Por Colin J. Bennett
La lucha transatlántica desde hace treinta años por la privacidad y la protección de la información está alcanzando en la actualidad unos niveles de estridencia muy elevados, como resultado del intento de armonizar las leyes de protección de datos mediante la Regulación de Protección de Datos propuesta por la Unión Europea (UE). La presión de los intereses comerciales estadounidenses ha sido intensa, a la par que la respuesta igualmente convincente de los defensores de la privacidad. Las tensiones reflejan un nuevo reconocimiento por la importancia central de las leyes de privacidad en la economía digital global. A diferencia de hace veinte años, cuando se gestó la Directiva de Protección de Datos inicial de la UE, actualmente estas batallas son tanto económicas como sobre derechos.
Estados Unidos ahora es la única democracia industrial avanzada que no ha aprobado un estatuto de protección de datos generalizado equivalente al modelo europeo y que se aplique a todo el sector privado. El enfoque estadounidense ha sido gradual, inconexo, reactivo y totalmente consistente con un estilo de política pluralista y un marco constitucional fragmentado. El sistema político estadounidense tiende a no hacer muy bien regulaciones generales y anticipadas y quizás nunca lo pretendiera.
Estas diferencias, durante muchos años, han motivado una retórica muy defensiva de los comentaristas estadounidenses, ideada para convencer a los extranjeros de que su protección de datos es más sana y efectiva de lo que se suele pintar. El mensaje parece reducirse a ‘lo hacemos de manera distinta, pero igual de bien’. Si el resto del mundo entendiera el sistema de gobierno estadounidense -su estructura legal, su Constitución, su cultura-, lo entendería.
Llevo impartiendo clases de política estadounidense en Canadá veinte años y también he investigado la política de privacidad desde una perspectiva histórica y comparativa. Quiero destacar estos argumentos defensivos y someterlos a un escrutinio crítico. ¿Tienen algún mérito o son tan solo un vago intento por camuflar un régimen que, como el Emperador en el famoso cuento de Hans Christian Andersen, está prácticamente desnudo?
Argumento No. 1: Nosotros inventamos la idea; ¡no enseñéis a los estadounidenses privacidad!
Una cosa está garantizada: ponerse en la piel de los expertos en privacidad estadounidenses es aseverar que un régimen general de protección de datos personales, en realidad, significa un compromiso más firme por la privacidad. A principios de año, la misión estadounidense ante la UE publicó un documento que trataba ciertos ‘mitos’ sobre la privacidad de datos en EEUU. El mito número uno: ‘Estados Unidos se preocupa menos por la privacidad que la Unión Europea’. Y la respuesta: «Estados Unidos se basaba -y sus leyes actuales, regulaciones y prácticas lo reflejan- en la creencia firme en la importancia de proteger a los ciudadanos de la intrusión del gobierno. Nuestro documento legal más importante -nuestra Constitución- puso en marcha, hace más de 200 años, una Declaración de Derechos que ofrecía protección ante investigaciones e intromisiones irrazonables y eso continua protegiendo la privacidad en la actualidad, incluida la protección de las comunicaciones electrónicas»[1].
Las clases de Ciencia Política condescendientes y las afirmaciones implacables y cuestionables de que Warren y Brandeis inventaron el derecho moderno a la privacidad carecen de algunos puntos fundamentales. Se pueden hacer llamadas a la tradición, a la cultura y a la historia igual de persuasivas para apoyar los compromisos de otros países por la privacidad y ninguno de estos estereotipos dicen mucho de cómo se valora y se cumple con la privacidad en la actualidad.
Argumento No. 2: Algunas prácticas toleradas en Europa nunca serían aceptadas por los estadounidenses
También se afirma que las prácticas que históricamente han prevalecido en otros países nunca serían toleradas en EEUU. En la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad de 2007 en Montreal, el entonces Secretario del Departamento de Sanidad y Servicios Humanos, Michael Chertoff, declaró que si los estadounidenses se vieran obligados a llevar un carnet nacional de identidad «sus cabezas explotarían». También se suelen quejar de la práctica de escanear sus pasaportes cuando se registran en algún hotel europeo.
Sacar conclusiones sobre actitudes culturales generales hacia la privacidad en base a una anécdota es una iniciativa inherentemente arriesgada. Hay prácticas de vigilancia igual de intrusivas predominantes en EEUU que harían ‘explotar las cabezas’ de los europeos; el uso contemporáneo de datos personales sensibles por marketing político es un buen ejemplo[2]. Todos deberíamos mostrarnos escépticos ante cualquier afirmación de que la tradición histórica y las ‘principales creencias’ influyen en la protección de la privacidad en la economía digital moderna.
Argumento No. 3: Tenemos miles de leyes sobre privacidad; todas llevan a lo mismo
Estados Unidos, efectivamente, ha aprobado miles de leyes relacionadas con la protección de datos personales, tanto a nivel estatal como federal, todas las cuales se han aprobado generalmente de manera reactiva en respuesta al escándalo del día.
El derecho constitucional y de responsabilidad civil también ha desempeñado un papel importante en el régimen. Este enfoque ‘sectorial’ de la legislación fue una decisión de política explícita, basada en la suposición de que las relaciones particulares que necesitaban protección en un campo eran distintas a las otras: protección no es salud, no es crédito al consumo, no es banca, y así sucesivamente.
Los problemas con este enfoque han sido evidentes durante algún tiempo. En primer lugar, hay algunos vacíos enormes en cobertura, incluida la amplia mayoría de servicios B2C en línea. En segundo lugar, las fronteras entre los distintos sectores se han vuelto extremadamente difusas, sobre todo, como resultado del comercio on line. Y en tercer lugar, es extraordinariamente difícil actualizar cada uno de estos estatutos en respuesta a los desarrollos tecnológicos. El panorama de protección de la privacidad estadounidense era y sigue siendo «fragmentado, incompleto y discontinuo»[3].
Argumento No. 4: Algunas de nuestras leyes son mucho más firmes
Este argumento selecciona aquellas provisiones en las que ciertamente la ley de privacidad estadounidense ofrece una protección más sólida que en Europa. Por ejemplo, en algunos Estados al menos, las leyes de notificación de filtración de datos pueden ser mucho más severas que en países con leyes de protección de datos más generales. Tras las revelaciones de Snowden sobre la vigilancia de la NSA, se ha argumentado que EEUU realiza un mejor trabajo protegiendo la información del acceso de los cuerpos de seguridad a los datos de telecomunicaciones mediante su sistema de ‘vigilancia a capas'[4].
No hay duda de que cualquier jurista podría encontrar otras disposiciones aisladas en la ley estadounidense que se comparan muy favorablemente con sus homólogas de otros lugares, pero la letra negra de la ley no dice nada de cómo se cumple o pone en práctica ni del acceso de los cuerpos de seguridad al tráfico de datos; uno tiene que preguntarse si las comparaciones realmente importan tanto, cuando la mayoría de los proveedores de servicios de nube se están en EEUU.
Argumento No. 5: Nuestras multas son mayores
Bajo su autoridad para ejecutar prácticas comerciales ‘injustas y engañosas’, la Comisión Federal de Comercio (FTC) ha estado imponiendo recientemente sanciones severas por infracciones a la privacidad. La mayor (22,5 millones de dólares) fue interpuesta contra Google en 2012 por violar las configuraciones de privacidad en el navegador Safari de Apple. Ahora existen varias órdenes y acuerdos contra una serie de empresas, desde 2002, pero que aumentan notablemente en frecuencia y severidad en los últimos años[5].
Estas multas son un potente incentivo para el cumplimiento. No pasan desapercibidas porque afectan a la reputación corporativa de manera que otras acciones de cumplimiento no lo hacen y generalmente, estas multas son significativamente más elevadas que las recaudadas en Europa. En algunos países, Canadá por ejemplo, el Comisionado de Privacidad ni si quiera tiene una autoridad sancionadora independiente, pero también encontramos algunas advertencias. Primero, tiene que haber pruebas de injusticia y engaño, no un simple incumplimiento de la política. En segundo lugar, la FTC no desempeña un papel activo a la hora de investigar las quejas del consumidor, ni tampoco dedica los recursos exhaustivos necesarios para una investigación activa y la auditoría del cumplimiento.
Conclusiones
En resumen, el panorama incompleto y fragmentado de la privacidad en EEUU es menos una cuestión de valores culturales o de imperativos constitucionales que la presión de los intereses comerciales sobre un Congreso fragmentado y el uso de un sistema de financiación política permisivo. Este sistema ha permitido un importante mercado de datos personales, no tolerado en ninguna otra parte y un conjunto de actores corporativos que no quieren ceder su ventaja económica en aras de la privacidad.
Como otros investigadores, por tanto, prefiero el enfoque más general. Estoy de acuerdo con Joel Reidenberg en que el enfoque europeo tiende a anteponer a los ciudadanos, a las desviaciones de mercado correctas, a incentivar las buenas prácticas empresariales y a proporcionar una rectificación y una perspectiva independiente[6]. En Europa, como en Canadá, sabes a quién acudir si experimentas una invasión de privacidad: la agencia de protección de datos independiente. Por mucha ‘vigilancia a capas’ que haya en Estados Unidos, el consumidor estadounidense no posee tal claridad ni recurso.
Así que creo que deberíamos ser muy escépticos ante el argumento de que «Estados Unidos y la Unión Europea están unidos en nuestros valores comunes concernientes a la importancia fundamental de la protección de la privacidad y nuestro compromiso profundamente arraigado por continuar salvaguardando estos valores en la era digital»[7]. La verdadera lucha no es sobre cultura y valores; es sobre poder. Por mucho estereotipo cultural o análisis legal que se haga, no se puede enmascarar el hecho de que el Emperador, aunque esté menos desnudo que antes, no está, ni mucho menos, tan bien vestido como sus homólogos en otros lugares.
Traducción: Belén Moser-Rothschild Criado
Notas
[1] Data Privacy: Five Myths about the US Legal System (véase: http://useu.usmission.gov/data_privacy.html).
[2] Bennett, C. J. (2013, 5 de agosto). The politics of privacy and the privacy of politics: parties, elections and voter surveillance in Western democracies. First Monday, 18(8).
[3] Gellman, B. (1993). Fragmented, Incomplete, and Discontinuous: The Failure of Federal Privacy Regulatory Proposals and Institutions. VI Software Law Journal, 199.
[4] Data Privacy: Five Myths about the US Legal System (véase: http://useu.usmission.gov/data_privacy.html).
[5] Véase: http://www.ftc.gov/opa/reporter/privacy/privacypromises.shtml
[6] Should the U.S. adopt European style Data Protection? (Wall Street Journal, 10 de marzo de 2013). Disponible en: http://online.wsj.com/news/articles/SB10001424127887324338604578328393797127094
[7] Data Privacy: Five Myths about the US Legal System. Disponible en: http://useu.usmission.gov/data_privacy.html
Artículo extraído del nº 97 de la revista en papel Telos
Comentarios