El algoritmo decidió no contratarte: ¿es eso legal?

 Foto Ref

Traducción del post de Peter Fleischer 20120920

Yo empleo un montón de tiempo en pensar sobre privacidad y algoritmos.

El periódico The Wall Street Journal sacó una historia muy interesante: “Conoce al Nuevo Jefe: Big Data”, sobre cómo los algoritmos se están usando para tomar decisiones sobre personal, como contratación y promoción. El artículo señalaba que tales algoritmos podrían plantear problemas legales a la luz de la legislación estadounidense antidiscriminatoria, si a propósito o inadvertidamente filtrasen para descartar ciertas categorías protegidas de empleados, como por ejemplo mayores de una cierta edad. Pero el artículo no entra en un tema legal aún más básico, al menos en Europa.

En Europa la “decisiones individuales automatizadas” son una infracción de la leyes de privacidad europeas. El Artículo 15 de la Directiva Europea sobre tratamiento de datos personales garantiza: el derecho de las personas  “...a no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc”.

Bueno, eso lo expresa con toda la claridad con que puede hacerlo una ley. En nuestra era del Big Data todos sabemos que los algoritmos se están refinando y usando más y más ampliamente para tomar decisiones sobre contratación y promoción, y muchos otros temas. Pero cuando estas decisiones estén basadas únicamente en algoritmos, estarán infringiendo la legislación europea de privacidad. Punto. La única manera en que tales algoritmos se pueden emplear de manera legal sería suplementarlos con otras medidas para salvaguardar los intereses legítimos de la persona a la que se está evaluando; por ejemplo, permitiéndole expresar su punto de vista.

Yo soy un gran creyente de que los algoritmos nos pueden ayudar a todos nosotros (gobiernos, empresas, particulares) a tomar mejores decisiones. Pero cuando un programa informático está tomando por sí mismo decisiones clave sobre a quién contratar o despedir, o sobre si ampliar o no el crédito a alguien, es justo requerir salvaguardias adicionales. Las leyes de privacidad en Europa las requieren. Yo soy agnóstico sobre si los algoritmos son más o menos justos que los humanos al tomar muchas de tales decisiones. En todo caso, las empresas que usen tales algoritmos tienen que considerar cómo hacer que se ajusten a la legislación de privacidad europea. Cuando los algoritmos se usen para suplementar otras herramientas de evaluación, deberían considerarse legales. Cuando los algoritmos se usen para tomar esas decisiones por ellos mismos, existe un riesgo serio de que fueran considerados ilegales. Úsense con cuidado.

o0o

algoritmo. (Quizá del lat. tardío *algobarismus, y este abrev. del ár. clás. 'cálculo mediante cifras arábigas').

1.  m. Conjunto ordenado y finito de operaciones que permite hallar la solución de un problema.

Es hora de una “Agencia Líder” para Europa

  

Traducción del post de Peter Fleischer 20120816
       

¿Quién está al mando en Europa? Este es un acertijo usual para los que trabajamos en el campo de la privacidad en Europa. Cuando estuve en Berlín en una conferencia sobre privacidad (foto adjunta), todo el mundo hablaba sobre eso.

Las agencias de protección de datos juegan un papel vital para el cumplimiento de las leyes de privacidad. Así pues, es natural preguntarse cuál agencia tendrá jurisdicción para hacer cumplir las leyes de privacidad. Durante muchos años he abogado por la idea de una “Agencia Líder” en Europa. Tiene mucho sentido que una de las agencias europeas asuma el papel de líder entre todas las de Europa. Alentaría la homogeneidad a lo largo de Europa, proporcionaría una relación regulatoria más profunda, ahorraría impuestos a los contribuyentes, pues las numerosas agencias no estarían cada cual reinventando la rueda normativa. Esto es exactamente lo que la Comisión Europea está proponiendo en su re-redacción de las leyes para Europa.

Tomemos el ejemplo de Facebook, cuyas actividades europeas tienen su sede social en Irlanda. Normalmente, la agencia de protección de datos irlandesa sería, por tanto, la agencia líder respecto a Facebook en representación de Europa. Y de hecho así ha actuado, llevando a cabo una auditoría a nivel de toda la compañía sobre las prácticas de privacidad de Facebook.

La clave para hacer que todo esto funcione está clara: el concepto de “Agencia Líder” no puede funcionar a menos que otras agencias se remitan a su agencia hermana. Por eso esta historia me llamó la atención: La Agencia de Protección de Datos alemana reabre sus investigaciones sobre el software de reconocimiento facial de Facebook. A pesar de que la irlandesa está actualmente investigando la misma cosa; y a pesar de que la alemana había expresado anteriormente que iban a remitirse a la auditoría irlandesa antes de actuar.

El mundo normativo alemán es un microcosmos del mundo normativo europeo. Cada uno de los “Land” en Alemania tiene su propia agencia de protección de datos. En teoría, cada una de ellas es completamente independiente, y es libre de investigar o regular separadamente, o además de, o incluso de modo diferente, a cualquiera de sus agencias hermanas alemanas. Pero en la práctica, las agencias alemanas han desarrollado una costumbre (no basada en la ley sino en la deferencia y el respeto mutuo), de remitirse a la “Agencia Líder Alemana”. En el ejemplo de Facebook, la agencia de Hamburgo está liderando en representación de sus agencias hermanas alemanas, porque el establecimiento de Facebook Alemania está situado en Hamburgo. De ahí que Hamburgo, en vez de, digamos, Múnich, esté investigando a Facebook.

Así que la cuestión es simple: las agencias alemanas han desarrollado el concepto de “Agencia Líder” entre ellas mismas. Pero ¿están dispuestas a respetar el mismo concepto, y mostrar la misma deferencia regulatoria necesaria a un nivel europeo? Por ejemplo, ¿respecto a la agencia irlandesa?

Si la propuesta de la Comisión Europea llega a convertirse en ley, entonces el concepto de “agencia líder” quedará consolidada legalmente. Yo a menudo critico otros aspectos de la propuesta de la Comisión, pero en lo de la “agencia líder” aplaudo sus esfuerzos. El tema es polémico, y la agencia francesa, la CNIL, por poner un ejemplo, está muy empeñada en atacar públicamente el concepto de “agencia líder” precisamente porque ellos no quieren remitirse a una agencia líder que no sea francesa.

Mientras tanto, no es fácil saber quién está al mando. Yo soy de los que creen que la efectividad normativa es más efectiva cuando está absolutamente claro quién está al mando.

o0o

Arcoiris en Ravello: ¿Tecnocracia o Democracia?

El Consejero Global de Privacidad de Google, con su visión planetaria de la protección de datos, pone el dedo en la llaga del devenir político europeo.

Traducción libre del post de Peter Fleischer 20120815

 Al igual que a la élite europea desde hace siglos, a mí me encanta el verano en Ravello. La civilización ha florecido en estas cautivadoras colinas desde hace milenios. La democracia ha imperado aquí durante sólo breves interludios. Por cierto, que la moderna Italia ha desistido de tener un Primer Ministro elegido, y en su lugar a designado como líder a un (respetado) tecnócrata. El "déficit democrático" en Europa está bien documentado. Cuando las cosas se ponen duras en Europa, bueno, ¿volvemos la espalda a la democracia? Virtualmente toda la legislación de nivel europeo está redactada por los tecnócratas inelectos de la Comisión Europea basados en Bruselas. (Tengo un profundo respeto por la inteligencia y profesionalidad del equipo humano de la Comisión, así que mis comentarios son institucionales, más que individuales). Lo que es cierto para prácticamente toda la legislación europea es también cierto para la protección de datos. La actual propuesta europea de revisar la Protección de Datos Europea es una gesta tecnocrática.

La Comisión ha escogido el enfoque de un Reglamento (ley directamente aplicable) en vez del enfoque de una Directiva (la ley anterior era una Directiva, lo que deja margen para que los parlamentos nacionales realicen adaptaciones). Hay pros y contras en el enfoque del Reglamento. La mayor ventaja es que dará lugar a leyes de privacidad uniformes, plenamente armonizadas a lo largo y ancho de Europa. Por eso a las empresas les encanta: es más fácil cumplir con un único juego de reglas, en vez de con docenas de reglas (ligeramente distintas). La mayor desventaja es que un reglamento no deja margen para que los parlamentos nacionales introduzcan sus propias opciones democráticas y legitimidad a las leyes de privacidad en Europa.

La Privacidad es el producto de la cultura y de la historia, y naturalmente, las actitudes hacia la privacidad varían ampliamente en toda Europa, dada la enorme diferencia cultural y las experiencias históricas. Incluso países vecinos, como Alemania y Dinamarca, tienen muy distintas visiones de la privacidad, dadas sus diferentes historias y culturas. Dada la historia de Alemania, esperamos que los alemanes sean particularmente sensibles a los temas de privacidad. Pero ¿deben los puntos de vista alemanes sobre la privacidad, basados en la traumática historia alemana, o los puntos de vista franceses sobre el Estado-dirigismo, basados en siglos de un Estado centralizado todopoderoso, dictar las leyes de privacidad en un país como Gran Bretaña que ha sido una democracia parlamentaria estable desde hace siglos? La mitad de los Estados Miembros de la Unión Europea son democracias de primera generación. ¿Vale una talla para todos?

Las decisiones más duras en las leyes de privacidad son profundamente políticas. Por ejemplo, ¿qué coste estamos dispuestos a imponerle a las empresas para mejorar el cumplimiento de la privacidad? Esto es una clara negociación política: ¿Cuánta burocracia, como las evaluaciones de impacto de privacidad, los nombramientos obligatorios de Delegados de Protección de Datos, etc., son suficiente antes de que los costes se hagan demasiado gravosos para las empresas europeas, en particular las PYMEs? ¿Donde trazas la línea entre la libertad de expresión y el “derecho al olvido”? ¿Dónde la línea entre la privacidad de los ciudadanos y la inspección gubernamental? ¿Cuánta flexibilidad tienen que incluir las leyes para reflejar las diferencias culturales y regulatorias entre los países de Europa? ¿Es un Reglamento el instrumento adecuado en interés de la armonización, o es democrática la flexibilidad de una Directiva? ¿Cómo de altas deben fijarse las multas por errores de cumplimiento en el manejo de datos (lo bastante altas para castigar/disuadir, pero no tan altas que congelen la innovación europea y la asunción de riesgos)? Todos estos temas son profundamente políticos. Tengo mis ideas, y la inelecta Comisión tiene sus ideas, y las inelectas agencias de protección de datos tienen sus ideas, pero... ¿qué es lo que piensan los políticos europeos elegidos?

Ha habido muy poco debate político en Europa sobre cómo hay que actualizar las leyes de privacidad para el mundo moderno. Los tecnócratas de la Comisión Europea ya han tenido su turno de voz, y naturalmente están recelosos de ver que su cuidadoso paquete de compromisos de privacidad se reabran en un enfollonado debate democrático en el Parlamento Europeo, o en cualquier otra parte. La democracia vaya si es enfollonada, pero como dice el dicho: más vale lo bueno conocido que lo malo por conocer.

La “Privacidad” es un tema democrático y profundamente político. Es demasiado precioso para dejarle a los tecnócratas todas las difíciles decisiones sobre privacidad. La Privacidad necesita y merece un debate democrático y político. Quizás todo esto sea parte de un mucho más grande déficit democrático en Europa. Estamos en una senda de “resolver” la crisis del Euro mediante transferir todavía más poder desde los líderes nacionales elegidos a los inelectos tecnócratas de Bruselas. Sin embargo, confío que veamos un vibrante debate en el Parlamento Europeo sobre protección de datos. Las leyes de privacidad precisan de legitimación democrática. En todo caso, eso es lo que nosotros, la élite europea, estamos debatiendo, entre tragos de Campari, sobre la costa de Amalfi.

o0o

 

Centros de Datos en Altamar

El Consejero Global de Privacidad de Google, con su visión planetaria de la protección de datos, sabe por propia experiencia que no en todas partes cuecen habas.

Traducción libre del post de Peter Fleischer 20120808

Un post de blog de viajes: sobre los centros de datos

A veces pienso que debería escribir un blog de viajes en vez de un blog sobre privacidad. Soy el tipo de persona a la que le gusta estar al aire libre y haciendo ejercicio; y acabo de volver de hacer senderismo en España. Galicia tiene una costa limpísima, como Bretaña pero con menos turistas. Y es relajante tener unos pocos días para disfrutar de la privacidad en vez de preocuparse por ella. Si no me siento seguro haciendo senderismo en algún lugar, sin duda no lo recomendaría para instalar allí un centro de datos.

Los centros de datos son ahora grandes negocios. Son parte de la infraestructura de la Web. Y la gente naturalmente quiere saber si los datos que ellos eligen almacenar en la nube van a estar seguros. La situación de los centros de datos es un factor para asegurarse de que los datos estarán seguros.

Algunos países han conseguido tener éxito en promover una industria de los centros de datos; inmediatamente me vienen a la mente unos pocos: desde Estados Unidos, Reino Unido, Irlanda, Bélgica, Holanda, Noruega, Finlandia, Hong Kong, Singapur, Taiwán, Japón... (por supuesto hay otros, pero estos son los primeros que se me ocurren). Todos estos países me convencen por sus benignas jurisdicciones, y están teniendo éxito en convencer a los inversores internacionales para que pongan su dinero y hospeden sus datos allí. Hoy en día, los centros de datos pueden ser grandes inversiones, implicando cientos de millones de euros, creación de empleos de alta cualificación, y desencadenando un eficaz ciclo de interconexiones de alta tecnología. No es de extrañar que muchos países estén compitiendo para atraerlos.

Creo que hay dos grandes factores al escoger localización para los centros de datos: infraestructura física y legislación.

La infraestructura física incluye: 1) fuentes de energía barata, fiable y renovable;  2) un clima fresco para reducir los costes operativos de electricidad; 3)  montones de ancho de banda.  

Pero la ley es igualmente importante. ¿Cuál es el entorno legal/regulatorio en cada país, en lo que respecta a...

• el imperio de la ley?  
• la censura?  
• un proceso justo y legal para validar o impugnar las exigencias legales y gubernamentales sobre los usuarios de datos?
• responsabilizar a los intermediarios por contenido de terceros en la nube?  

Muchos países en todo el mundo no superan ninguna de estas pruebas. Algunos de ellos sólo fallan en una o dos. No hay una “lista negra” comúnmente aceptada de países en los que las empresas internacionales debieran evitar situar un centro de datos. Ese es un reto interesante, y quizás merece un cierto debate público. Quizás alguien debería hacer un estudio para ordenar una lista de países conforme a estos criterios, así como se les lista periódicamente en cuanto a competitividad.  Por ejemplo, las empresas también tienen que preocuparse de abrir un centro de datos en un país en el que sus empleados pudieran ser responsabilizados personalmente por contenido de terceros hospedados allí. (Amigos, ¿os parece poco eufemismo?)

Quizás el sitio más seguro para poner centros de datos, en términos de proteger los datos de los usuarios frente a la inspección gubernamental, sería a bordo de buques flotando en aguas internacionales, impulsados por las olas, refrigerados por agua marina, y a salvo del alcance jurisdiccional de la mayoría de los gobiernos. Vale, en realidad no; pero entonces intenta elaborar tu propia lista de países. Y si estás teniendo problema en concentrarte, ¿correrías el riesgo de ir a parar a la cárcel por una apuesta arriesgada?

o0o

"Anónimo"

Traduzco, para comodidad de algunos lectores, el post del Consejero Global de Privacidad de Google sobre un aspecto de Internet de indudable interconexión con la privacidad: el Anonimato.

Peter Fleischer 20120807

 Enfangándome, Anonimamente

  

Como persona sensible a la privacidad que soy, siempre le he tenido cariño al anonimato. Pero me pregunto si las cosas no han llegado demasiado lejos. A veces me tapo la nariz e intento leer los “comentarios” en plataformas sin moderador que permiten a los “anónimos” subir comentarios. Francamente, estos comentarios a menudo suenan como monos arrojándose las heces unos a otros. Y todo esto ocurre porque, bueno, es anónimo. El anonimato se ha convertido en el escudo del ignorante, el inhumano, y el incívico.

Estoy plenamente a favor de la libertad de expresión. Y en algunos contextos, el anonimato es una base esencial de la libertad de expresión. Sin anonimato, habría mucho menos campo para la libertad de expresión de los disidentes políticos, o de los “whistle-blowers”*, o de otros tipos de discurso que son socialmente deseables pero que ponen a su autor en riesgo personal. Sin embargo, la verdadera cuestión es si los beneficios sociales de ciertas categorías de discurso anónimo pesan más que el tsunami de basura que se está desatando actualmente tras el velo del anonimato en la plataformas de Internet.

Es todo un desafío: ¿seremos capaces de permitir las formas de expresión anónimas socialmente deseables y al mismo tiempo filtrar el cieno anónimo, sin volvernos máquinas de censura?

En este blog, yo no permito comentarios sin moderarlos. En otras palabras, agradezco vuestros comentarios, pero reviso todos los comentarios antes de postearlos aquí. No censuro los comentarios críticos que se suban de manera anónima (sólo tenéis que echarles un vistazo para verificar esto). Pero sí que borro los numerosos comentarios que son spam, o palmariamente ignorantes o expresiones de odio (hate speech). En verdad, una foto en la que salgo haciendo senderismo sin camiseta no debería originar una lluvia de sermones homofóbicos; sin embargo, tristemente, sí que ocurrió.

Conforme me hago mayor, creo que más y más sitios web deberían reconsiderar el idealismo de la web originaria, cuando muchos de nosotros creíamos que el mundo sería un mundo mejor, y la privacidad florecería, permitiendo a la gente expresarse desde el anonimato. Obligar a la gente a usar sus nombres verdaderos en muchos sitios podría detener mucha de la difamación grotesca, discurso de odio, ciber-bullying, ignorancia e incivismo que estamos soportando todos hoy en día, bajo un punto de vista anticuado (y ordenado algoritmicamente) de que un “anónimo” debe ser libre de decir lo que sea.

No es fácil para una plataforma de Internet maquinar cómo poner en equilibrio los beneficios del anonimato frente a la falta de sujeción a responsabilidad que conlleva. Por cierto, yo empleo mi nombre real en este blog. Aquí va una foto en la que salgo, vulnerable y sin ropa, cubierto de barro en el Mar Muerto. Si te apetece poner un comentario que sea un sermón homofóbico o anti-semítico, ¿te importaría usar tu nombre verdadero? Yo no estoy escribiendo un blog para darle a los “anónimos” una plataforma para dar rienda suelta a su bilis.

Mi predicción es que la marea de la Web va a comenzar a retirarse del anonimato, con un rotundo cambio del estado de la mar de vuelta a la identidad del mundo real.

*whistle-blower = un informador que denuncia alguna fechoría dentro de una organización con la esperanza de ponerle fin. Por ej.: "el ‘whistleblower’ fue despedido por haber revelado las inhumanas condiciones de los pacientes en un sanatorio mental”.

o0o

Oficiales de Protección de Datos: ¿Sobre Buenos Cimientos?

Foto Ref:

El consejero global de privacidad de Google, Peter Fleischer, ya ha sufrido en sus carnes lo que implica estar en primera línea de fuego en el mundo de la privacidad; un mundo donde las muy diversas leyes pueden encontrar como cabeza de turco a la persona que ostente el título de encargado de privacidad en una gran empresa multinacional. 

Traducción libre del post de Peter Fleischer 20111123

He trabajado en el campo de la privacidad desde hace lo bastante tiempo como para recordar una época en la que casi ninguna empresa en el mundo tenía oficiales de privacidad. Ahora, casi todas las grandes empresas los tienen. Y pronto las leyes europeas de privacidad seguramente van a ser modificadas para hacerlos obligatorios, o al menos proporcionar grandes incentivos para su nombramiento; lo cual conllevará un inmenso crecimiento de esta profesión.

Pero, ¿qué es un oficial de protección de datos? O ¿siquiera podemos ponernos de acuerdo sobre cómo denominarlos? “Oficial de Protección de Datos” o “DPO” [DPO = Data Protection Officers] es un título eurocéntrico, puesto que Europa hace mucho que inventó el concepto de “protección de datos” como alternativa (no sinónima) de “privacidad”. Personalmente hace mucho que uso el título de “Consejero Global de Privacidad”, puesto que pienso que es útil para expresar tres cosas que definen mi trabajo. esto es: el tema (privacidad); el ámbito geográfico (global), y la perspectiva funcional (es decir, consejero o abogado). Pero los líderes de privacidad a menudo no son abogados, de aquí que usen diversos motes, que van desde Oficial Jefe de Privacidad a Director de Ingeniería de Privacidad, o Director de Cumplimiento de Privacidad, o Jefe Evangelista de Privacidad, en cada caso enfatizando una perspectiva funcional diferente.

Para las compañías muy grandes, la privacidad tiene que ser un esfuerzo cros-funcional, implicando seguridad, ingeniería, legal, cumplimiento, política y comunicaciones. Personalmente, yo me enfoco hacia las facetas legales/regulativas y de políticas de la privacidad. En las compañías muy grandes de Internet basadas en la información, hay literalmente cientos de personas trabajando en privacidad a lo largo de estas diversas funciones. En las compañías más pequeñas debería haber, en mi opinión, al menos una persona que sea responsable de la privacidad, en cierta medida, aunque no fuera un trabajo a tiempo completo.

Puesto que Europa está a punto de imponer como obligatorios a los “oficiales de protección de datos”, necesitamos comprender las responsabilidades que tendrán estas personas. Primero es importante hacer notar que la propuesta europea seguramente va a seguir el modelo de las funciones existentes en Francia ("correspondent") y Alemania ("Datenschutzbeauftragte"). En estos países el DPO es responsable de supervisar la creación y uso de bases de datos que contengan datos personales por parte de sus empresas, actuando de enlaces con los reguladores gubernamentales de privacidad, y proporcionando buen asesoramiento y guía sobre privacidad. En la práctica, los DPOs en Alemania y Francia a veces están enfocados sobre la faceta legal, y a veces en el aspecto técnico y de seguridad.

En Estados Unidos los líderes de privacidad tienen una visión diferente. En la mayoría de las empresas americanas los abogados desempeñan este papel, así como yo entré en la privacidad por medio de la profesión legal. Y nosotros desempeñamos este papel por nuestra cualificación como abogados, es decir: proporcionar asesoramiento legal sobre privacidad a nuestras empresas. Como abogados de privacidad, proporcionamos asesoramiento, pero no tenemos poderes para adoptar las decisiones finales sobre si nuestras empresas siguen o no nuestros consejos. Los ejecutivos de la empresa son los decisores a fin de cuentas, no los abogados de privacidad. Por supuesto hay otros modelos en algunas empresas estadounidenses, pero todavía son una minoría.

Así que, cuando Europa institucionaliza el papel del DPO, va a ser importante definir cuáles van a ser exactamente las responsabilidades de estas personas, tanto a nivel interno como externo a sus compañías. Para las multinacionales, va a hacer falta algún tiempo hasta ajustar cómo apoyar a sus líderes de privacidad bajo estos diversos regímenes legales que abarcan diversas jurisdicciones. Y cuando a los DPOs se les haga responsables de ciertas áreas, ellos mismos necesitarán protección e indemnidad por parte de sus empresas respecto a su riesgo personal, al igual que en otras profesiones, como los delegados financieros en jefe que son obligatorios bajo diversas legislaciones con áreas específicas de responsabilidad.

Yo doy la bienvenida a las leyes europeas que ayudarán a fortalecer el papel de los DPOs en sus empresas, y contribuirán a hacer más prevalentes los DPOs en el sector. Esto en la práctica será un paso adelante para la privacidad. Pero al mismo tiempo, será importante definir nuestras responsabilidades, a nivel interno y externo, especialmente en un campo donde la propia noción de “privacidad” es altamente subjetiva; y donde las visiones sobre lo que un líder de privacidad debería hacer difieren dramáticamente, según el país, según el sector, y según la función.

o0o

Marejada de Sanciones

Una vez más, el consejero global de privacidad de Google, Peter Fleischer nos ilustra con su visión a vista de pájaro sobre las tendencias mundiales de privacidad. 

Traducción libre del post 20120102 Peter Fleischer

Se Avecina un Endurecimiento de las Sanciones en Protección de Datos

Cuando Apolo decidió impedir que Laocoonte* advirtiese a los Troyanos de que el famoso caballo de Troya estaba repleto de soldados enemigos, envió a dos serpientes gigantescas para que acabasen con Laocoonte y sus hijos. ¡Hablando de sanciones¡ ¿Hemos considerado emplear serpientes asesinas para castigar las infracciones de datos personales y desalentar las futuras malas prácticas?

Puesto que 2012 acaba de empezar, aquí va una predicción sobre el futuro: va a haber muchas más acciones de ejecución en el terreno de la privacidad. Por parte de un montón de distintas autoridades administrativas, no sólo agencias de control. Y las sanciones y resarcimientos van a subir por las nubes. Por cierto, no es fácil determinar cuáles son los organismos encargados de ejecutar acciones de cumplimiento de protección de datos. Hay un montón de ellos.

Todos pensamos que las Agencias de Protección de Datos, y organismos similares, como la Comisión de Comercio Federal, son las responsables de hacer cumplir las leyes de privacidad. Estos organismos alrededor del mundo tienen unos poderes ejecutivos inmensamente diferentes; culturas investigativas y tradiciones sancionadoras; incluso dentro de Europa. Algunas, como la AEPD española, imponen un montón de sanciones grandes. Otras, como la CNIL francesa, imponen solamente 5 sanciones económicas en todo un año. La mayor multa que la CNIL ha impuesto en toda su historia es de 100.000 €. E incluso otras, como la DPA belga, ni siquiera tienen facultades de imposición de sanciones en absoluto. Otras Agencias de Protección de Datos casi nunca emplean sanciones, en el sentido clásico, aparte de notas de prensa y tácticas de “nombra y avergüenza”. Más aún, en años recientes, la Comisión de Comercio Federal de Estados Unidos se ha estado moviendo en una dirección diferente: negociar compromisos de consentimiento [consent decrees] a largo plazo; compromisos de 20 años para que las empresas concretas se obliguen a ciertos estándares de privacidad y queden sujetas a auditorías periódicas.

 Pero por si la plétora de Agencias de control, en sus variadas prácticas sancionatorias, no fueran lo bastante divergentes, el cumplimiento de la privacidad no está en absoluto limitada a estos organismos especializados. En Estados Unidos, los Fiscales Generales del Estado plantean a menudo procedimientos sobre privacidad. En Estados Unidos también existe toda una industria de acciones grupales de clase basadas en la privacidad que han surgido en los últimos pocos años.

Más aún, en muchos países, las leyes de privacidad se han abierto paso hasta los códigos penales. Consecuentemente, cualquier fiscal penal puede iniciar tales acciones penales de privacidad. Por ejemplo, mi procesamiento y condena en Italia por una “violación de privacidad” fue iniciado por un fiscal de Milán e impuesta por un juez penal.

En el futuro, la proliferación del número de autoridades que puedan iniciar procedimientos sancionatorios sobre privacidad seguramente va a aumentar. Primero, más y más países están constituyendo autoridades de protección de datos; por ejemplo, como una docena de ellas se han creado en el último año en Latinoamérica y Asia. Y en Europa, donde por lo general no existen las acciones de clase y no encajan dentro del marco jurídico existente, ahora hay serias propuestas de crear mecanismos para el “resarcimiento colectivo” de las reclamaciones de privacidad. Y, por supuesto, siempre han existido los canales judiciales normales, en los que cualquiera puede demandar por privacidad frente a alguien si le parece que se ha violado su privacidad. El número de estos casos también está explotando en todo el mundo, especialmente conforme más y más datos sobre la gente se recopilan, intercambian y publican.

 Frecuentemente escucho la queja de la gente de que no existe suficiente cumplimiento forzoso de la privacidad. En algunos sitios, en la práctica, eso puede ser cierto. Pero no hay escasez de autoridades que se solapan con la facultad de iniciar o resolver reclamaciones de privacidad. Curiosamente, en círculos de privacidad, el enfoque tiende a recaer sobre las acciones sancionatorias de las Agencias de control. Pero en la práctica, las Agencias son solamente una de las muy diversas autoridades que pueden llevar a cabo acciones de cumplimiento de privacidad. Y la tendencia está subiendo claramente, tanto en términos del número de leyes que se pueden infringir, en términos de la severidad de las sanciones, en términos del número de reclamaciones interpuestas, y en términos de la gama de autoridades que están implicadas en hacer cumplir la privacidad.

La Comisión Europea ha propuesto establecer nuevas multas por infracciones de protección de datos que llegarían hasta ¡el 5% del ingreso bruto! Para una empresa global, eso seguramente da más miedo que las serpientes asesinas.

* El sacerdote troyano Laocoonte, durante el asedio de Troya, pronunció la famosa frase Timeo Danaos et dona ferentes (Desconfío de los dánaos (griegos) incluso cuando traen regalos), alertando a los troyanos de que podría ser una trampa; que dentro del caballo podía haber tropas aqueas; y sugirió quemarlo, pero los troyanos no le hicieron caso.

o0o