Los derechos de datos colectivos pueden evitar que las grandes tecnologías destruyan la privacidad

Individuos no debería tener que luchar por sus derechos de privacidad de datos y ser responsable de todas las consecuencias de sus acciones digitales. Considere una analogía: las personas tienen derecho al agua potable, pero no se les insta a ejercer ese derecho comprobando la calidad del agua con una pipeta cada vez que beben en el grifo. En cambio, las agencias reguladoras actúan en nombre de todos para garantizar que toda nuestra agua sea segura. Se debe hacer lo mismo con la privacidad digital: no es algo que el usuario promedio sea, o se deba esperar que sea, personalmente competente para proteger.

Hay dos enfoques paralelos que deben aplicarse para proteger al público.

Una es un mejor uso de las acciones de clase o de grupo, también conocidas como acciones de reparación colectiva. Históricamente, estos han sido limitados en Europa, pero en noviembre de 2020 el parlamento europeo pasó una medida que requiere que los 27 estados miembros de la UE implementen medidas que permitan acciones de reparación colectiva en toda la región. En comparación con los EE. UU., La UE tiene leyes más estrictas que protegen los datos del consumidor y promueven la competencia, por lo que las demandas colectivas o colectivas en Europa pueden ser una herramienta poderosa para que los abogados y activistas obliguen a las grandes empresas de tecnología a cambiar su comportamiento incluso en los casos en que el per- los daños personales serían muy bajos.

Las demandas colectivas se han utilizado con mayor frecuencia en los EE. UU. Para buscar daños financieros, pero también pueden usarse para forzar cambios en la política y la práctica. Pueden trabajar de la mano con campañas para cambiar la opinión pública, especialmente en casos de consumidores (por ejemplo, obligando a las grandes tabacaleras a admitir el vínculo entre fumar y el cáncer, o allanando el camino para las leyes sobre el uso del cinturón de seguridad). Son herramientas poderosas cuando hay miles, si no millones, de daños individuales similares, que se suman para ayudar a probar la causalidad. Parte del problema es obtener la información correcta para demandar en primer lugar. Los esfuerzos del gobierno, como una demanda presentada contra Facebook en diciembre por el Comisión Federal de Comercio (FTC) y un grupo de 46 estados

, son cruciales. Como dice el periodista de tecnología Gilad Edelman, “De acuerdo con las demandas, la erosión de la privacidad del usuario a lo largo del tiempo es una forma de daño al consumidor (una red social que protege menos los datos del usuario es un producto inferior), lo que inclina a Facebook de un mero monopolio a uno ilegal “. En los Estados Unidos, como el New York Times reportado recientemente, las demandas privadas, incluidas las acciones colectivas, a menudo “se basan en pruebas descubiertas por las investigaciones del gobierno”. En la UE, sin embargo, es al revés: las demandas privadas pueden abrir la posibilidad de una acción reguladora, que está limitada por la brecha entre las leyes de la UE y los reguladores nacionales.

Lo que nos lleva al segundo enfoque: una ley francesa de 2016 poco conocida llamada Digital Republic Bill. La Proyecto de ley de la República Digital es una de las pocas leyes modernas centradas en la toma de decisiones automatizada. Actualmente, la ley se aplica solo a las decisiones administrativas tomadas por sistemas algorítmicos del sector público. Pero proporciona un esbozo de cómo podrían ser las leyes futuras. Dice que el código fuente detrás de tales sistemas debe estar disponible para el público. Cualquiera puede solicitar ese código.

Es importante destacar que la ley permite a las organizaciones de defensa solicitar información sobre el funcionamiento de un algoritmo y el código fuente detrás de él, incluso si no representan a un individuo o reclamante específico que supuestamente está dañado. La necesidad de encontrar un “demandante perfecto” que pueda probar el daño para presentar una demanda hace que sea muy difícil abordar los problemas sistémicos que causan daños a los datos colectivos. Laure Lucchesi, directora de Etalab, una oficina del gobierno francés a cargo de supervisar el proyecto de ley, dice que el enfoque de la ley en la responsabilidad algorítmica se adelantó a su tiempo. Otras leyes, como el Reglamento general europeo de protección de datos (RGPD), se centran demasiado en el consentimiento y la privacidad individuales. Pero tanto los datos como los algoritmos deben regularse.

La necesidad de encontrar un “demandante perfecto” que pueda probar el daño para presentar una demanda hace que sea muy difícil abordar los problemas sistémicos que causan daños a los datos colectivos.

manzana promete en un anuncio: “En este momento, hay más información privada en su teléfono que en su hogar. Tus ubicaciones, tus mensajes, tu frecuencia cardíaca después de una carrera. Son cosas privadas. Y deberían pertenecerle “. Apple está reforzando la falacia de este individualista: al no mencionar que su teléfono almacena más que solo sus datos personales, la compañía oculta el hecho de que los datos realmente valiosos provienen de sus interacciones con sus proveedores de servicios y otros. La noción de que su teléfono es el equivalente digital de su archivador es una ilusión conveniente. En realidad, las empresas se preocupan poco por sus datos personales; por eso pueden fingir que lo guardan en una caja. El valor radica en las inferencias extraídas de sus interacciones, que también se almacenan en su teléfono, pero esos datos no le pertenecen.

La adquisición de Fitbit por parte de Google es otro ejemplo. Google promete “no utilizar los datos de Fitbit para publicidad”, pero las lucrativas predicciones que necesita Google no dependen de los datos individuales. Como argumenta un grupo de economistas europeos

En un artículo reciente publicado por el Centro de Investigación de Políticas Económicas, un grupo de expertos en Londres, “es suficiente que Google correlacione los resultados de salud agregados con los resultados no relacionados con la salud incluso para un subconjunto de usuarios de Fitbit que no optaron por cierto uso del uso de sus datos, para luego predecir los resultados de salud (y, por lo tanto, las posibilidades de orientación de anuncios) para todos los usuarios que no son de Fitbit (miles de millones de ellos) “. El acuerdo entre Google y Fitbit es esencialmente un acuerdo de datos grupales. Posiciona a Google en un mercado clave para los datos de salud al tiempo que le permite triangular diferentes conjuntos de datos y ganar dinero con las inferencias utilizadas por los mercados de salud y seguros.

Qué deben hacer los legisladores

Los proyectos de ley han buscado llenar este vacío en los Estados Unidos. En 2019, los senadores Cory Booker y Ron Wyden presentaron una Ley de responsabilidad algorítmica, que posteriormente se estancó en el Congreso. La ley habría requerido que las empresas llevaran a cabo evaluaciones de impacto algorítmicas en ciertas situaciones para verificar si hay sesgos o discriminación. Pero en los EE. UU., Es más probable que este tema crucial se aborde primero en las leyes que se aplican a sectores específicos como el cuidado de la salud, donde el peligro de sesgo algorítmico se ha magnificado por los impactos dispares de la pandemia en los grupos de población de EE. UU.

A finales de enero, el Ley de privacidad de emergencia de salud pública fue reintroducido en el Senado y la Cámara de Representantes por los senadores Mark Warner y Richard Blumenthal. Esta ley garantizaría que los datos recopilados con fines de salud pública no se utilicen para ningún otro propósito. Prohibiría el uso de datos de salud con fines discriminatorios, no relacionados o intrusivos, incluida la publicidad comercial, el comercio electrónico o los esfuerzos para controlar el acceso al empleo, las finanzas, los seguros, la vivienda o la educación. Este sería un gran comienzo. Yendo más allá, una ley que se aplica a toda la toma de decisiones algorítmicas debería, inspirada en el ejemplo francés, centrarse en la responsabilidad estricta, una fuerte supervisión regulatoria de la toma de decisiones basada en datos y la capacidad de auditar e inspeccionar las decisiones algorítmicas y su impacto en la sociedad.

Se necesitan tres elementos para garantizar una estricta rendición de cuentas: (1) transparencia clara sobre dónde y cuándo se toman las decisiones automatizadas y cómo afectan a las personas y grupos, (2) el derecho del público a ofrecer aportes significativos y pedir a las autoridades que justifiquen sus decisiones y (3) la capacidad de hacer cumplir las sanciones. Fundamentalmente, los responsables de la formulación de políticas deberán decidir, como se ha sugerido recientemente en la UE, qué constituye un algoritmo de “alto riesgo” que debe cumplir con un estándar de escrutinio más alto.


Transparencia clara

La atención debe centrarse en el escrutinio público de la toma de decisiones automatizada y los tipos de transparencia que conducen a la rendición de cuentas. Esto incluye revelar la existencia de algoritmos, su propósito y los datos de entrenamiento detrás de ellos, así como sus impactos, si han llevado a resultados dispares y en qué grupos, de ser así.

Participación pública

El público tiene el derecho fundamental de pedir a los que están en el poder que justifiquen sus decisiones. Este “derecho a exigir respuestas” no debe limitarse a la participación consultiva, en la que se pide a la gente su opinión y los funcionarios avanzan. Debería incluir una participación empoderada, donde la participación del público es obligatoria antes de la implementación de algoritmos de alto riesgo en los sectores público y privado.

Sanciones

Finalmente, el poder de sancionar es clave para que estas reformas tengan éxito y para que se logre la rendición de cuentas. Debería ser obligatorio establecer requisitos de auditoría para la focalización, verificación y curación de datos, para equipar a los auditores con este conocimiento básico y para facultar a los órganos de supervisión para hacer cumplir las sanciones, no solo para remediar el daño después del hecho, sino para prevenirlo.


El problema de los daños colectivos generados por datos afecta a todos. Una Ley de Privacidad de Emergencia de Salud Pública es un primer paso. Luego, el Congreso debería usar las lecciones de la implementación de esa ley para desarrollar leyes que se centren específicamente en los derechos colectivos de datos. Solo a través de esta acción, EE. UU. Puede evitar situaciones en las que las inferencias extraídas de los datos que recopilan las empresas atormentan la capacidad de las personas para acceder a viviendas, trabajos, crédito y otras oportunidades en los años venideros.

Leave a Reply

Your email address will not be published. Required fields are marked *