Mi ponencia hoy está inspirada de la Opinión 4/2015 del Supervisor de protección de datos personales de Europa (EDPS) con el título “Towards a new digital ethics. Data, dignity and technology”. Esa opinión, emitida el 11 de septiembre 2015, llama en su conclusión a un “pensamiento innovador” y a “una discusión más amplia y más profunda en como la EU puede, al mismo tiempo, asegurar la integridad de sus valores y acoger los beneficios de nuevas tecnologías”. Esa meta vale para el mundo entero y particularmente frente al Internet de las cosas.
Mi ponencia es, entonces, mi modesta contribución a esa discusión con enfoco sobre el Internet de las cosas que me parece a la vez pertinente y urgente.
No soy la sola en verlo así. Es también la recomendación del National Security Telecommunications Advisory Committee del Presidente de los Estados Unidos, que, en su informe sobre Internet de la cosas del 19 de noviembre 2014, describe la situación declarando que “existe una oportunidad pequeña y que se está cerrando, por asegurar que Internet de las Cosas sea adoptado de manera a maximizar la seguridad y minimizar los riesgos”. Claramente, esa discusión, hoy, es de actualidad.
El enfoco de mi ponencia es la elaboración, en rasgos básicos, de un marco jurídico de protección de la privacidad frente al desarrollo del internet de las cosas. Se divide en 4 partes:
En general, creo que en modernizando el marco jurídico de protección de la privacidad, tenemos que considerar tres fenómenos llaves:
i. El carácter inmutable del derecho a la privacidad contrastando con la mutación profunda de las modalidades de su ejercicio, ii. El impacto de la abstracción de Internet sobre la noción de autonomía individual que es la base del derecho a la privacidad, y iii. la asimetría creciente entre el poder de los individuos frente a las organizaciones que recogen sus datos personales.
i. El carácter inmutable del derecho a la privacidad contrastando con la mutación profunda de las modalidades de su ejercicio,
ii. El impacto de la abstracción de Internet sobre la noción de autonomía individual que es la base del derecho a la privacidad, y
iii. la asimetría creciente entre el poder de los individuos frente a las organizaciones que recogen sus datos personales.
Hemos todos oído esa queja: “Con la nuevas tecnologías de la información, el derecho a la privacidad no existe más”. Le propongo que esa declaración constituye una confusión entre los principios emanando del derecho a la privacidad y sus modalidades de ejercicio.
La definición del derecho a la privacidad en la jurisprudencia canadiense, y creo que es de aplicación universal, es la autonomía de una persona a determinar la comunicación de sus datos personales.
Los principios vinculados a ese derecho no han cambiado y no pueden cambiar. Son inmutables como todo derecho humano. Esos principios de la privacidad corresponden a una necesidad visceral de proteger la integridad personal y gestionar la supervivencia en sociedad. Esa necesidad es muy anterior, e independiente, de las específicas leyes codificando el derecho a la privacidad.
Por eso, la Opinión del EDPS refiere a la base ética de la modernización del marco jurídico de protección de la privacidad: en vinculando dignidad y datos, el EDPS propone un marco jurídico de privacidad que prohíbe la “objetivación de una persona como herramienta al servicio de intereses de un otra”. Eso incluye el daño moral de colección y uso excesivo de datos personales.
Como voy a describir luego, el Internet de las cosas, con la colección ubicua, continua y autónoma de datos personales presente un desafío directo a esa base ética.
Con el tiempo, la necesidad visceral a un espacio de libertad personal, que llamamos privacidad, ha sido articulada alrededor de los principios que conocemos:
Eso no cambia porque corresponde a una necesidad humana, entonces intemporal y universal.
Lo que cambia, con el tiempo, entre las culturas y ahora, radicalmente con las nuevas tecnologías de información, son las modalidades de ejercicio, y, en consecuencia los riesgos, del derecho a la privacidad.
La conclusión de esa distinción entre principios y modalidades es nuestra guía en la modernización del marco jurídico de la protección de la privacidad. Frente al Internet de la cosas, eso significa preservar la autonomía individual en un contexto de automatización. Más detalles en un momento. Por ahora, quiero llegar al segundo fenómeno que tenemos que considerar en la modernización del marco jurídico de la privacidad.
Ahora refiero a los excelentes trabajos de Alessandro Acquisti sobre lo que él llama la abstracción de internet.
El hecho es que, hemos pasado del mundo físico de modalidades de comunicación donde la privacidad es controlada por los cinco sentidos - con la vista, sabemos que somos vistos; con el oído, sabemos que somos oídos, etc... a un mundo virtual donde no tenemos esas modalidades básicas de control.
El carácter virtual y la complexidad del internet tienen principalmente dos impactos jurídicos: forman obstáculos en el ejercicio y la validez del consentimiento y, como resultado, aumentan las exigencias de transparencia. Eso exige una adaptación correspondiente del marco jurídico.
En su Opinión, el EDPS resume la dinámica distinta de la nuevas tecnológicas por la ubicuidad y el poder. Ese tercer fenómeno es consecuencia del segundo: como consecuencia de la complejidad y opacidad de internet, el individuo pierde de su la capacidad de determinar cuál y a qué condiciones comparte datos personales. Así, es a la merced de las organizaciones, en una relación de poder asimétrica.
Todavía he mencionado el aumento de las exigencias en obtención del consentimiento y en los criterios de transparencia, pero no son suficientes.
Además, un nuevo marco jurídico tiene que re-establecer la simetría, y entonces par equidad, entre los individuos y las organizaciones, publicas y privadas, que recogen datos personales.
El internet de la cosas es una ilustración concreta de esos tres fenómenos.
El internet de la cosas es definido, en el informe de la FTC de enero 2015 “Internet of things” como “la conexión de cosas físicas a Internet y entre ellas, a través pequeños, incrustados sensores, creando un ecosistema de ubicuo computing.”
El EDPS, la FTC y expertos resumen el impacto del Internet de las cosas sobre el derecho a la privacidad en principalmente 5 puntos relativos a la privacidad, sea autonomía sobre los datos personales, y 3 relativos a la seguridad de los datos personales:
1. La colección autónoma de datos personales es problemática frente a los principios de consentimiento, el control, y transparencia sobre la colección, las finalidades, la comunicación y la protección de los datos personales; 2. La mediación de la colección a través dispositivos, cosas, no permite, en general, la distinción sobre la sensibilidad de los datos y, por consecuencia, las medidas de protección adecuadas; 3. La colección masiva de datos personales
1. La colección autónoma de datos personales es problemática frente a los principios de consentimiento, el control, y transparencia sobre la colección, las finalidades, la comunicación y la protección de los datos personales;
2. La mediación de la colección a través dispositivos, cosas, no permite, en general, la distinción sobre la sensibilidad de los datos y, por consecuencia, las medidas de protección adecuadas;
3. La colección masiva de datos personales
a. Excesiva en relación a los fines b. Permitiendo desarrollar perfiles personales que se convierten en datos personales sensibles;
a. Excesiva en relación a los fines
b. Permitiendo desarrollar perfiles personales que se convierten en datos personales sensibles;
4. La conversión de un relación contractual limitada la venta de cosas, a una relación de servicios, que significa una relación continua con el usuario y, entonces, la colección continua de datos que pueden revelar comportamientos e intereses, incluyendo la posibilidad de colección de datos personales de terceros. 5. Las posibilidades de acceso por las autoridades de la policía a esos datos sensibles han aumentado.
4. La conversión de un relación contractual limitada la venta de cosas, a una relación de servicios, que significa una relación continua con el usuario y, entonces, la colección continua de datos que pueden revelar comportamientos e intereses, incluyendo la posibilidad de colección de datos personales de terceros.
5. Las posibilidades de acceso por las autoridades de la policía a esos datos sensibles han aumentado.
1. La transferencia a diferentes nubes informáticas, o clouds, de confiabilidad relativa. 2. La transferencia de los datos a redes sociales, a veces automática, con el riesgo de difusión pública; y 3. La facilitación de ataques de sistemas vinculados a las cosas.
1. La transferencia a diferentes nubes informáticas, o clouds, de confiabilidad relativa.
2. La transferencia de los datos a redes sociales, a veces automática, con el riesgo de difusión pública; y
3. La facilitación de ataques de sistemas vinculados a las cosas.
1. desarrollar una nueva forma de consentimiento y transparencia en el contexto de colección autónoma de datos personales; 2. imponer normas de seguridad correspondientes al riesgo especifico , y 3. restaurar el equilibrio, la simetría, entre los individuos y las organizaciones.
1. desarrollar una nueva forma de consentimiento y transparencia en el contexto de colección autónoma de datos personales;
2. imponer normas de seguridad correspondientes al riesgo especifico , y
3. restaurar el equilibrio, la simetría, entre los individuos y las organizaciones.
Esas tres orientaciones forman la base de mi proposición por un marco jurídico modernizado de aplicación a Internet de la casas.
El llamo de la Opinión del EDPS a las autoridades de protección de datos personales por un pensamiento innovador propone medidas específicas:
1. La simplificación de las reglas del tratamiento de los datos personales de manera que sean todavía pertinentes para una generación. 2. El reconocimiento del riesgo y prejuicio moral de la colección y uso excesivo de datos personales. 3. La colaboración más estrecha entre los reguladores de datos personales y reguladores conexos; por ejemplo, la exigencia de transparencia en la colección y finalidades de datos personales sirve también en contra a la prohibición de discriminación en los precios, a base de datos personales. 4. La creación entre reguladores de protección de datos y reguladores conexos, de un foro de publicación de estadísticas e información pública para alertar los usuarios a la realidad de la colección de datos personales. 5. El aumento de la responsabilidad de las organizaciones con códices de conducta, « audits » certificaciones y nuevas cláusulas contractuales; la Opinión del EDPS es anterior a la decisión de la Corte sobre Safe Harbour, y voy hablar de la interacción con Safe Harbour más lejos. 6. Favorecer el desarrollo de ingeniería que es protectora de la privacidad y que permite a los usuarios un real control de varias opciones. 7. Responsabilizar los usuarios frente a su participación en la explotación de datos personales. El EDPS usa la palabra “prosumedores” para hacer sobresalir la noción de usuario del internet como agente activo de colección, explotación y diseminación de datos personales sobre Internet. El EDPS recomienda regulación de actividades individuales sobre internet y educación pública. 8. Exigir más que el consentimiento para legitimar la colección y uso de datos personales visto que puede ser precario. Por ejemplo, las organizaciones tienen que ser verificadas para asegurar la conformidad a la ley. 9. La constitución de “data vaults” o “bóvedas de datos” que impedirían el acceso a los datos a otras organizaciones que las que tienen la autorización del individuo.
1. La simplificación de las reglas del tratamiento de los datos personales de manera que sean todavía pertinentes para una generación.
2. El reconocimiento del riesgo y prejuicio moral de la colección y uso excesivo de datos personales.
3. La colaboración más estrecha entre los reguladores de datos personales y reguladores conexos; por ejemplo, la exigencia de transparencia en la colección y finalidades de datos personales sirve también en contra a la prohibición de discriminación en los precios, a base de datos personales.
4. La creación entre reguladores de protección de datos y reguladores conexos, de un foro de publicación de estadísticas e información pública para alertar los usuarios a la realidad de la colección de datos personales.
5. El aumento de la responsabilidad de las organizaciones con códices de conducta, « audits » certificaciones y nuevas cláusulas contractuales; la Opinión del EDPS es anterior a la decisión de la Corte sobre Safe Harbour, y voy hablar de la interacción con Safe Harbour más lejos.
6. Favorecer el desarrollo de ingeniería que es protectora de la privacidad y que permite a los usuarios un real control de varias opciones.
7. Responsabilizar los usuarios frente a su participación en la explotación de datos personales. El EDPS usa la palabra “prosumedores” para hacer sobresalir la noción de usuario del internet como agente activo de colección, explotación y diseminación de datos personales sobre Internet. El EDPS recomienda regulación de actividades individuales sobre internet y educación pública.
8. Exigir más que el consentimiento para legitimar la colección y uso de datos personales visto que puede ser precario. Por ejemplo, las organizaciones tienen que ser verificadas para asegurar la conformidad a la ley.
9. La constitución de “data vaults” o “bóvedas de datos” que impedirían el acceso a los datos a otras organizaciones que las que tienen la autorización del individuo.
La FTC también hace recomendaciones para adaptar el marco jurídico a internet de las cosas, más tradicionales pero pertinentes, sobre todo en el contexto de la invalidación de Safe Harbour:
Concretamente, a base de mi experiencia como regulador y ahora como abogada trabajando con empresas y gobiernos en protección de datos personales en la tecnología de la información, además de las recomendaciones del EDPS y de la FTC que endoso, propongo esas medidas mínimas en el contexto especifico de internet de la cosas:
1. Transparencia: Al punto de venta privada o de suscripción a un servicio público: obligación de comunicar información clara, completa y accesible al individuo, sobre la colección autónoma – y automática – de datos personales sobre sus finalidades, y sobre la protección de datos personales; 2. Consentimiento: Esa comunicación seria confirmada por la expresión de consentimiento expreso con firma – de la misma manera que consumidores firman formas de garantía o con un appli especifica; 3. Opciones de rechazo:
1. Transparencia: Al punto de venta privada o de suscripción a un servicio público: obligación de comunicar información clara, completa y accesible al individuo, sobre la colección autónoma – y automática – de datos personales sobre sus finalidades, y sobre la protección de datos personales;
2. Consentimiento: Esa comunicación seria confirmada por la expresión de consentimiento expreso con firma – de la misma manera que consumidores firman formas de garantía o con un appli especifica;
3. Opciones de rechazo:
a. en el sector privado: la oferta obligatoria de una opción de rechazo aunque perdiendo los ventajas de la conexión a internet de la cosas; b. en el sector público, por ejemplo en la implementación de contadores inteligentes por servicio de electricidad con fines de mejorar la eficiencia energética, la imposición de internet de la cosas tiene que ser
a. en el sector privado: la oferta obligatoria de una opción de rechazo aunque perdiendo los ventajas de la conexión a internet de la cosas;
b. en el sector público, por ejemplo en la implementación de contadores inteligentes por servicio de electricidad con fines de mejorar la eficiencia energética, la imposición de internet de la cosas tiene que ser
i. regulada por los estrictos criterios de necesidad, de proporcionalidad, de eficacia y de ausencia de un alternativa menos intrusiva ii. aplicada con PIAs por cada iniciativa pertinente. iii. con información publica sobre los detalles de la colección de datos y sus finalidades, de manera proactiva como campanas de información, y receptiva con acceso de los ciudadanos a la Información, iv. organismos de control internos y externos para asegurar la conformidad de manera proactiva, v. y con remedios para obtener acceso a sus datos personales y corrección, llegado el caso.
i. regulada por los estrictos criterios de necesidad, de proporcionalidad, de eficacia y de ausencia de un alternativa menos intrusiva
ii. aplicada con PIAs por cada iniciativa pertinente.
iii. con información publica sobre los detalles de la colección de datos y sus finalidades, de manera proactiva como campanas de información, y receptiva con acceso de los ciudadanos a la Información,
iv. organismos de control internos y externos para asegurar la conformidad de manera proactiva,
v. y con remedios para obtener acceso a sus datos personales y corrección, llegado el caso.
4. Una vez los datos recogidos, las mesuras de seguridad tienen que incluir, además de la protección apropiada al nivel de sensibilidad: a. Anonimización inmediata y efectiva de los datos personales non necesarios al funcionamiento del servicio; y b. Segregación y protección de los datos personales necesarios con acceso estrecho y controlado.
4. Una vez los datos recogidos, las mesuras de seguridad tienen que incluir, además de la protección apropiada al nivel de sensibilidad:
a. Anonimización inmediata y efectiva de los datos personales non necesarios al funcionamiento del servicio; y b. Segregación y protección de los datos personales necesarios con acceso estrecho y controlado.
a. Anonimización inmediata y efectiva de los datos personales non necesarios al funcionamiento del servicio; y
b. Segregación y protección de los datos personales necesarios con acceso estrecho y controlado.
5. La adopción de una definición jurídica y pragmática de la anonimizarían es también urgente. El Information Commissioner’s Office del Reino Unido, define la anonimizarían como “el proceso de convertir los datos en una forma que no identifica los individuos y donde no es probable que la identificación tenga lugar.” Esa definición, basada sobre la probabilidad y no sobre la imposibilidad, corresponde a un justo equilibrio entre los riesgos y los beneficios de la utilización de datos personales anonimizados.
Esos parámetros de explotación de datos personales en internet de las cosas reflejan solamente una modernización de las reglas existentes:
Más radical es la transformación necesaria del poder de los reguladores para corregir la asimetría que se está desarrollando entre los individuos y las organizaciones
Aquí, la solución es el aumento de los poderes de los reguladores.
Entiendo que para las empresas y las organizaciones públicas, mi propuesta de aumentar los poderes de los reguladores no es popular. Pero creo que es inevitable y que se puede manifestar de forma positiva. Por primero, la inevitabilidad. Es basada sobre esas constataciones:
Por eso, apoyo totalmente la Opinión del EDPS en el sentido que los reguladores necesitan más poderes de
La razón por la cual creo que eso puede ser aplicado de manera colegial y positiva es que, al mismo tiempo que las organizaciones delincuentes pierden en reputación, las empresas conformas ganan. Y cuando los delincuentes pagan penalidades por no tener las practicas o las infraestructuras necesarias para ser conformes, son colocados a nivel con las organizaciones que han invertido en la delantera. Eso me parece económicamente más justo.
Finalmente, mi última interrogación: ¿cómo la anulación de Safe Harbour impacta esa discusión?
En una frase, el 6 de octubre de 2015, la Corte de Justicia de la Unión europea ha declarado la invalidez de Safe Harbour. Safe Harbour era el acuerdo entre los Estados Unidos y la Comisión europea que tenía luego de adecuación para la transferencia de datos personales de Europa a empresas de los Estados Unidos.
Ahora, la transferencia a Estados Unidos, como a todo país que no ha sido reconocido como adecuado – solo Argentina y Uruguay tienen ese estado - necesita cláusulas modelos entre empresas, o “Binding Corporate Rules, BCRs” entre un empresa y sus filiales, o el consentimiento individual a la transferencia de los datos personales a los Estados Unidos. En el contexto del Internet de las cosas, ¿cómo se aplica?
En general, la opción del consentimiento individual para la transferencia de datos fuera de Europa es un guion improbable y rechazada como impracticable por el número de usuarios.
Pero, tal vez el contexto del internet de las cosas es, excepcionalmente, uno que puede acomodar esa opción. Eso corresponde a mi primera proposición concreta en la adaptación del marco jurídico de la privacidad en Internet de las cosas: la obtención del consentimiento al punto de venta. La obtención del consentimiento puede especificar también se los datos personales van a ser conservados en los Estados Unidos.
Así, la transferencia es conforme. Esa opción vale para todas las empresas Latinas Americanas que, no son establecidas en países que tienen la adecuación, y para empresas en Argentina y Uruguay que conservan datos personales de Europa en Estados Unidos.
En resumen, creo que tenemos que responder a la invitación del EDPS, aunque expresamente se dirigía solamente a las autoridades europeas, con una discusión profunda y basada sobre la ética y un contexto inédito de peligro a la privacidad.
Esa discusión tiene que clarificar, en relación a Internet de las cosas:
1. La forma de consentimiento valido en el contexto de colección autónoma, continua y mediante dispositivos. 2. Las exigencias de transparencia teniendo cuenta de la abstracción, la opacidad y la complexidad de internet. 3. Los poderes de control apropiados de las autoridades de protección de datos en esa situación de ubicuidad y capacidad masiva de colección y uso de los datos personales por las organizaciones, para defender los individuos de manera eficaz y rectificar la asimetría creciente con las organizaciones.
1. La forma de consentimiento valido en el contexto de colección autónoma, continua y mediante dispositivos.
2. Las exigencias de transparencia teniendo cuenta de la abstracción, la opacidad y la complexidad de internet.
3. Los poderes de control apropiados de las autoridades de protección de datos en esa situación de ubicuidad y capacidad masiva de colección y uso de los datos personales por las organizaciones, para defender los individuos de manera eficaz y rectificar la asimetría creciente con las organizaciones.
La hora es a la innovación en las modalidades para la preservación de los principios. Con eso, tengo ganas de oír sus comentarios y preguntas.
Correos electrónicos no solicitados y cualquier otra información enviada a Dentons no serán consideradas como confidenciales, puede ser revelada a otros, puede que no obtenga una respuesta, y no crean una relación abogado-cliente. Si usted no es cliente de Dentons, por favor no nos envíe ninguna información confidencial.
Esta biografía está disponible sólo en inglés. Por favor, haga clic en continuar abajo para ver la biografía en inglés o en cancelar para permanecer en esta página.
Usted va a ser redirigido de la web de Dentons a la web $redirectingsite. Para proceder, por favor haga click en Aceptar.
Usted va a ser redirigido de la web de Dentons a la web Beijing Dacheng Law Offices, LLP. Para proceder, por favor haga click en Aceptar.