos como búsquedas web, redes sociales, comercio electrónico y aplicaciones para teléfonos inteligentes. Los cambios llegan más rápido de lo que la legislación o las reglas regulatorias pueden adaptarse, y borran los límites sectoriales que han definido nuestras leyes de privacidad. Tome mi reloj inteligente, por ejemplo: los datos que genera sobre mi frecuencia cardíaca y actividad están cubiertos por la Ley de Responsabilidad y Portabilidad de Seguros de Salud (HIPAA) si se comparten con mi médico, pero no cuando van a aplicaciones de fitness como Strava ( donde puedo comparar mi desempeño con el de mis compañeros). De cualquier manera, son los mismos datos, tan sensibles para mí y tan riesgosos en las manos equivocadas.

A medida que el universo de datos sigue expandiéndose, más y más quedan fuera de las diversas leyes específicas en los libros.

Tiene poco sentido que la protección de los datos dependa por completo de quién los posee. Esta arbitrariedad se extenderá a medida que se incorporen más y más dispositivos conectados en todo, desde la ropa hasta los automóviles, los electrodomésticos y el mobiliario urbano. Agregue a eso cambios sorprendentes en los patrones de integración e innovación empresarial: los proveedores de telefonía tradicional como Verizon y AT&T están ingresando al entretenimiento, mientras que las nuevas empresas se lanzan a las provincias de instituciones financieras como el comercio de divisas y el crédito y todo tipo de empresas compiten por el espacio en el vehículo autónomo. ecosistema, y ​​los límites sectoriales que han definido la protección de la privacidad de EE. UU. dejan de tener sentido.

Poner tantos datos en tantas manos también está cambiando la naturaleza de la información protegida como privada. Para la mayoría de las personas, la información personal significa información como números de seguro social, números de cuenta y otra información que les es exclusiva. Las leyes de privacidad de EE. UU. Reflejan esta concepción al tener como objetivo la información de identificación personal, pero los científicos de datos han demostrado repetidamente que este enfoque puede ser demasiado limitado. La agregación y correlación de datos de diversas fuentes hace que sea cada vez más posible vincular información supuestamente anónima a individuos específicos e inferir características e información sobre ellos. El resultado es que hoy en día, una gama cada vez más amplia de datos tiene el potencial de ser información personal, es decir, para identificarnos de manera única. Pocas leyes o reglamentos abordan esta nueva realidad.

Hoy en día, casi todos los aspectos de nuestras vidas están en manos de algún tercero en algún lugar. Esto desafía los juicios sobre las expectativas de privacidad que han sido una premisa importante para definir el alcance de la protección de la privacidad. Estos juicios presentan opciones binarias: si la información privada es de alguna manera pública o está en manos de un tercero, a menudo se considera que las personas no tienen expectativas de privacidad. Esto es particularmente cierto cuando se trata del acceso del gobierno a la información; los correos electrónicos, por ejemplo, están nominalmente menos protegidos por nuestras leyes una vez que se han almacenado 180 días o más, y los artículos y actividades a la vista se consideran categóricamente disponibles para las autoridades gubernamentales. Pero el concepto también se aplica a datos comerciales en términos y condiciones de servicio y al raspado de información en sitios web públicos, por dos ejemplos.

A medida que se implementen más dispositivos y sensores en los entornos por los que pasamos a medida que avanzamos en nuestros días, la privacidad se volverá imposible si se considera que hemos renunciado a nuestra privacidad simplemente por ir por el mundo o compartirlo con cualquier otra persona. Mucha gente ha dicho que la privacidad está muerta, comenzando por el famoso Scott McNealy de Sun Microsystems en el siglo XX (no tienes privacidad ... supéralo) y un coro de escritores desesperados se hizo eco desde entonces. Sin reglas normativas que proporcionen un ancla más constante que las expectativas cambiantes, la verdadera privacidad en realidad podría estar muerta o agonizante. La Corte Suprema puede tener algo que decir sobre el tema, ya que necesitaremos un conjunto más amplio de normas para proteger la privacidad en entornos que se han considerado públicos. La privacidad puede perdurar, pero necesita una base más duradera.

La Corte Suprema en su reciente Carpintero La decisión reconoció cómo los flujos constantes de datos sobre nosotros cambian las formas en que se debe proteger la privacidad. Al sostener que la adquisición de cumplimiento de registros de ubicación de teléfonos celulares requiere una orden judicial, el Tribunal consideró la información detallada, enciclopédica y compilada sin esfuerzo disponible de los registros de ubicación del servicio celular y los cambios sísmicos en la tecnología digital que hicieron que estos registros estuvieran disponibles, y concluyó que las personas sí lo hacen. no necesariamente renuncia a los intereses de privacidad para recopilar los datos que generan o al participar en un comportamiento que se puede observar públicamente. Si bien hubo desacuerdo entre los jueces en cuanto a las fuentes de las normas de privacidad, dos de los disidentes, el juez Alito y Gorsuch, señalaron las expectativas de privacidad como vulnerables porque pueden erosionarse o eliminarse.

La forma en que esta decisión histórica de privacidad afecta a una amplia variedad de evidencia digital se desarrollará en los casos penales y no en el sector comercial. No obstante, las opiniones en el caso apuntan a la necesidad de un conjunto más amplio de normas para proteger la privacidad en entornos que se cree que hacen pública la información. La privacidad puede perdurar, pero necesita una base más duradera.

Nuestras leyes vigentes también dependen en gran medida del aviso y el consentimiento: los avisos de privacidad y las políticas de privacidad que encontramos en línea o recibimos de compañías de tarjetas de crédito y proveedores médicos, y las casillas que marcamos o los formularios que firmamos. Estas declaraciones son las que proporcionan la base para que la FTC encuentre prácticas y actos engañosos cuando las empresas no hacen lo que dicen. Este sistema sigue el modelo de consentimiento informado en la atención médica y la investigación con sujetos humanos, donde el consentimiento a menudo se solicita en persona y se importó a la privacidad de Internet en la década de 1990. La noción de la política estadounidense entonces era fomentar el crecimiento de Internet evitando la regulación y promoviendo una resolución de mercado en el que se informaría a las personas sobre qué datos se recopilan y cómo se procesarán, y podrían tomar decisiones sobre esta base.

Quizás el consentimiento informado era práctico hace dos décadas, pero hoy es una fantasía. En un flujo constante de interacciones en línea, especialmente en las pantallas pequeñas que ahora representan la mayor parte del uso, no es realista leer las políticas de privacidad. Y la gente simplemente no lo hace.

No es simplemente que cualquier política de privacidad en particular apesta, como dijo el senador John Kennedy (R-LA) en las audiencias de Facebook. Zeynep Tufecki tiene razón en que estas divulgaciones son oscuro y complejo . Algunas formas de notificación son necesarias y la atención a la experiencia del usuario puede ayudar, pero el problema persistirá sin importar cuán bien diseñadas estén las divulgaciones. Puedo dar fe de que redactar una política de privacidad simple es un desafío, porque estos documentos se pueden hacer cumplir legalmente y deben explicar una variedad de usos de datos; puede ser simple y decir muy poco o puede ser completo pero demasiado complejo. Estos avisos tienen una función útil como declaración de política contra la cual los reguladores, periodistas, defensores de la privacidad e incluso las propias empresas pueden medir el desempeño, pero son funcionalmente inútiles para la mayoría de las personas y confiamos en ellos para hacer demasiado.

Quizás el consentimiento informado era práctico hace dos décadas, pero hoy es una fantasía. En un flujo constante de interacciones en línea, especialmente en las pantallas pequeñas que ahora representan la mayor parte del uso, no es realista leer las políticas de privacidad. Y la gente simplemente no lo hace.

Al final del día, es simplemente demasiado leer incluso el aviso de privacidad en inglés más simple, y estar familiarizado con los términos y condiciones o la configuración de privacidad para todos los servicios que usamos está fuera de discusión. El reciente inundación de correos electrónicos sobre las políticas de privacidad y los formularios de consentimiento que hemos obtenido con la llegada del Reglamento General de Protección de Datos de la UE, han ofrecido nuevos controles sobre qué datos se recopilan o qué información se comunica, pero ¿cuánto han aportado realmente a la comprensión de las personas? Reportero del Wall Street Journal Joanna Stern intentó analizar todos los que recibió (suficiente papel impreso para estirarse más que la longitud de un campo de fútbol), pero recurrió al escaneo en busca de algunos problemas específicos. En el mundo actual de conexiones constantes, las soluciones que se centran en aumentar la transparencia y la elección del consumidor son una respuesta incompleta a los desafíos de privacidad actuales.

Además, la elección individual se vuelve completamente insignificante a medida que la recopilación de datos cada vez más automatizada no deja oportunidad para ningún aviso real, y mucho menos el consentimiento individual. No se nos pide consentimiento para los términos de las cámaras de vigilancia en las calles o balizas en las tiendas que recogen los identificadores de teléfonos móviles, y generalmente no se les pregunta a los huéspedes de la casa si están de acuerdo con que los altavoces inteligentes de los propietarios capten su discurso. En el mejor de los casos, se puede colocar un letrero en algún lugar anunciando que estos dispositivos están en su lugar. A medida que los dispositivos y sensores se implementan cada vez más en los entornos por los que pasamos, algunos accesos y controles posteriores al hecho pueden desempeñar un papel, pero el aviso y la elección anticuados se vuelven imposibles.

En última instancia, los enfoques familiares exigen demasiado a los consumidores individuales. Como encontró el Consejo de Asesores en Política Científica y Tecnológica del Presidente en un Informe de 2014 sobre macrodatos , el problema conceptual con el aviso y la elección es que fundamentalmente coloca la carga de la protección de la privacidad en el individuo, lo que resulta en una negociación desigual, una especie de falla del mercado.

Se trata de una carga imposible que crea una enorme disparidad de información entre el individuo y las empresas con las que tratan. Mientras Frank Pasquale analiza ardientemente en su Black Box Society, sabemos muy poco sobre cómo operan las empresas que recopilan nuestros datos. No hay forma práctica de que incluso una persona razonablemente sofisticada pueda dominar los datos que genera y lo que esos datos dicen sobre ellos. Después de todo, lo que hacen los científicos de datos es dar sentido al universo de datos en expansión. Postdoctorados y doctorados en el MIT (donde soy académico visitante en el Media Lab), así como decenas de miles de investigadores de datos como ellos en el mundo académico y empresarial, están constantemente descubriendo nueva información que se puede aprender de los datos sobre personas y nuevas formas en que las empresas pueden utilizar, o utilizan, esa información. ¿Cómo podemos esperar mantener el ritmo el resto de los que estamos lejos de ser científicos de datos?

Como resultado, las empresas que utilizan los datos saben mucho más que nosotros sobre en qué consisten nuestros datos y qué dicen sus algoritmos sobre nosotros. Agregue este gran abismo en conocimiento y poder a la ausencia de cualquier toma y daca real en nuestros intercambios constantes de información, y tendrá empresas capaces en general de establecer los términos en los que recopilan y comparten estos datos.

En general, las empresas pueden establecer los términos en los que recopilan y comparten estos datos. Esta no es una resolución de mercado que funcione.

Esta no es una resolución de mercado que funcione. El Pew Research Center ha rastreado la confianza en línea y las actitudes hacia Internet y las empresas en línea. Cuando Pew investigó con encuestas y grupos focales en 2016, encontró que si bien muchos estadounidenses están dispuestos a compartir información personal a cambio de beneficios tangibles, a menudo son cautelosos al revelar su información y, con frecuencia, no están contentos con lo que sucede con esa información una vez que las empresas la han recopilado. Mucha gente está insegura, resignada y molesta. Hay un creciente cuerpo de investigación de encuestas en la misma vena. La incertidumbre, la resignación y la molestia difícilmente constituyen una receta para un mercado saludable y sostenible, para marcas confiables o para el consentimiento de los gobernados.

Considere el ejemplo de la periodista Julia Angwin. Pasó un año tratando de vivir sin dejar rastros digitales, que describió en su libro Dragnet Nation. Entre otras cosas, evitó pagar con tarjeta de crédito y estableció una identidad falsa para obtener una tarjeta para cuando no podía evitar usar una; buscó mucho para encontrar servicios en la nube cifrados para la mayoría de los correos electrónicos; adoptó teléfonos con quemador que apagaba cuando no los usaba y usaba muy poco; y optó por servicios de suscripción de pago en lugar de servicios de publicidad. Más que una guía práctica para proteger la privacidad de los datos, su año de vida anónima fue una obra de arte de performance extendida que demuestra cuánto revela la vigilancia digital sobre nuestras vidas y lo difícil que es evitarlo. La persona promedio no debería tener que ir a extremos tan obsesivos para asegurarse de que sus identidades u otra información que desee mantener privada permanezca privada. Necesitamos un juego limpio.

Dando forma a leyes capaces de mantenerse al día

A medida que los legisladores consideran cómo podrían cambiar las reglas, la Declaración de Derechos de Privacidad del Consumidor que desarrollamos en la administración Obama ha cobrado nueva vida como modelo. El Los Angeles Times , El economista , y Los New York Times todos señalaron esta declaración de derechos al instar al Congreso a actuar sobre una legislación integral de privacidad, y este último dijo que no es necesario comenzar desde cero ... Nuestra propuesta de 2012 debe adaptarse a los cambios en la tecnología y la política, pero proporciona un punto de partida para la debate sobre políticas debido a la amplia aportación que recibió y los principios ampliamente aceptados en los que se basó.

La declaración de derechos articuló siete principios básicos que deberían ser legalmente exigibles por la Comisión Federal de Comercio: control individual, transparencia, respeto por el contexto en el que se obtuvieron los datos, acceso y precisión, recopilación focalizada, seguridad y rendición de cuentas. Estos principios generales están arraigados en principios de prácticas de información justas aceptados a nivel mundial y de larga data. Sin embargo, para reflejar el mundo actual de miles de millones de dispositivos interconectados a través de redes en todas partes, están destinados a alejarse de los avisos de privacidad estáticos y los formularios de consentimiento a un marco más dinámico, menos centrado en la recopilación y el proceso y más en cómo las personas están protegidas en las formas. se manejan sus datos. No es una lista de verificación, sino una caja de herramientas. Este enfoque basado en principios estaba destinado a ser interpretado y desarrollado a través de códigos de conducta y aplicación de la FTC caso por caso, una evolución iterativa, muy similar a la forma en que se desarrollaron tanto el derecho consuetudinario como la tecnología de la información.

A medida que los legisladores consideran cómo podrían cambiar las reglas, la Declaración de Derechos de Privacidad del Consumidor desarrollada en la administración Obama ha cobrado nueva vida como modelo. La declaración de derechos articuló siete principios básicos que la Comisión Federal de Comercio debería hacer cumplir legalmente.

¿Dónde exploró James Cook?

El otro modelo integral que está llamando la atención es el Reglamento General de Protección de Datos de la UE, recientemente efectivo. Para aquellos en el mundo de la privacidad, este ha sido el tema dominante desde que fue aprobado hace dos años, pero aun así, fue sorprendente escuchar el RGPD como un tema recurrente de preguntas del Congreso para Mark Zuckerberg. La inminencia de esta ley, su aplicación a Facebook y muchas otras empresas multinacionales estadounidenses, y su contraste con la ley estadounidense hicieron del GDPR un tema candente. Mucha gente se pregunta por qué Estados Unidos no tiene una ley similar y algunos dicen que Estados Unidos debería seguir el modelo de la UE.

Me ocupé de la ley de la UE ya que estaba en forma de borrador mientras lideraba el compromiso del gobierno de los EE. UU. Con la UE en cuestiones de privacidad junto con el desarrollo de nuestra propia propuesta. Su interacción con la ley y el comercio de los EE. UU. Ha sido parte de mi vida como funcionario, escritor y orador sobre temas de privacidad y abogado desde entonces. Tiene mucho de bueno, pero no es el modelo adecuado para Estados Unidos.

Hay muchas cosas buenas en el RGPD, pero no es el modelo adecuado para Estados Unidos.

¿Qué tiene de bueno la legislación de la UE? En primer lugar, es una ley, un conjunto de reglas que se aplica a todos los datos personales en la UE. En teoría, su enfoque en los derechos de datos individuales coloca a los seres humanos en el centro de las prácticas de privacidad, y el proceso de cumplimiento de sus requisitos detallados ha obligado a las empresas a observar de cerca qué datos recopilan, para qué los utilizan y cómo. lo guardan y lo comparten, lo que ha resultado no ser una tarea fácil. Aunque la normativa de la UE es rígida en numerosos aspectos, puede ser más sutil de lo que parece a primera vista. En particular, su requisito de que el consentimiento sea explícito y libremente otorgado a menudo se presenta en informes resumidos como una prohibición de recopilar datos personales sin consentimiento; de hecho, el reglamento permite otros motivos para la recopilación de datos y uno de los efectos de la definición estricta de consentimiento es poner más énfasis en estos otros motivos. Sin embargo, la forma en que se desarrollen algunas de estas sutilezas dependerá de cómo 40 reguladores diferentes en la UE apliquen la ley. Los grupos de defensa europeos ya estaban presentando denuncias contra la GAFAM (Google, Amazon, Facebook, Apple, Microsoft) cuando el reglamento entró en vigor.

La ley de la UE tiene su origen en los mismos principios de prácticas de información justa que la Declaración de derechos de privacidad del consumidor. Pero la ley de la UE adopta un enfoque mucho más prescriptivo y orientado al proceso, que detalla cómo las empresas deben administrar la privacidad y mantener registros e incluye el derecho al olvido y otros requisitos difíciles de cumplir con nuestra Primera Enmienda. Quizás, lo que es más significativo, puede que no resulte adaptable a la inteligencia artificial y las nuevas tecnologías, como los vehículos autónomos, que necesitan agregar masas de datos para el aprendizaje automático y la infraestructura inteligente. Los límites estrictos a los propósitos de uso y retención de datos pueden inhibir los saltos analíticos y nuevos usos beneficiosos de la información. Una regla que requiera una explicación humana de las decisiones algorítmicas importantes arrojará luz sobre los algoritmos y ayudará a prevenir la discriminación injusta, pero también puede frenar el desarrollo de la inteligencia artificial. Estas disposiciones reflejan una desconfianza en la tecnología que no es universal en Europa, pero que es un fuerte trasfondo de su cultura política.

Necesitamos una respuesta estadounidense, un enfoque de derecho consuetudinario adaptable a los cambios en la tecnología, para permitir el conocimiento y la innovación basados ​​en datos, al tiempo que establece barreras para proteger la privacidad. La Declaración de Derechos de Privacidad del Consumidor ofrece un modelo para tal enfoque.

Claro, necesita trabajo, pero de eso se trata el toma y daca de legislar. Su lenguaje sobre transparencia sonó demasiado a aviso y consentimiento, por ejemplo. Su propuesta para desarrollar la aplicación de la declaración de derechos tuvo un historial mixto de resultados de consenso en los esfuerzos de prueba dirigidos por el Departamento de Comercio.

También hizo bien algunas cosas importantes. En particular, el principio de respeto por el contexto es un salto conceptual importante. Dice que las personas tienen derecho a esperar que las empresas recopilen, utilicen y divulguen datos personales de forma coherente con el contexto en el que los consumidores proporcionan los datos. Esto rompe con las formalidades de los avisos de privacidad, las casillas de consentimiento y los datos estructurados y, en cambio, se centra en el respeto por la persona. Su énfasis en las interacciones entre un individuo y una empresa y las circunstancias de la recopilación y el uso de datos se deriva de la visión de la pensadora en tecnología de la información Helen Nissenbaum . Para evaluar los intereses de privacidad, es fundamental conocer el contexto: quién recopila la información, quién la analiza, quién la difunde y a quién, la naturaleza de la información, las relaciones entre las distintas partes e incluso las instituciones y los asuntos sociales más amplios. circunstancias.

Necesitamos una respuesta estadounidense, un enfoque de derecho consuetudinario adaptable a los cambios en la tecnología, para permitir el conocimiento y la innovación basados ​​en datos, al tiempo que establece barreras para proteger la privacidad.

El contexto es complicado: nuestro proyecto de ley enumeró 11 factores diferentes no exclusivos para evaluar el contexto. Pero esa es en la práctica la forma en que compartimos información y formamos expectativas sobre cómo se manejará esa información y sobre nuestra confianza en el administrador. Desnudamos nuestras almas y nuestros cuerpos a completos extraños para obtener atención médica, en el entendimiento de que esta información se manejará con gran cuidado y se compartirá con extraños solo en la medida necesaria para brindar atención. Compartimos información de ubicación con aplicaciones de navegación y viajes compartidos con el entendimiento de que les permite funcionar, pero Waze encontró resistencia cuando esa funcionalidad requirió una configuración de ubicación de siempre activada. Danny Weitzner, co-arquitecto de la Declaración de Derechos de Privacidad, discutido recientemente cómo el principio de respeto por el contexto habría prohibido a [Cambridge Analytica] reutilizar unilateralmente los datos de investigación con fines políticos porque establece el derecho a no sorprenderse por la forma en que se emiten los datos personales. El Tribunal Supremo Carpintero La decisión abre expectativas de privacidad en la información en poder de terceros a variaciones basadas en el contexto.

La Declaración de Derechos de Privacidad del Consumidor no proporciona ninguna prescripción detallada sobre cómo el principio de contexto y otros principios deben aplicarse en circunstancias particulares. En cambio, la propuesta dejó dicha aplicación a la adjudicación caso por caso por parte de la FTC y el desarrollo de mejores prácticas, estándares y códigos de conducta por parte de organizaciones fuera del gobierno, con incentivos para examinarlos con la FTC o para utilizar juntas de revisión internas similares. a los utilizados para la investigación de sujetos humanos en entornos académicos y médicos. Este enfoque se basó en la creencia de que el ritmo del cambio tecnológico y la enorme variedad de circunstancias involucradas necesitan una toma de decisiones más adaptativa de lo que permiten los enfoques actuales de la legislación y las regulaciones gubernamentales. Puede ser que la legislación de base necesite mandatos de estándares más sólidos que los contemplados en la Declaración de Derechos de Privacidad del Consumidor, pero dichos mandatos deben ser consistentes con las normas profundamente arraigadas. Preferencia por estándares voluntarios, desarrollados en colaboración y basados ​​en consenso. que ha sido un sello distintivo del desarrollo de estándares de EE. UU.

En retrospectiva, la propuesta podría utilizar una estrella polar para guiar la aplicación de sus principios, una simple regla de oro para la privacidad: que las empresas deben anteponer los intereses de las personas a quienes se refieren los datos a los propios. En cierta medida, tal regla general devolvería la protección de la privacidad a los primeros principios: algunas de las fuentes del derecho a las que se refirieron Louis Brandeis y Samuel Warren en su famoso artículo de revisión de leyes eran casos en los que la recepción de información confidencial o secretos comerciales conducía a a la imposición judicial de un fideicomiso o deber de confidencialidad. Actuar como fideicomisario conlleva la obligación de actuar en interés de los beneficiarios y evitar la negociación por cuenta propia.

Una regla de oro de la privacidad que incorpora una obligación similar para alguien a quien se le ha confiado información personal se basa en varios aspectos similares del debate sobre la privacidad. Las políticas de privacidad a menudo expresan la intención de las empresas de ser buenos administradores de los datos; También se supone que el buen administrador debe actuar en interés del principal y evitar el trato egoísta. Un paralelo de revisión de derecho más contemporáneo es el concepto de Jack Balkin del profesor de derecho de Yale fiduciarios de información , que llamó la atención durante la audiencia de Zuckerberg cuando el senador Brian Schatz (D-HI) le pidió a Zuckerberg que comentara al respecto. La regla de oro de la privacidad importaría el arancel esencial sin importar la ley fiduciaria al por mayor. También resuena con los principios de respeto por el individuo, beneficencia y justicia en estándares Eticos para la investigación con sujetos humanos que influyen marcos éticos emergentes para la privacidad y el uso de datos. Otro hilo vino en el juez Gorsuch Carpintero disentir defendiendo la ley de propiedad como base para los intereses de privacidad: sugirió que confiarle a alguien información digital puede ser un equivalente moderno de una fianza bajo la ley de propiedad clásica, que impone deberes al depositario. Y guarda cierta semejanza con el concepto de GDPR de Interés legítimo , que permite el procesamiento de datos personales basado en un interés legítimo del procesador, siempre que este interés no sea compensado por los derechos e intereses del sujeto de los datos.

La necesidad fundamental de una legislación de privacidad básica en Estados Unidos es garantizar que las personas puedan confiar en que los datos sobre ellos se usarán, almacenarán y compartirán de manera que sean coherentes con sus intereses y las circunstancias en las que se recopilaron. Esto debería ser válido independientemente de cómo se recopilen los datos, quién los reciba o los usos que se les dé. Si se trata de datos personales, debería tener una protección duradera.

La necesidad fundamental de una legislación de privacidad básica en Estados Unidos es garantizar que las personas puedan confiar en que los datos sobre ellos se usarán, almacenarán y compartirán de manera que sean coherentes con sus intereses y las circunstancias en las que se recopilaron.

Dicha confianza es un componente esencial de un mundo digital sostenible. Es lo que permite compartir datos para usos social o económicamente beneficiosos sin poner en riesgo a los seres humanos. A estas alturas, debería estar claro que la confianza se traiciona con demasiada frecuencia, ya sea por actores intencionales como Cambridge Analytica o Russian. Osos de fantasía , o por hermanos en cubos inculcados con un imperativo de desplegar o morir .

La confianza necesita una base más sólida que brinde a las personas una garantía constante de que los datos sobre ellos se manejarán de manera justa y coherente con sus intereses. Los principios básicos proporcionarían una guía para todas las empresas y protegerían contra extralimitaciones, valores atípicos y forajidos. También le dirían al mundo que las empresas estadounidenses están sujetas a un conjunto de principios de privacidad ampliamente aceptados y sientan las bases para las prácticas de privacidad y seguridad que evolucionan con la tecnología.

Los consumidores resignados pero descontentos se dicen entre sí: creo que estamos jugando a perder. Si las reglas no cambian, es posible que dejen de jugar.