- Portabilidad de Datos – Requerirá que los usuarios den continuamente su consentimiento explícito de que aceptan o no cómo se utiliza, comparte y analiza su información. Además, tendrán el derecho de poder darse de baja de los servicios sin detrimento, y se podrán llevar sus datos si así lo desean, incluyendo los datos personales, los encriptados, los metadatos, la geolocalización, la IP, entre otras.
- Derecho (voluntario) al Olvido – Usuarios podrán exigir que se elimine la información que una empresa tenga de ellos, como si nunca hubieran usado el servicio.
- Derecho a la Rendición de Cuentas y exigencia de claridad en los términos – Los usuarios tendrán derecho de pedir explicaciones a las empresas sobre las decisiones que los algoritmos tomen sobre ellos. Además, se demanda que las condiciones sean inequívocas y específicas, por lo que cláusulas como “sus datos serán utilizados para mejorar nuestros servicios” serán insuficientes.
- Nuevas responsabilidades que derogan la autorregulación – El GDPR expande la responsabilidad de las compañías a toda la cadena de procesamiento de datos, incluyendo compradores, proveedores, agentes y sub-contratistas. Además, exige la creación de un “Data Protection Office” (DPO) para dar mantenimiento a la información resguardada y ser el punto de contacto ante autoridades.
- Cambios en el resguardo y filtrado de los datos – Obliga a las compañías a tener más “higiene de datos,” al exigir que continuamente justifiquen para qué tienen un dato. También da el mandato de resguardar la información únicamente en países que tengan legislaciones similares. Por otro lado, obliga a las compañías a reportar cualquier fuga de datos en menos de 72 horas de haber sido identificada.
¿Cómo está cambiando la privacidad en 2018?
Este año pasará a la historia como uno de los más intensos y transformadores en materia de privacidad. Aquí te explico los cambios y tendencias para que estés preparado.
Si eres un usuario de internet, en las últimas semanas debiste recibir decenas de emails que anunciaban la actualización de las políticas de privacidad de sitios donde eres suscriptor. Este año concuerda con la época de mayor actividad regulatoria, coincidente con la sobre la privacidad de los usuarios —escándalos como el de Cambridge Analytica y fugas de datos como las que han sufrido Yahoo, Adobe o eBay no han pasado inadvertidas.
Los 44 exabytes —unos 44 mil millones de gigabytes— de nuevos datos creados en el mundo cada día son demasiado importantes como para repensar su concepción, por lo que vale la pena preguntarnos, ¿cómo se puede interpretar el estado actual de la privacidad? ¿Qué cambios regulatorios hay este año? Y, ¿qué asuntos serán clave para entender el futuro de la privacidad?
Privacidad: Marcos Operativos y Paradojas
Actualmente existen tres marcos operativos con respecto a la privacidad que, aunque no son mutuamente excluyentes, son suficientemente distintos entre sí; están representados principalmente por China, EU y Europa.
Marco 1: El control chino
El país sino se jacta de tener regulaciones muy estrictas, pero en la práctica, la privacidad no es una prioridad tan importante como el control. No tiene un marco regulatorio unificado, sino que las posturas se han ido adaptando a estrategias como el plan “Hecho en China 2025” y el “13º Plan Quinquenal de Informatización Nacional.”
El modelo privilegia la recolección, interconexión y resguardo de información por parte del Estado. En la inauguración de un data-center nacional, el presidente Xi hizo un llamado a construir “infraestructura de información segura, ubicua, móvil y de alta velocidad, integrando los recursos de datos sociales y gubernamentales, y mejorando la recopilación de información fundamental y recursos de información importantes en áreas claves”. Además, el Artículo 37 de la Ley de Ciberseguridad menciona que la información relevante recolectada por las tecnologías chinas debe ser almacenada en China continental.
Marco 2: La autorregulación estadounidense
A pesar de los escándalos de los últimos tiempos, Estados Unidos no ha tenido grandes avances a este respecto, ya que la regulación vigente data de la Ley de Privacidad de 1974. Barack Obama propuso en 2012 el proyecto de ley de Declaración de Derechos de Privacidad del Consumidor, que naufragó en el Congreso. Asimismo, el entonces presidente promulgó una serie de lineamientos para la Comisión Federal de Comunicaciones para que las compañías de telefonía no pudieran ver y seguir todo lo que hace un usuario de telefonía, mismas que ya fueron revocadas por Donald Trump.
Entonces, la postura general estadounidense ha sido la de desregulación, complementada por el obsoleto marco legal del Internet, basado en leyes desarrolladas entre las décadas de los 1970s a 1990s. Cada que se presenta una propuesta de ley al respecto, acuden cabilderos de diferentes industrias con el argumento de que la innovación del sector pasa por la capacidad de las empresas de recopilar, analizar, vender y monetizar los datos de los usuarios, y que dichas corporaciones son el mejor actor para decidir sobre los datos.
Así se ha identificado la Paradoja de la Privacidad, que enuncia que las personas decimos que nos preocupamos por controlar nuestra información privada en línea, pero en la práctica estamos altamente dispuestos a revelarla. Así, mientras encuestas señalan que alrededor del 74% de las personas están de acuerdo en que la privacidad les es muy importante y que el 64% piensa que la privacidad en línea debería ser un derecho humano, un estudio del MIT encontró que 98% de un grupo de estudiantes revelaría los correos electrónicos de sus amigos a cambio de una pizza “gratis”. No es de extrañar que apenas el 31% de los usuarios entienda qué hacen las compañías con la información que ellos les facilitan.
La Paradoja de la Privacidad tiene implicaciones en aspectos como privacidad de datos, seguridad y contenido, gravamen de impuestos y competencia, que se pueden sintetizar en la proliferación de modelos de negocio con recolección primaria y secundaria de datos. En los modelos primarios, las empresas recolectan información sobre lo que hacen las personas en sus plataformas y explotan la información para aumentar el engagement a través de sugerencias y mecanismos que detonan la entrada a los sitios de internet.
Pero en los modelos secundarios, las empresas comparten la información con fines de sinergia e inclusive, explotación. Los casos positivos incluyen el internet de las cosas, mientras que los casos negativos incluyen la divulgación de nuestra ubicación, búsquedas en línea e interacciones, donde a cambio del uso gratuito, los usuarios somos el producto y nuestra información se convierte en activo de capital corporativo.
La paradoja también se vuelve un ciclo al analizar los intereses de los actores. Mientras las compañías tecnológicas buscan mejorar sus servicios gratuitos y de bajo costo a partir de la explotación de los datos del consumidor, los usuarios de internet extraen más valor de los servicios que las compañías ofrecen —a menudo proporcionando aún más información—. Por otro lado, los reguladores quieren garantizar que la información, sea utilizada adecuadamente, aunque, ni los usuarios ni las empresas le dan importancia al asunto… hasta que las cosas salen mal.
El tema es relevante antes de que las implicaciones del poder computacional se pueden volver más grotescas. Hace unos meses se hablaba de cómo Cambridge Analytica explotó exámenes de personalidad para establecer perfiles psicológicos que permitieran enviar mensajes personalizados que alteraran a diferentes votantes.
En el debate de las últimas semanas destaca el de las tecnologías de reconocimiento facial. Amazon desarrolló el software Rekognition para analizar bases de datos de rostros y documentos. En un primer experimento a nivel gubernamental, las municipalidades de Orlando y Washington County conectaron el sistema a su circuito de cámaras de seguridad, y lo compararon con 300 mil credenciales, lo que permitió identificar a algunos transeúntes en las calles con alto grado de precisión.
Se intuye que la siguiente fase podría ser desarrollar este sistema para los policías, con el que podrían identificar a las personas en manifestaciones y revueltas, o detener infractores en conciertos o estadios. Una treintena de organizaciones se han manifestado en contra de anular lo que consideran el derecho a caminar por la calle sin ser vigilado por el gobierno. Este ejemplo muestra que nuestra privacidad tiene implicaciones que, hasta cierto punto, ni siquiera nosotros podemos controlar.
Marco 3: El empoderamiento europeo
Después de 6 años de debate y otros 2 de haber sido promulgado, el 25 de mayo pasado entró en vigor el Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés). La nueva legislación, con alta influencia alemana y enunciada antes de escándalos como el de Facebook-Cambridge Analytica, es una ley de privacidad multidimensional, robusta y con una estrictez casi radical. Entre las disposiciones del GDPR, destacan: