Las empresas a menudo promocionan su cumplimiento con los estándares de la industria. Estoy seguro de que ha visto los logotipos, sellos y declaraciones de "Protección de privacidad". Como a nosotros y a la FTC se nos recordó hace unos meses, esa etiqueta no significa que se cumplieron los criterios inicialmente, mucho menos años después, cuando finalmente se somete a revisión gubernamental.
Alastair Mactaggart, un activista que ayudó a promover la Ley de Privacidad del Consumidor de California (CCPA), ha amenazado con una iniciativa de votación que permite a las empresas certificar voluntariamente el cumplimiento de CCPA 2.0 a la agencia aún no formada. Si bien ese tipo de publicidad parece una obviedad para las empresas que buscan mantenerse competitivas en un mercado que valora la privacidad y la seguridad, ¿lo es realmente? Dejando a un lado las consideraciones comerciales, ¿existe una obligación moral de cumplir con todas las leyes de privacidad existentes, y es una empresa poco ética para confiar en las exenciones de dichas leyes?
Rechazo la noción de que el cumplimiento de la ley y la moral son lo mismo, o que uno denota al otro. En realidad, es una decisión matizada basada en el costo, la base de clientes, la tolerancia al riesgo y otros factores. Además, otorgar al cumplimiento voluntario la apariencia de confianza o altruismo adicional es realmente perjudicial para los consumidores porque nuestro sistema actual no permite una supervisión efectiva u oportuna y el tipo de remedios disponibles después del hecho no abordan los daños reales sufridos.
No es poco ético confiar en una exención
El cumplimiento no está vinculado a la moral.
En el fondo hay un análisis de costos y un análisis matizado. Las leyes de privacidad, por mucho que los legisladores quieran creer lo contrario, no son en blanco y negro en su implementación. No toda la recopilación de datos no regulada es nefasta y no todas las empresas que cumplen (voluntariamente o no) son puramente altruistas. Si bien las multas tienen un costo financiero, la recopilación de datos es una fuente de ingresos para muchos debido al conocimiento y las percepciones obtenidas de grandes almacenes de datos variados, y la necesidad de otras empresas de acceder a esos datos.
Equilibran el costo de construir sistemas y procesos conformes y enmendar los acuerdos existentes con a menudo miles de proveedores de servicios con la pérdida del negocio de no poder proporcionar esos servicios a los consumidores cubiertos por esas leyes.
También está la cuestión de aplicable leyes Cumplir con una ley puede interferir o disminuir las protecciones ofrecidas por las leyes que sigue que lo eximen en primer lugar, por ejemplo, cuando una ley le prohíbe compartir cierta información por motivos de seguridad y otra requeriría que la divulgue y haga tanto los datos como la persona menos segura.
El cumplimiento estricto también permite a las empresas descansar en sus laureles mientras se aprovecha de una reputación de privacidad. La ley es el estándar mínimo, mi entras que la ética pretende prescribir el máximo. Cumplir, incluso con una ley inaplicable, es literalmente lo menos que la empresa puede hacer. También los coloca en una posición para no tomar decisiones adicionales o innovar porque ya han hecho más de lo esperado. Esto es particularmente cierto con las leyes basadas en la tecnología, donde la legislación a menudo va a la zaga de la industria y sus capacidades.
Además, quién decide qué es ético varía según el tiempo, la cultura y la dinámica del poder. Cumplir con la estricta letra de una ley destinada a abarcar a todos no tiene en cuenta que las empresas de diferentes industrias utilizan los datos de manera diferente. Las empresas están tratando de encajar en un marco sin siquiera responder a la pregunta de qué marco deben cumplir voluntariamente. Te puedo escuchar ahora: "¡Eso es fácil! El que tiene el estándar de colección más alto / más fuerte / más estricto ”. Todos estos son adjetivos que se lanzan cuando se habla de una ley federal de privacidad. Sin embargo, "más alto", "más" y "más fuerte" son todos subjetivos y no viven en el vacío, especialmente si los estados comienzan a salir con su propio mosaico de leyes de privacidad.
Estoy seguro de que hay personas que dicen que Massachusetts, que prohíbe que una empresa brinde detalles a un consumidor afectado, ofrece la "mayor" protección para el consumidor, mientras que hay un campamento que cree que proporciona la mayor cantidad de información detallada posible, como California y su plantilla de muestra: proporciona la "mayor" protección. ¿Quién tiene la razón? Esto ni siquiera tiene en cuenta que la recopilación de datos puede ocurrir en varios estados. En esos casos, ¿qué ley cubriría a ese individuo?
Las agencias gubernamentales actualmente no pueden proporcionar supervisión suficiente
La aplicación de una certificación en su sitio web que sabe que no cumple ha sido tratada como una práctica injusta y engañosa por la FTC. Sin embargo, la FTC generalmente no tiene autoridad de multas en una violación por primera vez. Y si bien puede obligar a las empresas a compensar a los consumidores, los daños pueden ser muy difíciles de calcular.
Desafortunadamente, los daños por violaciones de privacidad son aún más difíciles de probar en la corte; los fondos que se obtienen van desproporcionadamente a un abogado
Esto coloca a la FTC en una posición de negociación más débil para obtener resultados con el menor gasto posible, particularmente porque la FTC solo puede hacer tanto: tiene jurisdicción limitada y ningún control sobre bancos o organizaciones sin fines de lucro. Hacer eco Comisionado Noah Phillips, esto no cambiará sin una ley federal de privacidad que establezca límites claros sobre el uso de datos y daños y le otorgue a la FTC un mayor poder para hacer cumplir estos límites en los litigios.
Finalmente, además de estas restricciones legales, la FTC no cuenta con personal suficiente, con aproximadamente 40 miembros del personal a tiempo completo dedicado a proteger la privacidad de más de 320 millones de estadounidenses. Para vigilar adecuadamente la privacidad, la FTC necesita más abogados, más investigadores, más tecnólogos y herramientas tecnológicas de vanguardia. De lo contrario, continuará financiando ciertas investigaciones a costa de faltar personal a otras.
Es posible que la supervisión de la subcontratación a una empresa privada no funcione mejor, por el simple hecho de que dicha certificación tendrá un precio alto (especialmente al principio), dejando a las empresas medianas y pequeñas en desventaja competitiva. Además, a diferencia de los profesionales de la privacidad y el equipo legal de una empresa, es más probable que una empresa de certificación cumpla con el cumplimiento de la ley, poniendo forma sobre la sustancia, en lugar de abordar los matices de los modelos de uso de datos de una empresa en particular.
Los remedios existentes no abordan los daños al consumidor
Digamos que una agencia tiene una acción de cumplimiento, los tipos de poderes de penalización que esas agencias tienen actualmente no abordan adecuadamente el daño al consumidor. Esto se debe principalmente a que el cumplimiento de una legislación de privacidad no es un interruptor de encendido y apagado y el régimen actual se centra más en la restitución financiera.
Incluso cuando hay acciones prescritas para cumplir con la ley, ese cumplimiento lleva años y no aborda las ramificaciones del uso histórico de datos no conformes.
Toma la CNIL aviso formal contra Vectuary por no recopilar el consentimiento informado y afirmativo. Vectuary recopiló datos de geolocalización de usuarios de aplicaciones móviles para proporcionar servicios de marketing a minoristas utilizando una plataforma de gestión de consentimiento que desarrolló implementando el Marco de Transparencia y Consentimiento IAB (una asociación autorreguladora). Este aviso garantiza una atención particular porque Vectuary seguía una directriz de asociación comercial establecida y, sin embargo, su consentimiento se consideró inválido.
Como resultado, CNIL notificó a Vectuary para dejar de procesar datos de esta manera y eliminar los datos recopilados durante ese período. Y si bien esto puede contarse como una victoria porque la decisión obligó a la empresa a reconstruir sus sistemas: ¿cuántas empresas tendrían el presupuesto para hacerlo si no tuvieran los recursos para cumplir en primer lugar? Además, esto llevará tiempo, entonces, ¿qué pasa con su modelo de negocios mientras tanto? ¿Pueden seguir sin cumplir, en teoría hasta que se cumpla el plazo establecido por la agencia para el cumplimiento? Incluso si se eliminan los datos subyacentes, ninguna de las partes con las que compartieron los datos o las inferencias que construyeron sobre ellos se vieron afectadas.
El agua es aún más turbia cuando examina los remedios para la falsa certificación de Privacy Shield. Un logotipo de Privacy Shield en el sitio de una empresa dice esencialmente que la empresa cree que sus transferencias de datos transfronterizas están adecuadamente protegidas y las transferencias se limitan a las partes que la empresa cree que tienen prácticas de datos responsables. Por lo tanto, si se descubre que una empresa ha realizado falsamente esas representaciones subyacentes (o no ha cumplido con otro requisito), tendrían que dejar de realizar esas transferencias y si eso es parte de cómo se prestan sus servicios, ¿simplemente tienen que dejar de proporcionar esos servicios a sus clientes de inmediato?
En la práctica, parece que elegir no cumplir con una ley que de otra manera sería inaplicable no es una cuestión de no preocuparse por sus clientes o por fallas morales, es literalmente "no cómo funciona nada", ni hay ningún beneficio adicional para el consumidor al intentar a los consumidores, ¿y no es eso lo que cuenta al final?
Las opiniones expresadas en este artículo son las de la autora y no de su firma, inversores, clientes u otros.