¿Qué saben ahora los que saben, que tú no sabes?

Traducción del post de Peter Fleischer 20130406

Cuando estuve en Rodas hace poco, me maravilló que prácticamente todos los edificios estaban diseñados teniendo en mente un principio: la seguridad. ¿Cuál es la mayor amenaza a la privacidad en el mundo hoy en día? ¡Las violaciones de seguridad! La gente que sabe ahora se preocupan de lo vulnerables que se han vuelto las bases de datos mundiales respecto a las brechas de seguridad.

Nebulosos ejércitos de hackers alrededor del mundo, especialmente en China y Rusia, a veces vagamente conectados con los gobiernos, están logrando hackear las bases de datos corporativas y gubernamentales más sofisticadas de todo el mundo. Los expertos en seguridad saben que a menudo es difícil saber que te han hackeado. A mí me preocupan más las empresas y gobiernos que piensan a la ligera (seguramente errados) que no les han hackeado, que aquellos que sí que han detectado brechas de seguridad.

La gente real, año tras año, declaran que la usurpación de identidad es su mayor preocupación de privacidad. Y por lo general, la gente resulta víctima de una usurpación de identidad después de que sus datos personales han sido hackeados en una base de datos controlada legitimamente; por ejemplo en tu hospital local.

Los riesgos de las violaciones de seguridad están empeorando, y seguirán yendo a peor por varias razones. Primero, los hackers se van haciendo más sofisticados. Segundo, existen más y más datos que se recopilan y almacenan en todas partes. Tercero, existe una proliferación de mecanismos que se usan para recopilar, almacenar y compartir datos. Cuarto, la delimitación entre las bases de datos públicas y las privadas se está oscureciendo; por ejemplo, entre lo que está detrás de un firewall y lo que no. Quinto, el aumento de las redes sociales y de la compartición masiva de datos. ¿Cómo debería la ley responder a estas amenazas?

Primero, las leyes de notificación de brechas de seguridad son una cosa buena. Aportan transparencia y ayudan a que la gente tome precauciones después de que les comuniquen que sus datos personales pudieran estar en riesgo. Estados Unidos ha tenido estas leyes desde hace más de una década, y Europa propone adoptar leyes similares pronto.

Segundo, los controladores tienen que ser considerados responsables de tener una adecuada seguridad. Pero también tenemos que tener cuidado de no castigar a la víctima. En la mayoría de casos de hackeo de seguridad, la empresa/gobierno que ha sido hackeado es la víctima de un crímen. A menudo han sido hackeados por criminales organizados altamente sofisticados. Las leyes han de tener cuidado de no castigar a las víctimas de tales crímenes, a menos que se pueda demostrar que han fallado en sus obligaciones de mantener una seguridad adecuada. Si eres víctima de un atraco en tu casa, no esperas que la policía te multe por no haber tenido una seguridad adecuada protegiendo tu casa. Siempre podrías haber tenido más seguridad. El reto consiste en determinar cuál debería ser el nivel de seguridad adecuado, o cuál debería haber sido.

Tercero, los gobiernos y las agencias para el cumplimiento de la ley deben elevar sus estándares para detectar, castigar y disuadir a los hackers. La administración Obama ha elevado el tema de los hackers chinos a los más altos niveles del gobierno chino. Hoy, los hackers sofisticados se libran con éxito de la identificación y castigo.

Cuarto, los individuos necesitan ayuda para protegerse mejor ellos mismos. Por ejemplo, se les puede educar y animar a usar passwords más fuertes, a que aprendan a usar configuraciones de privacidad, mantener actualizados sus sistemas de seguridad, etc.

Quinto, pregúntate a ti mismo  quién te está protegiendo de los riesgos de la ciberguerra y el ciberterrorismo y el espionaje industrial. La gente que se supone que está protegiéndote... ¿está trabajando conjuntamente con eficacia?

Es muy obvio que la mayoría de los gobiernos y de los controladores de las empresas tienen una seguridad debil. Hace poco estuve en las oficinas de una administración del gobierno francés, que lleva toda una vida procesando datos personales sensibles sobre mí, y estaban trabajando ¡en un ordenador de los años 90! Los hackers rumanos no necesitarían más de 5 minutos para robar de ese sistema todas las piezas de mis datos personales sensibles; y ni el gobierno francés ni yo mismo nos hubiéramos dado nunca cuenta.

Si te importa la privacidad, y no te preocupas de la seguridad, eres como una tortuguita recién salida del huevo apresurándote por la arena hacia el mar ignorando a la gaviota que pronto dará cuenta de tu joven vida.

o0o

¿Conseguirán los "Drones" Flanquear* la Cuarta Enmienda?

Ref Foto:

* RAE Flanquear: 3. tr. Mil. Amenazar los flancos del adversario.

Traducción del post de John Villasenor en Forbes 20122009

En una palabra: NO. La Cuarta Enmienda, que dispone el “derecho de la gente a estar seguros en sus personas, casas, documentos y efectos, contra registros sin fundamento y detenciones”, ha sido una piedra clave de la privacidad frente a las injerencias gubernamentales ya desde 1971. Ha funcionado bien durante más de dos siglos de avances tecnológicos, y no hay razón para temer que de pronto vaya a perder su virtualidad protectora cuando el uso de los vehículos aéreos no tripulados está proliferando.

En Febrero de 2012, el presidente Obama firmó una ley de la Agencia Federal Aeronáutica que permite el uso del espacio aéreo nacional por los “drones”, mejor denominados Vehículos Aéreos no Tripulados (UAVs). Esto ha levantado la legítima preocupación de que los IAVs pudieran ser usados por el gobierno de tales modos que se violaran los derechos a la privacidad, particularmente a la luz de tres sentencias del Tribunal Supremo de los años 80 que fallaron que no había habido infracción a la Cuarta Enmienda en unas observaciones sin mandamiento judicial realizadas desde aeronaves tripuladas gubernamentales.

En 1986, el Tribunal sentenció en el caso California v. Ciraolo que los agentes policiales que localizaron una plantación de marihuana en el jardín trasero de un sospechoso desde una avión a una altura de 300 metros no habían infringido la Cuarta Enmienda. Tres años después, en el caso Florida v. Riley, una mayoría de magistrados alcanzó la misma conclusión respecto a una observaciones de plantación de marihuana en un invernadero desde un helicóptero a 130 metros de altura. Y en Dow Chemical Co. v. United States, una sentencia donde se discutía el uso gubernamental de una cámara comercial topográfica para captar fotografías aéreas de una fábrica (en oposición al vallado del hogar que se tuvo en cuenta en el caso Ciraolo y Riley), el Tribunal falló a favor del gobierno.

Estas sentencias indican que los investigadores gubernamentales podrían usar UAVs sin necesidad de mandamiento judicial. Sin embargo ello no implica que sean constitucionales todas las observaciones gubernamentales por medio de UAVs, por muy invasivas que sean. De hecho, un estudio en profundidad de las opiniones de estos y otros casos del Tribunal Supremo sugieren que la Cuarta Enmienda podría otorgar mucha más protección de lo que a veces se piensa.

En el caso Ciraolo, por ejemplo, el Tribunal mantuvo que “la Cuarta Enmienda simplemente no exige que la policía obtenga un mandamiento judicial para viajar en las aerovías a esta altitud (300 metros) para observar lo que es visible a simple vista”. Un UAV equipado con un sistema de captura de imágenes mucho más resolutivo que el ojo humano caería fuera del ámbito de este pronunciamiento. Igualmente no incluiría a uno que operase fuera del espacio aéreo público navegable, por muy complejo que fuera definir exactamente donde se encuentra eso respecto a los UAVs.

En el caso Riley, que también se trataba de observaciones a simple vista, el Magistrado White y los otros tres magistrados que compartieron su opinión encontró que no había habido infracción de la Cuarta Enmienda, en parte porque “no se observaron detalles íntimos relacionados con el uso de la casa o su área reservada”. El magistrado O’Connors en este caso Riley puso el énfasis en que la determinación de la constitucionalidad de las observaciones aéreas debería basarse en las expectativas razonables de privacidad, y no en el cumplimiento de “la normativa aérea por si sola”.

El tribunal del caso Dow Chemical concluyó que “las áreas abiertas de un complejo industrial no son análogas al “area resevada” de una morada respecto a la vigilancia aérea. “Aún así, incluso bajo esos estándares mucho más bajos de privacidad, el Tribunal admitió implícitamente la existencia de algunos límites constitucionales, poniendo de manifiesto que “las fotografías aquí no son tan reveladoras de detalles íntimos como para justificar preocupaciones constitucionales”.

Varias sentencias más recientes del Tribunal Supremo en casos no de aviación también son relevantes para la privacidad y los drones. En 2001, el Tribunal sentenció contra el gobierno en un caso donde se debatía el empleo de un captador situado en tierra de imágenes térmicas para detectar una actividad de cultivo de marihuana bajo techo, donde se midió la temperatura del tejado y de las paredes exteriores de una casa. El juez Scalia, redactando la sentencia del caso Kyllo v. United States, expresó su preocupación de que el permitir que el gobierno recopile libremente información que “emane de un hogar” pondría a la gente “en manos de los avances tecnológicos, incluyendo tal tecnología que pudiera discernir toda actividad humana en el hogar”. La regla adoptada por el Tribunal en el caso Kyllo establece que cuando “el Gobierno emplee un dispositivo que no esté en el uso público general, para explorar detalles de un hogar que en tiempos anteriores no hubieran sido observables sin una intrusión física, la vigilancia es una “investigación” y en principio sería infundada sin un mandamiento judicial”.

Como a menudo se ha advertido (incluyendo la opinión disidente del Juez Stevens en el caso Kyllo), la restricción de “no en uso público generalizado”  se puede debilitar conforme avance el tiempo, al devenir usual una tecnología hasta entonces puntera. Sin embargo, el caso Kyllo no llega ni de lejos a respaldar la constitucionalidad del empleo de una tecnología disponible usualmente para observar un hogar. Como escribió el juez Scalia en respuesta al disidente en este punto específico, las imágenes térmicas en el caso Kyllo no eran “rutinarias”. El Tribunal del caso Kyllo no tuvo que entrar en la cuestión de observaciones realizadas con tecnología rutinaria, y específicamente declinó entrar en ello.

Tras una lectura equilibrada del caso Kyllo, el uso gubernamental de un drone para revelar “detalles del hogar qeu previamente habrían sido incognoscibles sin una intrusión física” sería inconstitucional hoy en día. Dentro de diez años, cuando los drones sean más comunes, todavía esa podría ser la conclusión; pero esa conclusión tendrá que venir de otra sentencia distinta a la Kyllo.

Más recientemente, el Tribunal Supremo falló contra el gobierno en el caso United States v. Jones en una sentencia de enero de 2012 que abordó la constitucionalidad de instalar un dispositivo de seguimiento por GPS en un vehículo sin tener orden judicial previa. Aunque la base para la decisión era ajustada (el Tribunal apreció una infracción de la Cuarta Enmienda en el allanamiento físico que ocurrió durante la colocación del dispositivo GPS en el vehículo) los aspectos de los razonamientos del caso Jones que se refieren a la vigilancia prolongada son directamente pertinentes a los drones de larga duración.

La opinión del Tribunal redactada por el juez Scalia, declara que la vigilancia electrónica de larga duración “sin un allanamiento concurrente” podría ser inconstitucional, pero hace observar que “el presente caso no requiere que nos pronunciemos sobre esa cuestión”. En una opinión discrepante el juez Sotomayor observó la “existencia de una expectativa social razonable de privacidad en la globalidad de los movimientos públicos de una persona”. Así los jueces hacen constar oficialmente la cuestión de la constitucionalidad que plantean las nuevas tecnologías al permitir la vigilancia de larga duración, por más que defieran su resolución para otro día.

En suma, estas sentencias ofrecen motivos de optimismo de que con respecto a las observaciones gubernamentales mediante drones, la Cuarta Enmienda será razonablemente protectora. El que vaya a ser suficientemente protectora es harina de otro costal, y vale la pena prestarle atención. Pero al debatir dentro de este tema de discusión, es importante no perder de vista la sustancial base constitucional que ya tenemos.

o0o

Metas Estiradas para los Abogados de Privacidad

Traducción del post de Peter Fleischer 20130404

Las tendencias globales en privacidad están claras como el agua: más leyes de privacidad, más litigios, más regulación, más obligaciones de cumplimiento, más procedimientos sancionatorios, más grandes sanciones. Estas tendencias se están implementando en casi todos los países del mundo, así que el impacto global acumulativo de estas tendencias sobre las empresas es impresionante. Así que ¿adivinas qué profesión se va a beneficiar de estas tendencias? Así es: los abogados. (Te confesaré que yo soy abogado).

Históricamente, los líderes de privacidad en las empresas han provenido de diversos orígenes formativos. Algunos eran abogados, algunos eran ingenieros, algunos eran gestores de cumplimiento. En la mayoría de las empresas los abogados ya están cubriendo los puestos de oficiales jefe de privacidad (o Delegados de Protección de Datos, como se les denomina en Europa).

La privacidad ha cambiado a lo largo de los años. Se está conviertiendo en un asunto cada vez más litigioso. Hace unos pocos años apenas existían las acciones colectivas de privacidad. Hoy son tan comunes como las langostas en Egipto.

Hace uno pocos años, las sanciones por brechas de seguridad eran relativamente pequeñas, por lo general en congruencia con el hecho de que su “daño” era a menudo insignificante, o difícil de definir o de medir. Hoy en día, las multas están aumentando con rapidez; y por cierto, en Europa se planea introducir multas del orden del 2% del volumen de negocio global, para pequeños deslices rutinarios de privacidad. Las empresas no tendrán otra opción que defenderse de multas de miles de millones de dólares mediante equipos de abogados. Europa está proponiendo multas de millardos de  dólares por tener una política de privacidad que sea “demasiado vaga”, o por dejar de documentar apropiadamente procesamientos de datos, o por brechas de seguridad, o por montar en bici sin casco. En otras palabras, puedes tener que confrontar mega-multas por casi cualquier cosa, así que necesitarás un montón de abogados para defenderte.

Los abogados están entrenados para leer, comprender, interpretar y asesorar en leyes y programas de cumplimiento legal, y para defender a sus clientes frente a los demandantes y reguladores. Las leyes de privacidad, en todas partes del mundo, son vagas, así que dejan mucho espacio para la interpretación legal. El núcleo de destrezas de un abogado se está enfocando más y más al papel del líder de privacidad. Lo que es más, los abogados se benefician del privilegio de confidencialidad en las comunicaciones con sus clientes, lo que se está convirtiendo en un mecanismo esencial para que los abogados de privacidad tengan intercambios de información y asesoramiento con sus clientes que sean libres,  profundos y sin filtros.

Por supuesto, las disciplinas no jurídicas siempre jugarán un papel esencial para salvaguardar la privacidad en las empresas; por ejemplo, el papel vital que juegan los ingenieros de seguridad. La privacidad siempre será un proyecto multi-disciplinario. No estoy diciendo que el ascenso del líder de privacidad abogado sea lo mejor para la “privacidad”. Pero ante la burbuja de litigios, órdenes de investigación, leyes vagas, debates políticos, procedimientos sancionatorios, amenazas de multas de miles de millones de dólares, las empresas van a contar con sus abogados de privacidad para mucho más que redactar una política de privacidad. Es una gran profesión; si te gustan las metas estiradas.

(“Metas Estiradas” es una frase popularizada por Jack Welch, el exitoso antiguo director de General Electric: “Al intentar alcanzar lo que se nos presenta como imposible, a menudo llegamos a hacer lo imposible. Y aun cuando no lo logremos, inevitablemente lo acabamos haciendo mucho mejor de lo que lo hubiéramos hecho”. ).

Este aspecto de las metas estiradas, “aspirar a alcanzar las estrellas”, nos fuerza a liberar nuestros métodos habituales de pensar e investigar, y a buscar soluciones y estrategias originales y radicalmente creativas. Las metas estiradas fuerzan el cambio en nuestra manera de pensar y en cómo nos comportamos, nos comunicamos, nos relacionamos y coordinamos. Las metas estiradas inspiran una urgencia respecto al innovar.

o0o

¿Por qué Pepe no puede leer... una política de privacidad?

Traducción del post de Peter Fleischer 20130327

Foto ref:

¿Por qué Pepe no puede leer una política de privacidad? Pues porque las políticas de privacidad no las escriben para que las lea Pepe. Se escriben para que las lean los burócratas y los abogados. O bueno, con más justicia, se escriben para Pepe, al modo en que los burócratas y abogados piensan que hay que escribirlas.

Hoy en día, las políticas de privacidad se escriben para que hagan dos cosas contradictorias. Como la mayoría de cosas en la vida, si intentas hacer dos cosas contradictorias al mismo tiempo acabas no haciendo ninguna bien. He aquí la contradicción: ¿Debería una política de privacidad ser un aviso corto, simple y legible, que pudiera comprender el usuario final? ¿O debería ser un documento declarativo largo, detallado y legalista escrito por los burócratas? Puesto que los usuarios promedio y los burócratas expertos tienen diferentes expectativas de lo que debería declararse, las políticas de privacidad al uso hoy en día insatisface en gran medida a ambos grupos.

Por una parte, las políticas de privacidad deben ser documentos declarativos para el usuario final promedio. En otras palabras, las políticas de privacidad deben ser avisos simples y legibles empleados por cualquier entidad que trate datos personales, para explicar a sus usuarios básicos cuáles son los datos que recopilan; cómo utilizan esos datos; si transfieren esos datos a terceros, etc. Además, las políticas de privacidad son los principales mecanismos con los que las entidades obtienen el consentimiento de los usuarios finales para tratar sus datos, si bien ese consentimiento a menudo sea tácito.

Por otra parte, las agencias de control en el mundo entero, con buena intención, reclaman continuamente unas políticas más y más largas (no en esas palabras, por supuesto), al exigir que se detallen los puntos X, Y y Z. El hecho de que a Pepe le traigan sin cuidado los puntos X, Y y Z, es irrelevante. Las empresas tienen que detallar los puntos X, Y y Z o se arriesgan a multas de la Agencia de control. Pepe seguramente no podría entender los puntos X, Y y Z, de todas maneras; y X, Y y Z seguramente son términos especializados de la jerga legal de privacidad. HIPPA es un ejemplo notorio de avisos de privacidad legalmente obligatorios que Pepe no es capaz de leer.

Ha llegado el momento de hacer una reflexión global sobre cómo debería ser una política de privacidad. Hoy en día no hay consenso. No me refiero a consenso entre los burócratas y los abogados. Mi sugerencia es que se comience por hacer un estudio serio de los usuarios, y que sí que se pregunte a Pepe y a Juan y a Pascual.

o0o

Necesitamos explicar de una manera más sencilla la legislación americana de privacidad

Traducción del post de Peter Fleischer 20130312

 

Hazte la pregunta de porqué una agencia de protección de datos europea puede propagar públicamente la absurda idea de que Estados Unidos no tiene "leyes de privacidad efectivas." Y un montón de gente parece creer eso. ¿Y por qué importa?

En el escenario global, Europa está convenciendo a muchos países por todo el mundo para que adopten leyes de privacidad que sigan el modelo europeo. Los hechos hablan por sí mismos: solo en el último año, una docena de países de Iberoamérica y de Asia han adoptado leyes de privacidad al estilo europeo. Ni un solo país, en ninguna parte, ha seguido el modelo americano.

Entonces, ¿cuál es el modelo americano? Los profesionales de la privacidad saben que Estados Unidos tiene un modelo que es un abigarrado “mosaico” de leyes de privacidad: cada Estado concreto de Estados Unidos tienen numerosas leyes de privacidad; el gobierno Federal tiene numerosas leyes sectoriales; y otras numerosas leyes que no son de privacidad, como las leyes de protección de consumidores, que son habitualmente invocadas en casos de privacidad. Existen reguladores en muchos rincones de la administración, que abarcan desde los fiscales generales del estado, hasta la Comisión de Comercio Federal, y ejércitos de abogados de acciones colectivas que inspeccionan cada tema de privacidad en búsqueda de un posible caso legal.

¿Cómo diantres puedes explicar las leyes americanas de privacidad a una audiencia internacional? ¿Cómo le explicas el papel de la litigación de las acciones colectivas a gente de países en los que estas ni siquiera existen? La explicación de la ley privada americana es intrincada. Es una pena, pues casi todos los profesionales de privacidad globales con los que he hablado de este tema han convenido conmigo en que la suma de todas las partes individuales de las leyes de privacidad americanas equivale a un marco legal robusto para proteger la privacidad. (No digo “perfecto”, pues las leyes nunca lo son, y tampoco las estoy graduando.

Por contra, la explicación de la privacidad europea es simple y atractiva. Sus leyes son muy generales, ambiciosas, horizontales y concisas. Los críticos podrán decir que también son inevitablemente vagas, como tendría que se cualquier ley de alto nivel. Pero, como la Carta de Derechos americana, tienen una especie de universalidad simple y profunda que ha inspirado a la gente a lo largo y ancho del mundo. Y son ejecutables (al menos sobre el papel) por un único e identificable organismo especializado.

Europa hace muy bien su trabajo de explicar (o de hacer márketing, si lo prefieres). Estados Unidos tiene que encontrar la manera de explicar sus leyes de privacidad en un escenario global. No solo el prestigio está en juego. Lo que está en juego es mucho más que preguntarse por qué Uruguay, por poner al azar un ejemplo reciente, ha mirado a España, en vez de a Estados Unidos, como modelo de inspiración para redactar su reciente legislación de privacidad. Lo que está en juego son cosas importantes: primero, confianza en la compañías localizadas en Estados Unidos y confianza en el Gobierno USA alrededor del mundo. La gente confiará menos en ellos si creen el argumento de que están funcionando en un país que “no tiene leyes efectivas de privacidad”. Y segundo, la esperanza de incluir el comercio digital en la iniciativa del presidente Obama para un gran Pacto de Comercio Europeo-Americano. La carencia de unas adecuadas leyes de privacidad americanas viene siendo citada por los europeos como razón de que sea ilegal transferir datos personales de Europa a los Estados Unidos; lo que obviamente es, al menos en parte, un tema de libre comercio. La privacidad se va a erigir como un serio obstáculo a cualquier semejante pacto futuro, en tanto que alguna gente en Europa pueda argüir que Estados Unidos no tiene leyes de privacidad efectivas.

La privacidad no es el único tema complicado que necesita un relato sencillo. Visita una catedral, si necesitas inspiración.

o0o

Glorioso Día para un Internet Libre en Italia

Traducción del post de Peter Fleischer 20130304

 

Justo antes de Navidades, un Tribunal de Apelación revocó las condenas a tres staff de Google, incluyéndome a mí, por haber infringido supuestamente la ley italiana de privacidad. Ahora, al cabo de casi dos meses, el Tribunal ha publicado su opinión por escrito para explicar su fallo. La opinión del Tribunal respalda de manera lúcida y resonante los principios que Google y yo hemos defendido desde el comienzo de esta acusación hace seis años:

• Responsabilidad Intermediaria:  El Tribunal mantuvo que las plataformas de internet, como  Google Video o YouTube no son responsables de los contenidos que suban los usuarios, ni por la falta de aviso de información, ni por contenido inadecuado. Estas plataformas no pueden ser obligadas, y no deben serlo, a pre-filtrar el contenido que les suban. Cualesquiera esfuerzos para pre-filtrar el contenido conllevaría serios riesgos para la libertad de expresión de los usuarios. En palabras del Tribunal: “Imponer un deber a un proveedor de internet, o reconocerle el derecho, a llevar a cabo una pre visualización para filtrar contenido, es una medida que debe ser cuidadosamente considerada, puesto que no está enteramente exenta de riesgo debido a la posibilidad de que surja un conflicto con los principios de la libertad de expresión o de pensamiento”.
• Privacidad:  El Tribunal mantuvo que las personas que filman y suben videos son responsables del cumplimiento de las leyes de protección de datos personales. Las plataformas de internet no pueden de ninguna manera obtener el consentimiento de las personas que aparecen en los videos subidos por los usuarios. En palabras del Tribunal: “Resulta claro de manera patente que cualquier evaluación del propósito de una imagen contenida en un vídeo, susceptible de determinar si un dato es sensible, implica un juicio variable, semántico, que ciertamente no se puede delegar a un proceso de IT”.
• Responsabilidad Penal:  El Tribunal reconoció el principio legal básico de que los empleados como yo no pueden tener la requerida intención delictiva de infringir las leyes de protección de datos personales cuando no han tenido nada que ver con la supuesta infracción penal de los datos personales, y ni siquiera sabían de ella.

Este caso nunca fue acerca de mí en absoluto; por cuanto yo únicamente fui un vehículo casual y desafortunado para una prueba judicial sobre responsabilidad del intermediario. Obviamente, yo estoy personalmente aliviado al quedar liberado. Pero estoy encantado de que este caso haya generado un precedente legal resonante en favor de la libertad de expresión. En particular, me gustaría dar las gracias a muchas personas que me expresaron su apoyo a lo largo de estos seis años; concretamente a mis numerosos colegas en Google y a mi equipo estelar de asesores externos, todos los cuales trabajaron incansablemente para procurar que estos principios prevalecieran. Y me gustaría dar las gracias a toda la gente que se dio cuenta de que en esta acusación estaban en juego unos importantes principios, quienes sumaron su voz al debate sobre la política, en Italia y en otras partes. Esta saga (probablemente, esperanzadamente) ha terminado para mí.

Juntos hoy, podemos celebrar y aplaudir este paso adelante hacia un futuro digital más brillante en Italia.

o0o

Don Quijote

Traducción del post de Peter Fleischer 20130217

Vuelve a leerte El Quijote mientras sigues el actual debate sobre la revisión de la legislación europea sobre Privacidad. ¿Es más noble aspirar a la gloria de la fantasía más que a las indignidades del mundo real? ¿Queremos defender un código caballeresco obsoleto, mientras que el resto del mundo contempla burlón? ¿Queremos una fuerte ley de privacidad que se pueda poner en práctica, o una gloriosa pieza de literatura?

 Las empresas americanas están empezando a ponerse nerviosas y a chillar contra las inminentes nuevas leyes europeas de privacidad. Por su parte, varios políticos europeos están haciendo pública su postura de que todo esto hace falta para meter en cintura a las empresas americanas; mientras fingen resentimiento porque las empresas americanas estén favoreciendo sus intereses mediante sus grupos de presión en Bruselas. En realidad, por supuesto, la nueva propuesta de legislación europea está plagada de fallos, en especial al imponer montones de costosas nuevas obligaciones burocráticas de cumplimiento, y al amenazar con imponer multas absurdamente altas, del orden del 2% del ingreso global de una empresa, por simples infracciones leves a la normativa. Pero no permitamos que la realidad mancille este relato. Don Quijote está defendiendo la privacidad contra los esbirros de las mega-empresas-americanas, matadoras de la privacidad. Don Quijote está defendiendo el Derecho al Olvido.  

Tristemente, las cosas no acaban bien para el noble caballero, inquietantemente y sin decirse..., las empresas americanas saldrán grandes vencedoras, comparadas con sus rivales europeas. Las empresas europeas están abocadas a décadas de parálisis innovadora bajo las nuevas leyes. Las empresas americanas sencillamente se reorganizarán y situarán ciertas operaciones fuera de Europa para mitigar riesgos.  

Como mucha otra gente en la profesión de privacidad, a lo largo de mi carrera, siempre he pensado que sería sensato aplicar las leyes de privacidad europeas a lo largo y ancho del mundo, en interés de mantener un único estándar mundial y coherente. Ahora estoy cambiando de opinión. Mientras las propuestas de revisar las leyes de privacidad en Europa se hacen más chifladas cada día, yo estoy empezando a pensar que “el mundo” tendrá que observar a Europa haciendo sus cosas en su propio jardín, mientras que en el “resto del mundo” se mantiene un ritmo diferente, más rápido, más innovativo. Vale, Europa es un mercado demasiado grande como para ignorarlo, pero eso no es razón para que sus especiales normativas de cumplimiento debieran exportarse globalmente. Nadie aplica las normas de censura china fuera de China, así que no sería esta la primera vez que las empresas aplican reglas especiales en una región o país concretos.

Las leyes propuestas en Europa acabarán costando un montón, si te preocupa la innovación en Europa. Yo soy un tecnófilo, en el sentido de que creo que la innovación rápida es la única esperanza para mantener unos altos estándares de vida en el mundo rico para nuestras sociedades occidentales que se hacen viejas en el futuro. Pero me preocupa la cantidad de obstáculos que se están colocando para aminorar la velocidad de innovación. No me entiendas mal, yo estoy por completo a favor de la ética de privacidad, y de sensibilidad de privacidad, y de la privacidad desde el diseño. Pero no soy un fan de la burocracia estorbadora de la privacidad. Europa, como podría esperarse, desarrolló la forma más extremada del mundo de estorbo burocrático, cuando inventó la noción de “aprobación previa” burocrática para las nuevas tecnologías. Eso significa que una nueva tecnología depende de la aprobación previa burocrática antes de ser lanzada. O aprobación previa para las transferencias internacionales de datos (qué absurdo, en la era del Internet). O aprobación previa para las Reglas Corporativas Vinculantes, y un millar de otros badenes y socavones burocráticos. La realidad es a menudo un asunto descorazonador.

A pesar de sus buenas intenciones, Europa también le está dando al mundo unas leyes desesperanzadoramente vagas, a veces forzándolas con sanciones penales. Por ejemplo, ¿qué significa el imponerle a alguien penas de cárcel por “procesar datos personales sensibles sin el consentimiento del titular de los datos”? ¿Justifica eso el imponer penas de cárcel por postear una foto en un sitio de una red social, puesto que una foto revelará la raza de una persona y a veces la condición de salud (todas ellas categorías “sensibles”)? Yo mismo he tenido que arrostrar juicios penales por supuestos de hecho de normativa de privacidad más endebles que eso; así que estos no son riesgos hipotéticos. En una palabra, Europa está convirtiendo en más arriesgada la investigación innovadora en el campo del Big Data en Europa.

Los cínicos realistas verán que las leyes de privacidad europeas que inhiben la innovación lo que van a hacer es simplemente que la innovación de Internet y del Big Data se traslade cada vez más fuera de Europa. ¿Veremos que las empresas escogen trasladar sus brazos de investigación a otros sitios, como Estados Unidos o la India o Singapur? Hazte la pregunta de si serán las empresas estadounidenses o las europeas las que más se vayan a lastrar por la normativa europea. La respuesta es obvia: las empresas europeas tendrán que tragarse estas nuevas reglas por completo, mientras que las empresas de fuera de Europa podrán simplemente acordonar sus operaciones más lentas y menos innovativas en Europa. Las empresas puede que acaben ofreciendo una serie de servicios más lentos y menos punteros en Europa, dados los importantes riesgos de que los servicios de tecnología puntera puedan ser aplastados con multas gigantescas.

Digo todo esto con tristeza, mientras el mundo sigue girando. ¿Quién soy yo para burlarme del sueño de Don Quijote? ¿Quién soy yo para celebrar el deceso de sus delirios?

o0o