En septiembre de 2018, la Administración Nacional de Telecomunicaciones e Información (NTIA) invitó a los comentarios públicos sobre su enfoque propuesto para la privacidad del consumidor. La solicitud, en nombre del Departamento de Comercio de Estados Unidos, era para que se comentaran las formas de avanzar en la privacidad de los consumidores, protegiendo al mismo tiempo la prosperidad y la innovación. Hasta el 13 de noviembre, la solicitud de comentarios había generado una avalancha de valiosos comentarios de empresas, asociaciones y otros contribuyentes de todo el país, 217 de los cuales están publicados en el sitio web de la Administración.
La Administración señala que los individuos interactúan diariamente con una amplia gama de productos y servicios en línea. En la mayoría de los casos, estos productos y servicios requieren la recogida, el almacenamiento y el tratamiento de los datos personales de los usuarios. Los usuarios están "obligados" a confiar en que las organizaciones tratarán la información que comparten con respeto. Los individuos también quieren saber qué ocurre con su información personal y decidir si se sienten cómodos compartiendo estos datos.
Un número creciente de países extranjeros, y algunos estados de EE.UU., han articulado -y en algunos casos, aplicado plenamente- sus propias soluciones específicas para abordar la privacidad de los datos, por ejemplo, el Reglamento General de Protección de Datos (RGPD) de la UE. La NTIA describe esta situación como:
"lo que conduce a un panorama normativo fragmentado a nivel nacional y mundial. Esta fragmentación desincentiva naturalmente la innovación al aumentar los costes regulatorios de los productos que requieren escala."
La NTIA ha declarado que "espera articular una visión renovada, que reduzca la fragmentación a nivel nacional y aumente la armonización e interoperabilidad a nivel nacional y mundial".
El enfoque de la NTIA sobre la privacidad del consumidor se basa en:
-
Un conjunto de resultados de privacidad centrados en el usuario que apuntalan las protecciones que deberían producirse por cualquier acción federal sobre la política de privacidad del consumidor, y
-
un conjunto de objetivos de alto nivel que describen las líneas generales del ecosistema que debe crearse para proporcionar esas protecciones.
La Administración subrayó que el RFC no pedía la creación de una norma legal. En cambio, pidió a los comentaristas que respondieran con la forma en que creen que se pueden lograr estos resultados y objetivos de privacidad. Se espera que los comentarios recibidos "ayuden a informar la política, las acciones y el compromiso futuros de la Administración en materia de privacidad de los consumidores".
Resultados de la privacidad (abreviado)
"El resultado deseado es un usuario razonablemente informado, facultado para expresar de manera significativa sus preferencias de privacidad, así como productos y servicios que están diseñados intrínsecamente con protecciones de privacidad adecuadas".
La Administración propone que los resultados en materia de privacidad se apliquen sobre la base de un enfoque de gestión de riesgos. Uno que permita a las organizaciones la flexibilidad y la innovación que necesitan para lograr estos resultados.
En su documento RFC de 4 páginas, la NTIA declaró que los siguientes resultados de privacidad (abreviados) deben leerse como "un conjunto de aportaciones para construir mejores protecciones de la privacidad en los productos y servicios" - no como el texto propuesto de una norma legal.
-
Transparencia
Los usuarios deben poder entender fácilmente cómo una organización recoge, almacena, utiliza y comparte su información personal. La transparencia puede conseguirse por varios medios. Las organizaciones deben tener en cuenta la forma en que el usuario medio interactúa con un producto o servicio, y maximizar la intuición de cómo transmite la información a los usuarios.
-
Controlar
Los usuarios deben poder ejercer un control razonable sobre la recogida, el uso, el almacenamiento y la divulgación de la información personal que proporcionan a las organizaciones. Sin embargo, qué controles ofrecer, cuándo ofrecerlos y cómo ofrecerlos debería depender del contexto, teniendo en cuenta factores como las expectativas del usuario y la sensibilidad de la información.
-
Minimización razonable
La recopilación, la duración del almacenamiento, el uso y el intercambio de datos por parte de las organizaciones debe minimizarse de una manera y en una medida que sea razonable y adecuada al contexto y al riesgo de daño a la privacidad. Otros medios para reducir el riesgo de daño a la privacidad (por ejemplo, salvaguardias de seguridad adicionales o técnicas de mejora de la privacidad) pueden ayudar a reducir la necesidad de dicha minimización.
-
Seguridad
Las organizaciones que recogen, almacenan, utilizan o comparten información personal deben emplear salvaguardas de seguridad para proteger estos datos. Los usuarios deben poder esperar que sus datos estén protegidos contra la pérdida y el acceso no autorizado, la destrucción, el uso, la modificación y la divulgación. Además, las organizaciones deben adoptar medidas de seguridad razonables y adecuadas al nivel de riesgo asociado a la pérdida o el acceso indebido a los datos personales recogidos;
-
Acceso y corrección
Los usuarios deben tener un acceso cualificado a los datos personales que han proporcionado, y a rectificar, completar, modificar o eliminar estos datos. Este acceso y la capacidad de rectificación deben ser razonables, dado el contexto del flujo de datos, adecuados al riesgo de daño a la privacidad, y no deben interferir con las obligaciones legales de una organización, o con la capacidad de los consumidores y de terceros de ejercer otros derechos previstos en la Constitución, y en la legislación y reglamentación de Estados Unidos.
-
Gestión de riesgos
Los usuarios deben esperar que las organizaciones tomen medidas para gestionar y/o mitigar el riesgo de usos perjudiciales o de exposición de los datos personales. La gestión del riesgo es el núcleo del enfoque de esta Administración, ya que proporciona la flexibilidad necesaria para fomentar la innovación en los modelos de negocio y las herramientas de privacidad, al tiempo que se centra en los posibles daños a los consumidores y maximiza los resultados en materia de privacidad.
-
Rendición de cuentas
Las organizaciones deben rendir cuentas externamente y dentro de sus propios procesos por el uso de la información personal recopilada, mantenida y utilizada en sus sistemas. Como se describe más adelante en la sección Objetivos de alto nivel para la acción federal, la responsabilidad externa debe estructurarse para incentivar los enfoques basados en el riesgo y los resultados dentro de las organizaciones que permiten la flexibilidad, fomentan la privacidad por diseño y se centran en los resultados de la privacidad.
En la segunda parte, analizamos los objetivos propuestos por la NTIA para la acción federal y examinamos algunas de las respuestas a la RFC, por parte de los gigantes tecnológicos, las asociaciones comerciales y otros.
Fuentes y créditos: NTIA RFC Privacidad del consumidor Documento RFC de la NTIA: