Quema de Libros, actualizada a la Era Digital

Traducción del post de Peter Fleischer 20121114

Hoy en día somos mucho más ilustrados que las predecesoras Generaciones de Quema de Libros, ¿verdad? La quema de libros tiene una larga e ignominiosa historia. La historia también nos enseña que los quema-libros por lo general acaban siendo quemados ellos mismos.

 Pensemos en Savanarola en 1497, en la famosa Hoguera de las Vanidades, donde se quemaban libros y objetos que se consideraba que eran tentaciones para pecar. Dos años más tarde el propio Savanarola fue quemado en la hoguera.

Pensemos en los Nazis en 1933, quemando libros “anti-alemanes”. Doce años más tarde dejaron ardiendo a Alemania, junto con gran parte de Europa.

La quema de libros nos ha acompañado en todas las épocas. Se quemaban libros para proteger la fe, o para proteger a la nación, o para proteger al régimen. Ahora, para proteger la “privacidad”, Europa está creando un “Derecho al Olvido” malamente definido, malamente concebido; sobre el que he posteado anteriormente.  ¿Estamos volviendo a encender la larga tradición de la quema de libros?

En la era digital, no quemamos libros físicos. En vez de eso borramos datos.

El Derecho al Olvido es más pernicioso que la quema de libros. El Derecho al Olvido trata de dar a los individuos los derechos legales para obliterar[1] elementos que no le gusten de sus datos personales, publicados en fuentes terceras, ya sean sitios de redes sociales, o periódicos, o libros, o archivos online. En el mundo real, esto pueden ser cosas como un informe de que un político aceptó un soborno. O que un médico fue juzgado por una mala práctica médica. O una persona que solicita suspensión de pagos. Puedes ver fácilmente que la persona en cuestión puede tener un interés en obliterar cualquier referencia a estos hechos embarazosos, al tiempo que otras personas puede que tengan un interés muy legítimo en conocerlos.

Históricamente la quema de libros era por lo general un acto simbólico, de protesta política. Ningún quema-libros tuvo la ilusión de destruir el texto de un libro que se estuviera quemando. Solo se quemaba la copia física del texto. El texto sobreviviría en alguna otra parte. Pero el Derecho al Olvido está intentando obliterar el texto, la fuente, los propios hechos, y no meramente alguna copia de esos hechos que circulen en un libro físico o periódico o sitio de Internet.

Borrar datos en nombre del “Derecho al Olvido” es solo la punta del iceberg de la ideología de privacidad. Uno de los principios centrales de esta ideología es que todos los datos personales deberían ser borrados en cuanto “ya no sean necesarios”. Esta ideología está basada en el temor de que cualquier dato personal pudiera ser mal empleado para invadir la privacidad de alguien; y que el riesgo de una invasión de privacidad debería inclinar la balanza automáticamente frente a cualesquiera beneficios potenciales del retener los datos. Esta es una ideología profundamente pesimista, que concluye que retener los datos puede dar lugar a riesgos futuros y a beneficios futuros, pero puesto que todavía no conocemos cuáles son, debemos actuar por defecto borrando los datos para prevenir los riesgos, en vez de retenerlos para posibilitar los beneficios.

Como podría decir Savanarola, en un arranque de demagogia de borrado de datos, quememos todas esas “vanidades”, esas bases de datos de datos personales, que no son sino tentaciones para pecar contra la privacidad de alguien. Pero lo opuesto podría revelarse cierto: que estas vanidades son bases de datos de gran valor y belleza, y que algún día aprenderemos que sería un pecado obliterarlas. Se cree que Botticelli quemó algunas de sus pinturas, cuando fue arrollado por la fiebre Savanarolista. Pocos años después Botticelli renunció a la cosmovisión de Savanarola.

Yo puedo entender que las bases de datos deberían estar protegidas, aseguradas, analizadas de manera responsable, sí, pero... ¿obliteradas? ¿Sólo porque algo podría salir mal? Si adoptasemos ese enfoque en el resto de nuestras vidas, ¿qué quedaría? Es extraño que esta filosofía pesimista y destructiva sobre el borrado de datos haya llegado a convertirse en sabiduría convencional, al menos en Europa. Bueno, de momento. A largo plazo, la quema de libros nunca ha sido una estrategia ganadora. Si crees que nuestra época está más ilustrada que la eras anteriores de quema-libros, ¿por qué piensas que quemar libros en nombre de la privacidad es más legítimo que quemar libros en nombre de la raza, la religión o el régimen?

o0o

---

[1] obliterar: (Del lat. oblitterāre, olvidar, borrar). 1. tr. Anular, tachar, borrar.

El Mercado de los Programas de Cumplimiento de Privacidad

Traducción del post de Peter Fleischer 20121105

El establishment de la protección de datos, en todo el mundo, ha estado inventando un montón de nuevos programas de cumplimiento de privacidad. Todas estas diversas iniciativas, bien intencionadas, tienen la finalidad de servir al mismo propósito: mejorar las protecciones de privacidad. Todas ellas son, o probablemente pronto lo serán, obligatorias para la mayoría de las grandes empresas. A duras penas puedo seguir la pista de todas estas diferentes iniciativas, pero he aquí algunas que me he esforzado en tratar de entender:

• Responsabilización
• Privacidad desde el Diseño
• Evaluaciones de Impacto en la Privacidad
• Acuerdos Transaccionales
• Auditorías (internas y externas)
• Revisiones Regulatorias
• Documentación de Proceso de Datos
• Notificaciones/Inscripciones de Bases de Datos
• Reglas Corporativas Vinculantes (BCRs)
• Programas de Cumplimiento de Puerto Seguro

Muchos de mis conocidos en el campo de la privacidad me han preguntado qué es lo que pienso de todo esto: ¿Estos programas han de desarrollarse independientemente, por más que se solapen y cubran el mismo aspecto? ¿Tiene alguien idea de cuánto va a costar todo esto? ¿Cuándo has de solicitar ayuda para implementar estos programas? ¿Se podría ejecutar  un único programa de cumplimiento de privacidad que fuera lo bastante sólido como para alcanzar todas estas metas? Claramente, todos nosotros los profesionales de la privacidad estamos batallando para comprender esto.

Estoy seguro de que todos creemos que los programas de privacidad requieren un sólido cimiento de programa de cumplimiento para ser efectivos. La mayoría de nosotros seguramente cree que los diferentes actores deberían tener libertad para desarrollar programas que encajen en sus propias culturas. Las ágiles empresas de Internet tienen culturas muy diferentes a las de las burocracias gubernamentales; así que naturalmente estos mundos culturales diversos deben tener libertad de diseñar programas que funcionen en sus respectivas culturas. Claramente, una sola talla no vale para todos. Los programas han de ser adaptados al tamaño y la sensibilidad del procesamiento. Una base de datos gubernamental de registros de abusos infantiles es más sensible que una base de datos de unos logs analíticos de algún sitio web; así que sería erróneo intentar ejecutar el mismo programa de cumplimiento para ambas.

Sobre el coste: a pesar de todas las buenas intenciones que motivan estas iniciativas de cumplimiento, nadie ha comenzado siquiera a calcular lo que van a costar todos estos programas de cumplimiento. Por ejemplo, Europa: he leído algunas declaraciones de políticos sobre que las futuras leyes de privacidad europeas reducirán el coste de cumplimiento en las empresas. Esto sencillamente no es creíble. De un lado, bajo las nuevas regulaciones, las empresas en Europa se ahorrarán un dinerillo por cuanto que ya no tendrán que rellenar los formularios de solicitud de inscripción de ficheros en los diversos registros nacionales europeos. Pero puesto en perspectiva, eso es el chocolate del loro. Del otro lado, la imposición de nuevas obligaciones de cumplimiento (evaluaciones de impacto en la privacidad obligatorias,  Delegados de Protección de Datos obligatorios, notificaciones de brechas de seguridad obligatorias, documentación de proceso de datos obligatoria) costará un riñón. El problema es que nadie sabe cuánto va a costar todo esto. Yo estoy funcionando sobre la educada conjetura de que las actuales propuestas de cumplimiento de privacidad europeas van a multiplicar por diez los costes de cumplimiento de privacidad de las empresas de Europa, a partir de, digamos, 2.015. Sí: diez veces más. Eso no incluye los costes de las multas y sanciones por los incumplimientos, que ahora se propone que se eleven a ciertos porcentajes del volumen de ventas mundial de la empresa. Este aumento masivo de costes de cumplimiento es en gran parte el resultado de las sanciones que se están proponiendo en Europa para el hecho de no cumplimentar adecuadamente los programas de cumplimiento. Yo todavía tengo la esperanza de que se articulen unas obligaciones más realistas para las Pequeñas y Medianas Empresas, pero la gran tendencia va claramente hacia costosas nuevas obligaciones de cumplimiento en Europa.

Tengo la impresión de que mucha de la gente que está debatiendo las leyes de privacidad no tienen ni idea (y quizás ni les importa) de cuánto acaba costando esto. Tampoco he leído ningún clásico análisis de coste/beneficio sobre estas nuevas obligaciones. Como abogado entrenado en Harvard en el análisis de coste/beneficio de las regulaciones gubernamentales, estoy sorprendido de ver que ha habido absolutamente cero análisis académico o económico para determinar cuáles regulaciones de cumplimiento de privacidad son efectivas y cuáles son legajos burocráticos sin sentido.

En el momento de escribir este post no conozco en realidad cómo van a encajar juntas todas las citadas iniciativas de cumplimiento. No sé cuáles son superfluas. Todo esto todavía ha de ser desarrollado. Aunque cada uno de los programas citados se solapa con otros de algún modo, cada uno de ellos también es ligeramente diferente. Tendremos que solucionar cómo minimizar la duplicidad entre estos programas, o vamos todos a desperdiciar nuestro tiempo y dinero en re-inventar la rueda.

Las iniciativas de cumplimiento de privacidad hoy en día me recuerda a los días pioneros del ferrocarril, cuando cada línea ferroviaria tenía su propio ancho de vía, con lo que los trenes sólo podían viajar por una línea.  Al final todo esto se resolverá al igual que el ancho de vía acabó por estandarizarse; pero mientras tanto, me temo que todos vamos a estar dando vueltas en círculos. Como en los tiempos pioneros del ferrocarril, todavía estamos en los tiempos fronterizos pioneros, experimentales, ineficientes, no estandarizados, de los programas duplicados de cumplimiento de la privacidad.

o0o

Grecia: protege la libertad de expresión

Traducción del post de Peter Fleischer 20121102

Seguramente habrás leído sobre el caso ampliamente difundido del periodista griego que publicó la lista de 2.000 griegos que tienen cuentas en bancos suizos. El periodista sufrió un juicio penal por infracción de la legislación de protección de datos. Afortunadamente, los tribunales reconocieron que este periodista publicó los nombres en interés público. Así, el caso confirmó las fuertes sospechas del mundo entero de que los políticos griegos y las élites financieras se estaban protegiendo a si mismas de las investigaciones sobre evasión fiscal. En vez de investigar por qué las autoridades tributarias griegas dejaron de investigar esta lista de 2.000 nombres, después de que dos años antes el IMF le hubiera entregado la lista, las autoridades sometieron a juicio al periodista. Esto fue un intento diáfano de usar el sistema de justicia penal, y la “protección de datos”, como medio de enfriar los intentos de este periodista (y de otros) para revelar la evasión de impuestos y la connivencia política.

Afortunadamente, el tribunal griego desestimó las acusaciones contra el periodista de delito de protección de datos.

Como abogado de privacidad, observo varias cosas. Las leyes de protección de datos en Europa prevén explícitamente una exención de las leyes normales de privacidad, para los propósitos periodísticos, como por ejemplo “necesidad de reconciliar el derecho a la privacidad con las reglas que rigen la libertad de expresión” y por “sustancial interés público”. Los  Artículos 9 y 8 de la Directiva.   Sin duda, este ejemplo griego cumple ambos tests, y el tribunal fue rápido en alcanzar ese resultado.

Sin embargo, me preocupa mucho el alza en la criminalización de las leyes de privacidad, especialmente en el sur de Europa. Una vez que las leyes de privacidad se inscriben en los códigos penales, abren la puerta a los acusadores y jueces penales persiguiendo tales casos con la bruta maquinaria de la justicia penal, respaldados con la amenaza de cárcel. Muchos de tales casos, como este ejemplo griego, son casos con matices en que se equilibran derechos humanos fundamentales, como la privacidad y la libertad de expresión. Nada es más peligroso para la libertad de expresión que el empleo de vagas nociones de “privacidad” para amenazar a los periodistas, o a los periódicos o plataformas de Internet, o a los empleados de las plataformas de Internet, con tiempo de reclusión, cuando están ejerciendo sus derechos a la libertad de expresión o haciendo funcionar plataformas para que otros lo hagan. Hay ahora cientos de casos alrededor del mundo.

Afortunadamente, el sistema judicial griego fue rápido, y resolvió este caso en unos días. Pero muchos de los sistemas de justicia penales son notoriamente lentos. Como informó The Economist, por poner el ejemplo de Italia: “La justicia italiana tiene fama de moverse con mucha lentitud”. Mi propio  juicio penal en Italia  lleva arrastrándose desde hace años, y se espera que la fase de apelación comience pronto, el 4 de Diciembre 2012, después de casi 5 años desde que me “detuviera” la policía italiana en Milán. 5 años es mucho tiempo para poner a alguien a través de un infierno de justicia criminal, en un caso que constituye un hito donde se me intenta hacer responsable de forma indirecta por el contenido generado por un usuario que lo subió a una plataforma de video en Internet.

Albricias, Costa Vaxevanis, respeto tu coraje. Unas fuerzas muy poderosas intentan usar las regulaciones de privacidad penal para restringir la libertad de expresión. Gracias por mantener el tipo frente a ellas.

o0o

Singapore aprueba una moderna ley de Privacidad. ¡Bravo!

Traducción del post de Peter Fleischer 20121029

Foto Ref:

Singapur es el último de una larga lista de países que recientemente han aprobado leyes de Privacidad. Se une a otros países asiáticos, como Malasia y Filipinas, en la cosecha de este año de países con nuevas leyes de Privacidad.

Esto es en parte un tributo a Europa, donde las modernas leyes de privacidad fueron inventadas en los años 60. Bueno, modernas lo eran entonces. Hoy están bastante desfasadas. Hubo una doctrina en Europa de que las leyes de protección de datos son una expresión perfecta de los derechos humanos fundamentales, un faro para toda la humanidad, como la Venus de Milo, para ser admirada y copiada por toda la humanidad.

Singapur ha aprobado una moderna ley de Privacidad. Europa, en contraste, está intentando modernizar su vieja ley de Privacidad. Europa debería tratar de aprender una lección de la nueva ley de Singapur.

Para mí, hay una sencilla prueba de si una ley de privacidad es moderna: cómo resuelve el tema de las “transferencias internacionales de datos”. Ciertamente, si me pidieras que escogiese el concepto dentro de las leyes de Privacidad existentes en Europa que estuviese más necesitada de modernización, yo escogería esta: las restricciones europeas a las transferencias internacionales. Extrañamente, en la larga lista de cosas que Europa está ahora proponiendo para “modernizar”, la necesidad de crear un marco más racional para las transferencias internacionales no está incluida en la lista. Singapur lo ha entendido bien. La nueva ley de Singapur simplemente dice que una empresa que transfiera datos fuera de Singapur es responsable de asegurar que continúe respetando las disposiciones de la ley de Privacidad. Simple. Efectivo. Obvio.

O por citar el discurso del ministro del gobierno de Singapur cuando se aprobó la ley: "Nosotros no estamos adoptando un enfoque obligatorio de restringir las transferencias de datos personales a países que tengan un nivel adecuado de protección. En vez de eso, la Ley adopta un enfoque basado en los “principios”, en que la carga de instaurar medidas estará en la organización de Singapur, como por ejemplo disposiciones contractuales, para garantizar que a los datos personales transferidos al extranjero se les otorga un estándar comparable de protección. Por consiguiente, no hay necesidad de obligar a las organizaciones con la carga adicional de revelar a los consumidores los lugares a los que serán transferidas las copias de sus datos personales”.

El enfoque de Singapur es un repudio directo del enfoque europeo que dificulta enormemente la transferencia de datos internacionalmente. El enfoque europeo ha llegado a ser extrañísimo, con toda una industria legal contorsionándose gimnásticamente para las transferencias internacionales:

• Primero, las leyes europeas declaran la conformidad de las transferencias a otros países europeos y a ciertos países que se considera que tienen leyes de protección de datos “adecuadas”, pero la lista de países “adecuados” es una lista de países que forma extraños compañeros de cama, incluyendo mayormente a paraísos fiscales (sí, Mónaco y Guernesey) y unos pocos (y quiero decir, literalmente, unos pocos) otros, abarcando desde Argentina y Uruguay  hasta Israel y Canadá.

• Segundo, existen unos pocos mecanismos legales hipotéticos para permitir que se transfieran datos desde Europa a otros países del globo. Los datos pueden fluir a EE.UU. si la empresa que los transfiere firma el Acuerdo de Puerto Seguro con Estados Unidos. Los datos también pueden fluir alrededor del mundo si la empresa que los transfiere firma las llamadas Reglas Corporativas Vinculantes (Binding Corporate Rules), y si estas BCR son aprobadas por las Agencias de Protección de Datos. El hecho simple y puro es que solo un puñadillo de BCR han conseguido hasta la fecha abrirse camino a través del procedimiento de aprobaciones burocráticas. Por ejemplo, por lo que yo sé, ni una sola compañía de Internet ha tenido nunca unas BCR aprobadas. Así pues, en la práctica, la opción de conseguir la BCR es hipotética.

• Tercero, las personas pueden dar su consentimiento para que sus datos se transfieran internacionalmente, aunque no existe consenso sobre lo que se quiera decir con “consentir” o lo que requiera en la práctica, y nadie sabe ni siquiera lo que es una “transferencia”.

Puesto que todos sabemos que los datos se están transfiriendo internacionalmente, día tras día, miles de millones de veces cada día, por todo el mundo en Internet... ¿significa esto que todas las empresas, todos los gobiernos, todos los individuos, están transfiriendo datos “ilegalmente” en Europa hoy en día? ¿Significa esto también que las leyes de privacidad europeas están sin remedio desfasadas en este tema? Bueno, sí. Y apenas transcurre un día sin que haya algún otro informe financiado con dinero de los contribuyentes por las autoridades administrativas sobre La Nube, advirtiendo severamente a los usuarios para que cumplan con la normativa europea sobre transferencias internacionales, y listen los lugares donde se procesen los datos; mientras que al mismo tiempo reconocen que no existe una solución, pragmática y adaptada al mundo real, para la normativa arcaica y atascada en el barro de los años 80 sobre transferencias internacionales.

Europa está intentando modernizar sus leyes de Privacidad ahora. Está proponiendo un montón de maneras sensatas de modernizar las leyes. Pero, perdiendo una oportunidad importante, no está haciendo prácticamente nada para tratar de modernizar la verdadera pieza más importante: esto es, simplificar las reglas relativas a las transferencias de datos internacionales. ¿Por qué no deshacerse sencillamente de la totalidad de las restricciones, divorciadas de la realidad, sobre transferencias internacionales de datos, como ya han hecho la mayoría de países del mundo? El que recabe y transfiera datos debería quedar responsable por ellos, sin importar dónde se procesen los datos. Punto. Es así de simple.

Singapur acaba de aprobar una ley moderna, con una disposición sensata sobre las transferencias internacionales. Una ley moderna ayudará a levantar una industria moderna y a crear puestos de trabajo. Si Singapur puede hacerlo, Europa también puede. En caso contrario, el resto del mundo simplemente avanzará y construirá el futuro sin nosotros. Al menos, el mundo seguirá teniendo una profunda afición por los tesoros históricos de la Vieja Europa, como prósperos turistas singapurenses echando fotos a la Venus de Milo en el Louvre, mientras nuestra declinante generación de niños aguardan afuera con la esperanza de venderles un sándwich.

o0o

Pleitos de Privacidad: listos para una avalancha en Europa

Traducción del post de Peter Fleischer 20121026

Foto Ref:

Estados Unidos ha sido, de siempre, un país litigioso. Lo que es cierto en general en los EE.UU. es también cierto para la Privacidad. Los EE.UU. tienen una palpitante industria de pleitos sobre Privacidad, conducida por las acciones colectivas de privacidad. A las pocas horas de que se publique algún titular en los periódicos (ya sea veraz o no) donde se denuncie cualquier error de privacidad, comienza una carrera entre los abogados de acciones colectivas de privacidad para encontrar algún demandante y presentar una demanda colectiva. La mayoría de estas acciones colectivas son pronto desestimadas, o retiradas por acordarse que son demandas perjudicadoras, pues la mayoría de ellas no pueden demostrar la existencia de algún “perjuicio” resultante de la alegada infracción de privacidad. Pero un pequeño porcentaje de acciones colectivas de privacidad acaban en inmensas transferencias de dinero, primero y principalmente a los propios abogados de acciones colectivas, lo que es suficiente para mantener en marcha los engranajes de la máquina de pleitos.

Europa, en comparación, no es ni de cerca tan litigadora como los EE.UU. Lo que es cierto en general en Europa es también cierto para la Privacidad. En Europa, la privacidad se lleva sobre todo como un asunto administrativo, por las Agencias de Protección de Datos, que tienen la facultad de investigar quejas, interponer acciones de ejecución e imponer sanciones por incumplimientos.

En teoría, cualquier resolución de una Agencia puede ser recurrida ante los tribunales ordinarios de esa nación. En la práctica esto raramente se hace. ¿Por qué? Porque las sanciones de las Agencias en Europa tienden a ser muy pequeñas. ¿Sería racional contratar un caro bufete de abogados para interponer un recurso contra una resolución sancionatoria de una Agencia de 100.000 €, sabiendo que los costes de tal consejero externo para esa apelación van a ser superiores a esa cifra? Incluso sabiendo que ganarías el juicio, seguramente no recurrirías, aunque solo fuera por sentido común.

Una de las consecuencias desafortunadas del actual modelo sancionatorio de las Agencias europeas es que muy pocas de sus resoluciones se ponen a prueba o se validan ante los tribunales. Si se apelaran más de estos casos, estoy absolutamente seguro de que muchos de ellos serían desestimados por razones jurídicas. Así pues, Europa está formando un cuerpo de “precedentes administrativos”, lo cual nunca ha tenido realmente la disciplina de una revisión judicial, tal y como entenderíamos ese concepto en EE.UU.

A partir de 2015, probablemente, cuando entre en vigor el nuevo Reglamento de Privacidad de la Unión Europea, todo esto va a cambiar. Las nuevas leyes casi con seguridad van a introducir amplias nuevas sanciones y niveles de multas por infracciones de privacidad, expresadas en un porcentaje (digamos un 2%) del ingreso total de una empresa. Sí, lo has leído correctamente. Compara el panorama actual, cuando la multa más grande impuesta por la Agencia de Protección de Datos francesa en toda su historia asciende a 100.000 €, con el panorama que se avecina, cuando las multas podrían ascender teóricamente a muchos millones. Puedes hacer las cuentas.

Una vez que está en juego dinero de verdad, todo cambia. Las empresas que hoy en día se encogen de hombros y pagan pequeñas multas, en vez de molestarse en contratar abogados y meterse en largos pleitos, en el futuro tendrán que encarar el riesgo de multas inmensas; con lo que tendrán que contratar abogados caros, afrontar intensas batallas legales y, en general, manejar los pleitos de infracciones de privacidad con toda la batería de procesos legales y herramientas. Las empresas ya hacen esto en muchas otras áreas legales, así que ampliar tales prácticas a la legislación de protección de datos no será difícil.

Las Agencias, por otro lado, no están en absoluto preparadas para este futuro cercano. Muchas agencias funcionan hoy en día mediante “juicio mediante nota de prensa”, lo que realmente no tiene la intención de soportar un proceso legal,  sino generar un cierto impacto sobre la reputación en la prensa. Pero las Agencias están completamente desorganizadas y faltas de personal para afrontar serias acciones legales, con una base legal sólida, y un sólido respeto al proceso legal, de manera que salieran airosas de un estrecho escrutinio legal y de las apelaciones judiciales. Una cosa es lanzar una acción de ejecución cuando el importe en juego son 100.000 €, y otra cosa enteramente diferente es cuando el dinero en juego son 100.000.000 euros.

En este post, no estoy comentando sobre si crear elevadas sanciones por incumplimientos de privacidad en Europa tiene o no tiene sentido. Solo estoy diciendo que todo el juego legal/procedimental cambia cuando hay montones de dinero en juego. La litigiosidad de Privacidad se va a convertir en un área de asesoramiento externo con gran auge en Europa. Las empresas manejarán la privacidad en Europa cada vez más como un asunto contencioso, más que como un asunto administrativo. Y las Agencias van a tener que planear cómo van a resistir la artillería legal pesada de los recurrentes, algo que pocas de ellas  han encarado anteriormente.

Los juicios de Privacidad ya son un gran negocio en EE.UU. En unos pocos años, también en Europa tendrá gran auge este tipo de litigios de Privacidad, una vez que se pongan en juego grandes sumas. ¡Finalmente hemos encontrado una industria en alza en una decadente Europa!

o0o

Brillante Clase Magistral de Microsoft sobre cómo cambiar una política de privacidad

Traducción del post de Peter Fleischer 20121025

A menudo le preguntan a los profesionales de la privacidad cómo cambiar o actualizar una Política de Privacidad. En realidad sólo hay dos opciones básicas: abiertamente o silenciosamente.

Naturalmente, tuve curiosidad profesional por ver cómo procedió Microsoft a cambiar su política de privacidad hace poco. Ha sido particularmente interesante, porque Microsoft hizo cambios que eran muy similares a los que Google hizo en su propia política de privacidad en marzo pasado. Es interesante cuando tienes dos grandes empresas que hacen cambios muy similares en sus políticas de privacidad al mismo tiempo pero que las anuncian de modos muy distintos.

Microsoft hizo sus cambios en una jerigonza legal en una cosa llamada el Acuerdo de Servicios Microsoft.  

Cuando Google anunció sus cambios, Microsoft lanzó una campaña mundial de relaciones públicas para desprestigiar a Google.  Así pues, es chocante que Microsoft hiciera silenciosamente cambios similares en sus políticas de privacidad a los que tan vocingleramente acusó a Google de haber hecho. Después de que Microsoft hubiera empleado anuncios a toda plana en los periódicos para criticar a Google por sus cambios, ¿empleó Microsoft similares anuncios a toda plana para informar a sus usuarios de los cambios que ellos estaban haciendo? Nanay. Y “casi nadie se dio cuenta” de los cambios de Microsoft, como informó el New York Times.

Si la meta era hacer cambios en sus reglas de privacidad de modo que “casi nadie se diera cuenta”, Microsoft estuvo brillante.

Puedo adivinar qué lección sacará la mayoría de los profesionales de privacidad de esta clase magistral. Cuando llegue la hora de que los profesionales de privacidad actualicen sus propias políticas de privacidad, ahora tienen dos modelos para elegir. El camino abierto y transparente condujo a unas diatribas de leguleyos a nivel mundial y una intensa inspección por parte de las Agencias. El otro camino, bueno, Microsoft brillantemente marcó una sendero de modo que “casi nadie se dio cuenta”. ¿Qué camino piensas que tomarán en el futuro los profesionales de la privacidad? ¿Qué camino piensas que es bueno para la privacidad?

Tristemente, todos sabemos la respuesta.

o0o

Peregrinaje a Punta del Este

Traducción del Consejero Global de Privacidad de Google:
 Peter Fleischer 20121023

Foto Ref:

Hoy en Punta del Este, Uruguay, se celebra la conferencia anual de las Agencias de Protección de Datos de todo el mundo. También reúne a un gran número de profesionales en esa esfera, como abogados de privacidad, profesionales y gente de los lobby. Estas son conferencias anuales, celebradas generalmente en Europa, pero ocasionalmente en otros países del mundo como “recompensa” por haber adoptado legislación de privacidad de estilo europeo.  Uruguay acaba de aprobar su ley de protección de datos al estilo europeo, así que es el anfitrión este año. En años anteriores, otros países que acababan de adoptar leyes de privacidad de estilo europeo, esto es Méjico e Israel, fueron los anfitriones. Países que no han adoptado leyes de privacidad al estilo europeo, como Estados Unidos o Japón, no se consideran cualificados como anfitriones. De hecho, hasta hace poco, la Comisión Federal de Comercio americana ni siquiera tenía derecho a votar en las reuniones de las Agencias, sino que únicamente se le permitía asistir con una especie de estatus de “observador” de segunda clase. Finalmente, hace dos años, la FTC fue admitida como miembro del club de Agencias.

Yo no tengo nada en contra de las confabulaciones de privacidad. Siempre hay un montón de cosas interesantes de las que hablar en el mundo de la privacidad. Por supuesto, toda esta charla se podría llevar a cabo virtualmente, utilizando sencillas tecnologías de Internet, prácticamente gratis. Yo no voy a ir a Punta del Este, pero me pregunto si el ponente de Microsoft, que será estrella invitada allí, va a explicar por qué han cambiado sus reglas de privacidad, como informó The New York Times, en tal manera que "casi nadie se ha dado cuenta".  O si hablará de cómo emplean un ejército de abogados del lobby de la privacidad, incluyendo a anteriores miembros de las Agencias de privacidad, como informó The Economist. 

Estoy seguro de que esta conferencia amortizará el dinero de los contribuyentes, solazándonos con las imágenes de la playa y el hotel de 5 estrellas en Punta del Este que admiramos en el sitio web de la Conferencia. Volar hasta el otro lado del mundo para escuchar a un conferenciante de Microsoft sobre privacidad... ¡no tiene precio!

o0o

Pensamiento de Grupo

Ref Foto:

Traducción del post de Peter Fleischer 20121008

Hay todo un palpitante negocio de conferencias de privacidad. Todas las semanas del año hay conferencias de privacidad en alguna parte del mundo. Algunas son comerciales, otras están financiadas con dinero de los contribuyentes. ¿Por qué son tan aburridas?

Porque toman uno de los temas más interesantes del mundo, la privacidad, y discuten y debaten sobre él desde una perspectiva insular; es decir, desde la perspectiva de la gente que está en el “negocio” de la privacidad. Yo mismo soy muy claramente parte de este “negocio”.

El “negocio” de la privacidad, o el “complejo industrial de privacidad”, como algunos bromistas lo han apodado, consta de los profesionales de la privacidad en las empresas, abogados de protección de datos, agencias de protección de datos, consultores de privacidad, etc. Así que las conferencias tienden a ser unas afirmaciones increíblemente banales acerca de quién está más comprometido con la privacidad, y comienzan con estentóreas declaraciones, como “la privacidad es un derecho humano fundamental, por consiguiente...”. O bien consisten en un “debate” entre dos abogados de privacidad, lo cual es como escuchar a dos miembros de la Asociación Nacional del Rifle debatir sobre los beneficios sociales del control de armas. o bien consisten en abogados a sueldo de corporaciones que se dedican a hacer trizas los logros de privacidad de sus competidores, a menudo sin revelar quién les paga por hacerlo.

Los debates interesantes sobre privacidad, en mi opinión, son los debates en los que la privacidad se pone en la balanza frente a algún otro derecho fundamental, como la libertad de expresión, o frente a otras metas sociales, como alentar la innovación; o bien se contrasta con otras varas de medir, como el análisis coste/beneficio de la legislación. Pero muy poco de esto ocurre en las conferencias de privacidad, porque prácticamente nadie de fuera del negocio de la privacidad toma la palabra en tales eventos. Por ejemplo, en vez de oir a los privacistas hablar interminablemente sobre la necesidad de más normativa de privacidad, a mí me gustaría escuchar a un economista evaluando si tal normativa es efectiva, o si su coste supera a sus beneficios. En vez de oir a los privacistas decir que la tecnología tiene que ser metida en cintura, y sujeta a aprobación previa burocrática (en otras palabras: frenada), yo preferiría escuchar a gente que está comprometida con la construcción de economías modernas y dinámicas acerca de cómo las (arcaicas) leyes de privacidad están obstaculizando la creación de las economías basadas en la innovación.

Pero la mayoría de las conferencias de privacidad acaban siendo como cualquier otro cónclave de Pensamiento de Grupo*. En un cónclave del Vaticano, no oirías un debate serio sobre los beneficios para la salud de promover el uso de preservativos. En un evento del Tea Party** no tendrás una discusión seria sobre si los beneficios de la asistencia social son un garante de la mínima dignidad humana.

Yo he acabado decidiendo no asistir a la mayoría de las conferencias de privacidad, al menos por ahora. Cuando voy es sobre todo para tener la oportunidad de charlar individualmente con personas a las que quiero conocer o ponerme al día con ellas. Creo que la privacidad es el tema de debate más interesante del mundo. Pero las convocatorias de pensamiento de grupo no impulsan el debate hacia delante. Si yo estuviera en una reunión de la Asociación del Rifle abogaría por el control de las armas para ayudar a reducir el impresionante nivel de asesinatos en Estados Unidos, y seguramente me echarían de la sala. Hay mucha gente inteligente en la profesión de la privacidad; ¿porqué no nos estimulamos más entre nosotros a dar un pequeño paso, inopinado, fuera del complejo industrial de la privacidad, y nos vinculamos más con el mundo real?

o0o

·         Pensamiento de Grupo: GroupThink: «Un modo de pensamiento que las personas adoptan cuando están profundamente involucradas en un grupo cohesivo, cuando los esfuerzos de los miembros por unanimidad hacen caso omiso de su motivación para valorar realísticamente cursos de acción alternativos». (psicólogo Irving Janis 1972). Ref: Wikipedia.

·         Tea Party: El nombre "Tea Party" hace referencia al movimiento anticolonialista de finales del siglo XVIII llamado Motín del té de Boston o (“Boston Tea Party” en inglés), que protestaba por la aprobación de los impuestos al té sin tener representación en el parlamento británico. Los miembros de las marchas del Tea Party han tratado de evocar estas antiguas marchas usando imágenes, consignas y temas de este periodo de la historia estadounidense. Ref: Wikipedia.

El algoritmo decidió no contratarte: ¿es eso legal?

 Foto Ref

Traducción del post de Peter Fleischer 20120920

Yo empleo un montón de tiempo en pensar sobre privacidad y algoritmos.

El periódico The Wall Street Journal sacó una historia muy interesante: “Conoce al Nuevo Jefe: Big Data”, sobre cómo los algoritmos se están usando para tomar decisiones sobre personal, como contratación y promoción. El artículo señalaba que tales algoritmos podrían plantear problemas legales a la luz de la legislación estadounidense antidiscriminatoria, si a propósito o inadvertidamente filtrasen para descartar ciertas categorías protegidas de empleados, como por ejemplo mayores de una cierta edad. Pero el artículo no entra en un tema legal aún más básico, al menos en Europa.

En Europa la “decisiones individuales automatizadas” son una infracción de la leyes de privacidad europeas. El Artículo 15 de la Directiva Europea sobre tratamiento de datos personales garantiza: el derecho de las personas  “...a no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc”.

Bueno, eso lo expresa con toda la claridad con que puede hacerlo una ley. En nuestra era del Big Data todos sabemos que los algoritmos se están refinando y usando más y más ampliamente para tomar decisiones sobre contratación y promoción, y muchos otros temas. Pero cuando estas decisiones estén basadas únicamente en algoritmos, estarán infringiendo la legislación europea de privacidad. Punto. La única manera en que tales algoritmos se pueden emplear de manera legal sería suplementarlos con otras medidas para salvaguardar los intereses legítimos de la persona a la que se está evaluando; por ejemplo, permitiéndole expresar su punto de vista.

Yo soy un gran creyente de que los algoritmos nos pueden ayudar a todos nosotros (gobiernos, empresas, particulares) a tomar mejores decisiones. Pero cuando un programa informático está tomando por sí mismo decisiones clave sobre a quién contratar o despedir, o sobre si ampliar o no el crédito a alguien, es justo requerir salvaguardias adicionales. Las leyes de privacidad en Europa las requieren. Yo soy agnóstico sobre si los algoritmos son más o menos justos que los humanos al tomar muchas de tales decisiones. En todo caso, las empresas que usen tales algoritmos tienen que considerar cómo hacer que se ajusten a la legislación de privacidad europea. Cuando los algoritmos se usen para suplementar otras herramientas de evaluación, deberían considerarse legales. Cuando los algoritmos se usen para tomar esas decisiones por ellos mismos, existe un riesgo serio de que fueran considerados ilegales. Úsense con cuidado.

o0o

algoritmo. (Quizá del lat. tardío *algobarismus, y este abrev. del ár. clás. 'cálculo mediante cifras arábigas').

1.  m. Conjunto ordenado y finito de operaciones que permite hallar la solución de un problema.

Es hora de una “Agencia Líder” para Europa

  

Traducción del post de Peter Fleischer 20120816
       

¿Quién está al mando en Europa? Este es un acertijo usual para los que trabajamos en el campo de la privacidad en Europa. Cuando estuve en Berlín en una conferencia sobre privacidad (foto adjunta), todo el mundo hablaba sobre eso.

Las agencias de protección de datos juegan un papel vital para el cumplimiento de las leyes de privacidad. Así pues, es natural preguntarse cuál agencia tendrá jurisdicción para hacer cumplir las leyes de privacidad. Durante muchos años he abogado por la idea de una “Agencia Líder” en Europa. Tiene mucho sentido que una de las agencias europeas asuma el papel de líder entre todas las de Europa. Alentaría la homogeneidad a lo largo de Europa, proporcionaría una relación regulatoria más profunda, ahorraría impuestos a los contribuyentes, pues las numerosas agencias no estarían cada cual reinventando la rueda normativa. Esto es exactamente lo que la Comisión Europea está proponiendo en su re-redacción de las leyes para Europa.

Tomemos el ejemplo de Facebook, cuyas actividades europeas tienen su sede social en Irlanda. Normalmente, la agencia de protección de datos irlandesa sería, por tanto, la agencia líder respecto a Facebook en representación de Europa. Y de hecho así ha actuado, llevando a cabo una auditoría a nivel de toda la compañía sobre las prácticas de privacidad de Facebook.

La clave para hacer que todo esto funcione está clara: el concepto de “Agencia Líder” no puede funcionar a menos que otras agencias se remitan a su agencia hermana. Por eso esta historia me llamó la atención: La Agencia de Protección de Datos alemana reabre sus investigaciones sobre el software de reconocimiento facial de Facebook. A pesar de que la irlandesa está actualmente investigando la misma cosa; y a pesar de que la alemana había expresado anteriormente que iban a remitirse a la auditoría irlandesa antes de actuar.

El mundo normativo alemán es un microcosmos del mundo normativo europeo. Cada uno de los “Land” en Alemania tiene su propia agencia de protección de datos. En teoría, cada una de ellas es completamente independiente, y es libre de investigar o regular separadamente, o además de, o incluso de modo diferente, a cualquiera de sus agencias hermanas alemanas. Pero en la práctica, las agencias alemanas han desarrollado una costumbre (no basada en la ley sino en la deferencia y el respeto mutuo), de remitirse a la “Agencia Líder Alemana”. En el ejemplo de Facebook, la agencia de Hamburgo está liderando en representación de sus agencias hermanas alemanas, porque el establecimiento de Facebook Alemania está situado en Hamburgo. De ahí que Hamburgo, en vez de, digamos, Múnich, esté investigando a Facebook.

Así que la cuestión es simple: las agencias alemanas han desarrollado el concepto de “Agencia Líder” entre ellas mismas. Pero ¿están dispuestas a respetar el mismo concepto, y mostrar la misma deferencia regulatoria necesaria a un nivel europeo? Por ejemplo, ¿respecto a la agencia irlandesa?

Si la propuesta de la Comisión Europea llega a convertirse en ley, entonces el concepto de “agencia líder” quedará consolidada legalmente. Yo a menudo critico otros aspectos de la propuesta de la Comisión, pero en lo de la “agencia líder” aplaudo sus esfuerzos. El tema es polémico, y la agencia francesa, la CNIL, por poner un ejemplo, está muy empeñada en atacar públicamente el concepto de “agencia líder” precisamente porque ellos no quieren remitirse a una agencia líder que no sea francesa.

Mientras tanto, no es fácil saber quién está al mando. Yo soy de los que creen que la efectividad normativa es más efectiva cuando está absolutamente claro quién está al mando.

o0o