lunes, 17 de diciembre de 2012

Quema de Libros, actualizada a la Era Digital

Traducción del post de Peter Fleischer 20121114


Hoy en día somos mucho más ilustrados que las predecesoras Generaciones de Quema de Libros, ¿verdad? La quema de libros tiene una larga e ignominiosa historia. La historia también nos enseña que los quema-libros por lo general acaban siendo quemados ellos mismos.

 Pensemos en Savanarola en 1497, en la famosa Hoguera de las Vanidades, donde se quemaban libros y objetos que se consideraba que eran tentaciones para pecar. Dos años más tarde el propio Savanarola fue quemado en la hoguera.

Pensemos en los Nazis en 1933, quemando libros “anti-alemanes. Doce años más tarde dejaron ardiendo a Alemania, junto con gran parte de Europa.

La quema de libros nos ha acompañado en todas las épocas. Se quemaban libros para proteger la fe, o para proteger a la nación, o para proteger al régimen. Ahora, para proteger la “privacidad”, Europa está creando un “Derecho al Olvido” malamente definido, malamente concebido; sobre el que he posteado anteriormente.  ¿Estamos volviendo a encender la larga tradición de la quema de libros?

En la era digital, no quemamos libros físicos. En vez de eso borramos datos.

El Derecho al Olvido es más pernicioso que la quema de libros. El Derecho al Olvido trata de dar a los individuos los derechos legales para obliterar[1] elementos que no le gusten de sus datos personales, publicados en fuentes terceras, ya sean sitios de redes sociales, o periódicos, o libros, o archivos online. En el mundo real, esto pueden ser cosas como un informe de que un político aceptó un soborno. O que un médico fue juzgado por una mala práctica médica. O una persona que solicita suspensión de pagos. Puedes ver fácilmente que la persona en cuestión puede tener un interés en obliterar cualquier referencia a estos hechos embarazosos, al tiempo que otras personas puede que tengan un interés muy legítimo en conocerlos.

Históricamente la quema de libros era por lo general un acto simbólico, de protesta política. Ningún quema-libros tuvo la ilusión de destruir el texto de un libro que se estuviera quemando. Solo se quemaba la copia física del texto. El texto sobreviviría en alguna otra parte. Pero el Derecho al Olvido está intentando obliterar el texto, la fuente, los propios hechos, y no meramente alguna copia de esos hechos que circulen en un libro físico o periódico o sitio de Internet.

Borrar datos en nombre del “Derecho al Olvido” es solo la punta del iceberg de la ideología de privacidad. Uno de los principios centrales de esta ideología es que todos los datos personales deberían ser borrados en cuanto “ya no sean necesarios”. Esta ideología está basada en el temor de que cualquier dato personal pudiera ser mal empleado para invadir la privacidad de alguien; y que el riesgo de una invasión de privacidad debería inclinar la balanza automáticamente frente a cualesquiera beneficios potenciales del retener los datos. Esta es una ideología profundamente pesimista, que concluye que retener los datos puede dar lugar a riesgos futuros y a beneficios futuros, pero puesto que todavía no conocemos cuáles son, debemos actuar por defecto borrando los datos para prevenir los riesgos, en vez de retenerlos para posibilitar los beneficios.

Como podría decir Savanarola, en un arranque de demagogia de borrado de datos, quememos todas esas “vanidades”, esas bases de datos de datos personales, que no son sino tentaciones para pecar contra la privacidad de alguien. Pero lo opuesto podría revelarse cierto: que estas vanidades son bases de datos de gran valor y belleza, y que algún día aprenderemos que sería un pecado obliterarlas. Se cree que Botticelli quemó algunas de sus pinturas, cuando fue arrollado por la fiebre Savanarolista. Pocos años después Botticelli renunció a la cosmovisión de Savanarola.

Yo puedo entender que las bases de datos deberían estar protegidas, aseguradas, analizadas de manera responsable, sí, pero... ¿obliteradas? ¿Sólo porque algo podría salir mal? Si adoptasemos ese enfoque en el resto de nuestras vidas, ¿qué quedaría? Es extraño que esta filosofía pesimista y destructiva sobre el borrado de datos haya llegado a convertirse en sabiduría convencional, al menos en Europa. Bueno, de momento. A largo plazo, la quema de libros nunca ha sido una estrategia ganadora. Si crees que nuestra época está más ilustrada que la eras anteriores de quema-libros, ¿por qué piensas que quemar libros en nombre de la privacidad es más legítimo que quemar libros en nombre de la raza, la religión o el régimen?

o0o

[1] obliterar: (Del lat. oblitterāre, olvidar, borrar). 1. tr. Anular, tachar, borrar.

Publicado por en No hay comentarios:
Etiquetas: , , , , ,

lunes, 3 de diciembre de 2012

El Mercado de los Programas de Cumplimiento de Privacidad

Traducción del post de Peter Fleischer 20121105

El establishment de la protección de datos, en todo el mundo, ha estado inventando un montón de nuevos programas de cumplimiento de privacidad. Todas estas diversas iniciativas, bien intencionadas, tienen la finalidad de servir al mismo propósito: mejorar las protecciones de privacidad. Todas ellas son, o probablemente pronto lo serán, obligatorias para la mayoría de las grandes empresas. A duras penas puedo seguir la pista de todas estas diferentes iniciativas, pero he aquí algunas que me he esforzado en tratar de entender:
  • Responsabilización
  • Privacidad desde el Diseño
  • Evaluaciones de Impacto en la Privacidad
  • Acuerdos Transaccionales
  • Auditorías (internas y externas)
  • Revisiones Regulatorias
  • Documentación de Proceso de Datos
  • Notificaciones/Inscripciones de Bases de Datos
  • Reglas Corporativas Vinculantes (BCRs)
  • Programas de Cumplimiento de Puerto Seguro
Muchos de mis conocidos en el campo de la privacidad me han preguntado qué es lo que pienso de todo esto: ¿Estos programas han de desarrollarse independientemente, por más que se solapen y cubran el mismo aspecto? ¿Tiene alguien idea de cuánto va a costar todo esto? ¿Cuándo has de solicitar ayuda para implementar estos programas? ¿Se podría ejecutar  un único programa de cumplimiento de privacidad que fuera lo bastante sólido como para alcanzar todas estas metas? Claramente, todos nosotros los profesionales de la privacidad estamos batallando para comprender esto.

Estoy seguro de que todos creemos que los programas de privacidad requieren un sólido cimiento de programa de cumplimiento para ser efectivos. La mayoría de nosotros seguramente cree que los diferentes actores deberían tener libertad para desarrollar programas que encajen en sus propias culturas. Las ágiles empresas de Internet tienen culturas muy diferentes a las de las burocracias gubernamentales; así que naturalmente estos mundos culturales diversos deben tener libertad de diseñar programas que funcionen en sus respectivas culturas. Claramente, una sola talla no vale para todos. Los programas han de ser adaptados al tamaño y la sensibilidad del procesamiento. Una base de datos gubernamental de registros de abusos infantiles es más sensible que una base de datos de unos logs analíticos de algún sitio web; así que sería erróneo intentar ejecutar el mismo programa de cumplimiento para ambas.

Sobre el coste: a pesar de todas las buenas intenciones que motivan estas iniciativas de cumplimiento, nadie ha comenzado siquiera a calcular lo que van a costar todos estos programas de cumplimiento. Por ejemplo, Europa: he leído algunas declaraciones de políticos sobre que las futuras leyes de privacidad europeas reducirán el coste de cumplimiento en las empresas. Esto sencillamente no es creíble. De un lado, bajo las nuevas regulaciones, las empresas en Europa se ahorrarán un dinerillo por cuanto que ya no tendrán que rellenar los formularios de solicitud de inscripción de ficheros en los diversos registros nacionales europeos. Pero puesto en perspectiva, eso es el chocolate del loro. Del otro lado, la imposición de nuevas obligaciones de cumplimiento (evaluaciones de impacto en la privacidad obligatorias,  Delegados de Protección de Datos obligatorios, notificaciones de brechas de seguridad obligatorias, documentación de proceso de datos obligatoria) costará un riñón. El problema es que nadie sabe cuánto va a costar todo esto. Yo estoy funcionando sobre la educada conjetura de que las actuales propuestas de cumplimiento de privacidad europeas van a multiplicar por diez los costes de cumplimiento de privacidad de las empresas de Europa, a partir de, digamos, 2.015. Sí: diez veces más. Eso no incluye los costes de las multas y sanciones por los incumplimientos, que ahora se propone que se eleven a ciertos porcentajes del volumen de ventas mundial de la empresa. Este aumento masivo de costes de cumplimiento es en gran parte el resultado de las sanciones que se están proponiendo en Europa para el hecho de no cumplimentar adecuadamente los programas de cumplimiento. Yo todavía tengo la esperanza de que se articulen unas obligaciones más realistas para las Pequeñas y Medianas Empresas, pero la gran tendencia va claramente hacia costosas nuevas obligaciones de cumplimiento en Europa.

Tengo la impresión de que mucha de la gente que está debatiendo las leyes de privacidad no tienen ni idea (y quizás ni les importa) de cuánto acaba costando esto. Tampoco he leído ningún clásico análisis de coste/beneficio sobre estas nuevas obligaciones. Como abogado entrenado en Harvard en el análisis de coste/beneficio de las regulaciones gubernamentales, estoy sorprendido de ver que ha habido absolutamente cero análisis académico o económico para determinar cuáles regulaciones de cumplimiento de privacidad son efectivas y cuáles son legajos burocráticos sin sentido.

En el momento de escribir este post no conozco en realidad cómo van a encajar juntas todas las citadas iniciativas de cumplimiento. No sé cuáles son superfluas. Todo esto todavía ha de ser desarrollado. Aunque cada uno de los programas citados se solapa con otros de algún modo, cada uno de ellos también es ligeramente diferente. Tendremos que solucionar cómo minimizar la duplicidad entre estos programas, o vamos todos a desperdiciar nuestro tiempo y dinero en re-inventar la rueda.

Las iniciativas de cumplimiento de privacidad hoy en día me recuerda a los días pioneros del ferrocarril, cuando cada línea ferroviaria tenía su propio ancho de vía, con lo que los trenes sólo podían viajar por una línea.  Al final todo esto se resolverá al igual que el ancho de vía acabó por estandarizarse; pero mientras tanto, me temo que todos vamos a estar dando vueltas en círculos. Como en los tiempos pioneros del ferrocarril, todavía estamos en los tiempos fronterizos pioneros, experimentales, ineficientes, no estandarizados, de los programas duplicados de cumplimiento de la privacidad.

o0o
Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , ,
Suscribirse a: Entradas (Atom)