Artículos

Ha llegado la hora de crear una constitución que proteja nuestros datos

Es el verano de 2023 y Raquel se ha quedado sin dinero. Una noche, sentada en un bar, mientras mira anuncios de trabajo en su teléfono, recibe un mensaje. Unos investigadores que realizan un estudio sobre la función hepática han obtenido su nombre a través del plan de fidelización de clientes del bar. Ella se había inscrito para obtener un descuento de happy hour en nachos. Los investigadores le ofrecen 50 euros a la semana para acceder a su cadena de datos médicos en su teléfono y a su cuenta del bar durante los próximos tres meses.

Al principio, a le molesta la intrusión. Pero necesita el dinero, así que asiente con la cabeza a su teléfono, un sutil pero claro gesto de asentimiento que se considera legalmente válido como una firma, y ​​vuelve a sus nachos y a su búsqueda de empleo.

ero a medida que avanza el verano, Raquel empieza notar que la rechazan en muchos trabajos mientras que sus amigas, una tras otra, eligen las ofertas que quieren. Resulta que Raquel no leyó la letra pequeña: sin que ella lo supiera, algunos datos del estudio de aquella investigación, junto con su historial de compra de alcohol llegaron a una de las dos agencias de empleo dominantes en el mercado. Cualquier empleador que compara su solicitud con esa agencia podía ver que Raquel había sido clasificada como “deprimida inestable”. No es de extrañar que no logre conseguir un trabajo. Pero incluso si descubriera que ha sido perfilada de esta manera, ¿qué opciones tendría?

Un día en la vida

Si está leyendo esto, lo más probable es que, como Raquel, usted haya generado una enorme cantidad de datos en el día de hoy. Habrá comprado algo o leído algo en internet, o lleva una pulsera que monitoriza su actividad física, o simplemente ha ido a algún lugar con su en el telefono en el bolsillo. Seguro que usted creó a propósito algunos, pero gran parte de ellos fueron generados por sus acciones sin su conocimiento, y mucho menos el consentimiento.

La explosión de datos de las últimas décadas ha llevado a algunos reformistas a gritar: “¡Tú eres dueño de tus datos!”. El profesor de la Universidad de Chicago (EE.UU.) Eric Posner, el investigador de Microsoft Research Eric Weyl y el gurú de la realidad virtual Jaron Lanier, entre otros, defienden que los datos deben ser tratados como una propiedad. El fundador y jefe de Facebook, Mark Zuckerberg, también lo cree. La red social ahora dice que usted es “dueño de todos sus contactos y de la información que publica en Facebook” y “puede controlar cómo los mismos se comparten”. The Financial Times argumenta que “la parte clave de la solución está en otorgar a los consumidores la propiedad de sus propios datos personales”. En un discurso reciente, el CEO de Apple, Tim Cook, lo confirmaba diciendo que “las empresas deben reconocer que los datos pertenecen a los usuarios”.

Su argumentario sostiene que la “propiedad de los datos” es una forma defectuosa y contraproducente de pensar sobre los mismos. No solo no soluciona los problemas existentes; sino crea unos nuevos. En lugar de eso, necesitamos un marco que otorgue a las personas sus derechos para especificar cómo se pueden utilizar sus datos sin requerir que ellas mismas se apropien de ellos. El Data Care Act, el proyecto de ley sobre la protección de datos presentado el 12 de diciembre por el senador estadounidense demócrata de Hawái, Brian Schatz, es un buen primer paso en esta dirección (aunque dependerá de cómo evolucione su letra pequeña). Como dijo el senador demócrata de Alabama (EE.UU.) Doug Jones, que es uno de los copatrocinadores de este proyecto de ley: “El derecho a la privacidad y a la seguridad online debe ser un derecho fundamental”.La noción de “propiedad” es atractiva porque sugiere tener el poder y el control sobre nuestros datos. Pero poseer y “prestar” los datos es una mala analogía. El control sobre la forma en la que se utilizan los datos particulares es solo un problema entre muchos. Las preguntas reales están relacionadas con cómo los datos afectan a la sociedad y a los individuos. La historia de Raquel nos enseña por qué los derechos de los datos son importantes y cómo podrían proteger no solo a Raquel como persona, sino a la sociedad en general.

¿Qué pasará mañana?

Para entender por qué la propiedad de los datos es un concepto defectuoso, primero piense en este artículo que está leyendo. El mero hecho de abrirlo en un dispositivo electrónico ha generado datos: una entrada en el historial de su navegador, las cookies que la página web envió a su navegador, una entrada en el registro del servidor de la página web para registrar una visita desde su dirección IP. Es prácticamente imposible hacer algo en internet sin dejar una “huella digital”, da igual que sea leer, comprar o simplemente ir a algún lugar con un teléfono conectado a internet en el bolsillo. Estas huellas no pueden ser de propiedad privada como, por ejemplo, una bicicleta, al igual que tampoco lo son las huellas que dejamos en la arena.

Nuestros datos por sí mismos no son muy útiles para las empresas. Pero si se analizan conjuntamente con datos similares de miles de otras personas, alimentan los algoritmos y nos categorizan (por ejemplo, “fumador con un hábito de beber” o “corredor saludable, siempre puntual”). Si un algoritmo es injusto, si, por ejemplo, nos clasifica erróneamente como personas con problemas de salud porque fue entrenado con un conjunto de datos sesgados o simplemente representamos un valor atípico, entonces el hecho de “poseer” nuestros datos no hará que el algoritmo sea más justo. La única manera de evitar los impactos de un algoritmo sería no dar nunca a nadie el acceso a nuestros datos. Pero incluso si intentara acaparar los datos que le pertenecen, las corporaciones y los gobiernos con acceso a grandes cantidades de datos sobre otras personas podrían usar el resto de la información para hacer suposiciones sobre usted. Los datos no reflejan la realidad de forma neutra. La creación y el consumo de datos reflejan cómo se distribuye el poder en la sociedad.

Por supuesto, puede optar por mantener la privacidad de todos sus datos para evitar que se utilicen en su contra. Pero si sigue esa estrategia, puede terminar perdiendo los beneficios de dejar que sus datos a veces estén disponibles. Por ejemplo, cuando conduce, navega por la aplicación de su teléfono inteligente, comparte información anónima en tiempo real que luego se traduce en condiciones de tráfico precisas (por ejemplo, tardará 26 minutos en su coche yendo al trabajo esta mañana si sale a las 8:16 am). Esa información es individualmente privada (los extraños no pueden ver dónde está usted), pero acumulativamente, es un bien colectivo.

Este ejemplo muestra cómo los datos en conjunto pueden ser totalmente diferentes de los bits y bytes individuales que los componen. Incluso los argumentos bien intencionados sobre la propiedad de los datos suponen que, si controla bien sus datos personales, obtendrá buenos resultados sociales. Pero eso no es cierto.

Es por eso que muchos de los problemas sobre el uso injusto de los datos no se pueden resolver controlando quién tiene acceso a ellos. Por ejemplo, en ciertas jurisdicciones de EE. UU., los jueces utilizan un “nivel de riesgo” generado algorítmicamente al tomar decisiones sobre la fianza y la sentencia de un acusado. Estos programas de software predicen la probabilidad de que una persona cometa delitos en el futuro. Imagine que un algoritmo de este tipo predice que usted tiene un 99 % de posibilidades de cometer otro delito o de no acudir a una futura cita de libertad condicional porque las personas demográficamente similares a usted suelen ser reincidentes o no respetan los permisos condicionales. Esto puede ser injusto en su caso, pero usted no puede “ser dueño” de su perfil demográfico o de sus antecedentes penales ni negarse a que el sistema legal los vea. Incluso si niega el consentimiento para que se utilicen “sus” datos, una organización puede usar los datos sobre otras personas para realizar extrapolaciones estadísticas sobre usted. Este ejemplo hace hincapié en que los datos se refieren al poder: las personas acusadas o condenadas por delitos generalmente tienen menos poder que las que toman decisiones sobre fianzas y sentencias.

De manera similar, las soluciones para el uso indebido de los datos a menudo no abordan quién tiene acceso a ellos sino cómo y para qué se usan. Con la Ley de Atención Médica Asequible de Estados Unidos, por ejemplo, las compañías de seguros médicos no pueden negar o cobrar más por la cobertura solo porque alguien tiene una enfermedad. Pero el Gobierno no obliga a las compañías a deshacerse de esa información; sólo dice que deben ignorarla. Una persona no es “dueña” del hecho de padecer diabetes, pero debe tener el derecho de no ser discriminada por ello.

El “consentimiento” se menciona a menudo como un principio básico que debe respetarse con respecto al uso de los datos. Pero a falta de regulaciones que eviten que las compañías de seguros médicos usen los datos sobre las enfermedades, los usuarios individuales carecen de la capacidad de negar el consentimiento. Y eso es porque las compañías de seguros tienen más poder que ellos. El consentimiento, para decirlo sin rodeos, no funciona.

Los derechos de los datos deben proteger la privacidad y deben tener en cuenta que la privacidad no es un derecho reactivo para protegerse de la sociedad. Es una cuestión de libertad para desarrollo personal alejada de los negocios y del control gubernamental. Pero los derechos de los datos no solo tratan la privacidad. Al igual que otros derechos, como por ejemplo la libertad de expresión, los derechos de los datos se basan fundamentalmente en garantizar un espacio para la libertad individual mientras se participa en la sociedad moderna. Los detalles deben seguir los principios básicos, como en la Declaración de Derechos de Estados Unidos y la Constitución de España. Con demasiada frecuencia, los intentos de enunciar tales principios se bloquean con los “modelos de consentimiento de aceptación”, y pueden quedar obsoletos rápidamente.

Se necesitan principios claros y amplios a nivel global que se ajusten a los sistemas legales de cada país. En EE. UU., las disposiciones constitucionales existentes son insuficientes. Por ejemplo, es difícil argumentar que el seguimiento continuo y persistente de los movimientos de una persona en público es un registro (frisk). Y, sin embargo, la intrusión de ese tipo de vigilancia es comparable a un “registro infundado”. No debemos esperar que los tribunales hagan interpretaciones favorables del lenguaje del siglo XVIII aplicado a las tecnologías del siglo XXI.

Una Constitución de los Derechos de los Datos debería incluir derechos como estos:

  • No se debe violar el derecho de las personas a protegerse contra una vigilancia infundada.
  • No se podrá manipular el comportamiento de una persona de forma encubierta.
  • Ninguna persona será discriminada injustamente en función de los datos.

Por supuesto que éstas no son todas las disposiciones que necesitaría una ley duradera y efectiva. Podrían ser un comienzo y unos ejemplos claros y generales de lo que necesitaría un documento de ese tipo.

Para cambiar la situación para personas como Raquel, una Constitución de los Derechos de los Datos necesitaría un nuevo conjunto de instituciones e instrumentos legales para salvaguardar los derechos que establece. Lo estados deben proteger y delimitar esos derechos, que es lo que comenzó a hacer el Reglamento general de protección de datos (RGPD) de Europa de 2018. La nueva infraestructura de derechos de los datos debería ir más allá e incluir juntas, cooperativas de datos (que permitirían acción colectiva y abogar en nombre de los usuarios), esquemas de certificación de datos éticos, profesionales y auditores especializados en derechos de datos y representantes de los datos que actúan como fiduciarios para la sociedad en general, capaces de analizar los impactos tan complejos que los datos pueden tener en la vida.

Con un poco de ayuda de mis amigos

¿Cómo sería el futuro sin protección sobre los derechos de los datos? Volvamos a la inútil búsqueda de empleo de Raquel. Su clasificación como “deprimida inestable” puede ser correcta o no. Quizás el algoritmo haya cometido un error: Raquel podría ser una persona perfectamente sana y apta para trabajar. Pero a medida que los algoritmos mejoran y se alimentan de conjuntos de datos más grandes, cada vez es menos probable que sus conclusiones sean incorrectas. Aun así, ¿eso los haría más justos?

¿Y si Raquel estaba un poco deprimida? Un buen trabajo podría haberle ayudado a superar un episodio de depresión. Pero en cambio, su perfil se convierte rápido en una profecía autocumplida. Incapaz de conseguir un trabajo, se deprime y acaba siendo inestable.

Ahora pensemos en el dilema de Raquel en un mundo con una protección de datos efectiva. Ella acepta el estudio de la función hepática, pero mientras analiza los términos y condiciones, un representante de datos algorítmico señala un problema (funcionaría de forma parecida a como los controladores de acceso algorítmicos nos protegen contra los virus informáticos y el correo no deseado). Una vez se detecta el problema, se remite a un equipo de auditores que informan a la junta local de los derechos de los datos (en este futuro hipotético). El equipo analiza el algoritmo utilizado por el estudio y descubre el vínculo con el perfil de empleo. La junta determina que Raquel ha sido clasificada y que, gracias a una interpretación reciente de la Ley de Igualdad de Empleo y la Ley de Protección de Datos (aprobada en 2022), ese tipo de creación de perfil es claramente ilegal. Raquel no tiene que tomar medidas por sí misma; la junta sanciona a los investigadores por prácticas abusivas de datos.

El problema del conjunto

Como he explicado, la “propiedad de los datos” es un error de categoría con consecuencias perjudiciales: la realidad es que no podemos poseer la mayoría de nuestros datos, e incluso si pudiéramos, eso tampoco nos protegería de las prácticas injustas. Entonces, ¿por qué la idea de propiedad de los datos resulta tan popular?

La respuesta es que los expertos en políticas y los tecnólogos a menudo aceptan tácitamente el concepto del “capitalismo de los datos”. Consideran los datos como una fuente de capital (por ejemplo, Facebook usa datos sobre mí para mandarme anuncios) o como un producto de trabajo (por ejemplo, deberían pagarme por los datos que se producen sobre mí). Pero la realidad no es comparable con ninguna de estas cosas. Equiparar los datos con una bicicleta, petróleo o dinero no capta cómo han cambiado las relaciones entre los ciudadanos, los gobiernos y el sector privado en la era de los datos. Se necesita con urgencia un nuevo paradigma para comprender qué son los datos, y qué derechos están relacionados con ellos, si queremos forjar una política equitativa del siglo XXI.

Este paradigma podría ser útil para las analogías ambientales: pensar en los datos como en los gases de efecto invernadero u otras externalidades, donde pequeños trozos de contaminación, inofensivos individualmente, tienen desastrosas consecuencias a nivel colectivo. La mayoría de las personas valoran su propia privacidad, al igual que valoran la capacidad de respirar el aire puro. Cuando la privacidad se va erosionando poco a poco es difícil notarlo y hace poco daño, al igual que las pequeñas cantidades de dióxido de carbono son apenas detectables y no hacen daño al medio ambiente. Pero en conjunto, al igual que grandes cantidades de gases de efecto invernadero causan daños fundamentales al medio ambiente, un cambio masivo en la naturaleza de la privacidad causa daños fundamentales al tejido social.

Para entender este daño, necesitamos un nuevo paradigma que capte cómo una capa ambiental de datos cambia nuestras relaciones con la familia, amigos, compañeros de trabajo, clientes y ciudadanos. Este paradigma debe basarse en un entendimiento fundamental de que las personas tienen derecho a la información y que los gobiernos deben salvaguardar ese derecho.

Habrá retos en el camino. No será fácil desarrollar la infraestructura técnica ni la legal en torno a los derechos de los datos. Costará mucho llegar a un consenso sobre qué derechos existen. Y será aún más difícil implementar nuevas leyes y regulaciones para proteger esos derechos. Al igual que en el debate actual en el Congreso de EE. UU., los grupos de interés y los grupos de presión de la industria lucharán por los detalles importantes. Los acuerdos alcanzados en distintos países serán diferentes. Pero sin una fuerte y rotunda infraestructura de derechos de los datos, la sociedad democrática abierta no puede sobrevivir.

Fuente