La EFF está decepcionada por el último borrador de la Ley de Protección de Datos de Estados Unidoso la ADPPA (H.R. 8152), un proyecto de ley federal de protección de datos. El proyecto de ley fue aprobado el miércoles por el comité de Energía y Comercio de la Cámara de Representantes de EE.UU. y se dirige al pleno de la Cámara.

Hemos seguido de cerca el progreso de este proyecto de ley y hemos observado atentamente el desarrollo de las negociaciones. El mes pasado, la EFF envió una carta pública al Congreso solicitando mejoras a una versión anterior de este proyecto de ley; muchas de estas sugerencias siguen en pie. A principios de esta semana se introdujeron muchos cambios en el proyecto de ley, y todavía estamos evaluando el nuevo lenguaje.

Tenemos tres objeciones iniciales a la versión que el comité aprobó esta semana. Antes de la votación en el pleno, instamos a la Cámara a corregir el proyecto de ley y a aprovechar esta oportunidad histórica para fortalecer -y no disminuir- el panorama de la privacidad en el país, ahora y en los años venideros.

El proyecto de ley aplasta las protecciones estatales existentes y las congela

El proyecto de ley anularía muchos tipos de leyes de privacidad estatales. Esto se llama a menudo "preemption". La EFF se opone a que se anulen las protecciones estatales de la privacidad para cumplir una norma federal más baja. Nos preocupó el voto del comité de esta semana en contra de la enmienda propuesta por la diputada Eshoo, que habría garantizado que el proyecto de ley sirviera como norma federal de referencia sobre la que los estados pudieran basarse, y no como un techo que los estados tuvieran prohibido superar. Muchos defensores se han opuesto durante mucho tiempo a la preponderancia y varios fiscales generales estatales dijeron recientemente al Congreso que el proyecto de ley, tal como está redactado, perjudica su capacidad de proteger al público.

La ley ADPPA no sólo anula las leyes estatales de privacidad de datos, como la Ley de Derechos de Privacidad del Consumidor de California. Al parecer, también hace retroceder las protecciones en otros ámbitos, incluso los derechos a la intimidad que los estados han considerado oportuno consagrar en sus constituciones estatales.  Según el texto del proyecto de ley actual, las normas estatales de privacidad en peligro incluyen las relativas a la información biométrica (aparte del reconocimiento facial), los datos genéticos, la privacidad de la banda ancha y los intermediarios de datos, o "entidades de recopilación de terceros", como los denomina la ADPPA. 

La cláusula de preferencia del proyecto de ley también significa que no se puede avanzar a nivel estatal en muchas cuestiones clave para los consumidores. Aunque es emocionante que el Congreso considere la posibilidad de legislar sobre la privacidad de los consumidores después de décadas de dar vueltas, la ADPPA, tal y como está redactada, impide a los estados innovar en estas cuestiones. Pero los estados han sido el motor del movimiento en materia de privacidad durante años. De hecho, los estados han sido durante mucho tiempo "laboratorios de la democracia."

La EFF quiere que el Congreso establezca una línea de base para la protección de la privacidad. Pero la ADPPA no debe privar a los Estados de la capacidad de reaccionar en el futuro ante problemas actuales e imprevistos.

El proyecto de ley da un paso atrás en la regulación federal de las telecomunicaciones

El proyecto de ley exime a las empresas de telecomunicaciones de cumplir con una importante ley federal de privacidad y obstaculiza su aplicación por parte de la Comisión Federal de Comunicaciones (FCC). Lo mismo ocurre con las leyes federales de privacidad existentes que ahora se aplican a la televisión por cable y por satélite. El precio de las nuevas protecciones de la privacidad no debería ser la eliminación de las antiguas.

Hace unos años, AT&T violó esta ley al revelar datos sensibles de localización de clientes sin su consentimiento (lo que llevó a una demanda de la EFF contra AT&T). Con la versión actual de la ADPPA, la FCC perdería la capacidad de hacer cumplir las disposiciones sobre privacidad de la Ley de Comunicaciones de 1934. En su lugar, la Comisión Federal de Comercio se encargaría de esta área de regulación bajo un conjunto diferente de normas. Aunque esto probablemente resulte atractivo para las empresas que sólo quieren tratar con un regulador de turno, la EFF insta a que se modifique la ADPPA para permitir que ambos reguladores apliquen sus respectivas normas de privacidad. El Congreso no debe sustraer a las empresas de telecomunicaciones del escrutinio de reguladores federales expertos con un profundo conocimiento del sector.

El proyecto de ley necesita derechos individuales más fuertes para defenderse

La EFF lleva mucho tiempo defendiendo que los proyectos de ley sobre la privacidad de los datos deben incluir fuertes derechos de acción privados, que permitan a la gente el demandar a las compañías que violan su privacidad. Pero el derecho de acción privada de la ADPPA está plagado de excepciones y límites. Es necesario un fuerte derecho de acción privada para garantizar la aplicación efectiva de las leyes de privacidad. De lo contrario, el proyecto de ley carece de fuerza.

Varios estatutos de privacidad tienen derechos de acción privados. Si una empresa no controla los residuos tóxicos, usted espera, con razón, poder demandarlos por contaminar el agua potable. La privacidad de los datos de los consumidores no debería ser diferente en este sentido.

Muchas empresas odian los derechos de acción privada: no quieren verle la cara, un día, en los tribunales. Por eso han luchado contra ellos en las cámaras de los estados de costa a costa. Hemos oído informes de que con la versión actual de la ADPPA, algunos miembros del Congreso están tratando de llegar a un compromiso con los que representan los intereses empresariales. Pero, como grupo que defiende los intereses de los usuarios de tecnología y del público en general, la EFF busca numerosos cambios para asegurarse de que el derecho de acción privado sea viable para todos los perjudicados por las violaciones de la nueva ley por parte de las empresas. Hemos comunicado esas preocupaciones al Congreso. 

Por ejemplo, el Congreso debe proporcionar a los adultos protecciones contra los acuerdos de arbitraje previos a la disputa. AT&T evadió La demanda de la EFF sobre los datos de localización al aplicar un acuerdo de arbitraje que nuestros clientes nunca leyeron, porque AT&T enterró esta aguja en un pajar de letra pequeña. Así que la protección contra el arbitraje forzoso es fundamental para nuestro enfoque de la legislación sobre la privacidad de los datos. Aunque la versión actual de la ADPPA protege a los menores del arbitraje forzoso, y protege a los adultos que presentan reclamaciones por violencia de género, esto es lamentablemente inadecuado. 

El proyecto de ley también debería permitir a las personas presentar una demanda tan pronto como entre en vigor; actualmente tiene un retraso de dos años. Además, el proyecto de ley deniega los litigios privados en lo que respecta a muchas de las protecciones fundamentales del proyecto de ley, como la minimización de datos, la transparencia algorítmica y los mecanismos de exclusión voluntaria unificados. 

La gente también debería poder recuperar los daños liquidados y los daños punitivos. Además, el proyecto de ley tiene una serie de obstáculos procesales innecesarios y perturbadores antes de que una demanda pueda seguir adelante, incluidos los requisitos para que los consumidores den un aviso previo, sigan pasos inusuales y permitan a las empresas el derecho a arreglar los problemas para eludir las sanciones. Las demandas individuales son importantes, pero a menudo requieren que la gente reúna primero recursos sustanciales; cada obstáculo adicional hace que este recurso sea menos accesible. 

Nuevas  e importantes lagunas

También nos preocupan las enmiendas recientemente aceptadas al proyecto de ley que abordan los flujos de datos entre empresas como Clearview AI o ID.me y el gobierno. En concreto, el proyecto de ley puede tratar a estas empresas como "proveedores de servicios" -definidos en la ADPPA como empresas que recogen o procesan información para entidades gubernamentales- y da a estas empresas mucha más libertad de acción de la que debería.

La EFF ha sacado a la luz las formas en que estas sociedades público-privadas  filtran datos y violan la privacidad, y ha pedido repetidas veces que la legislación en materia de privacidad aborde estas relaciones. La ADPPA no debe darles rienda suelta. 

La EFF insta al Congreso a reforzar la ADPPA. Las personas cuya privacidad intentamos proteger no merecen menos. Somos conscientes de que la legislación requiere compromisos, y que lo perfecto no debe ser enemigo de lo bueno. Pero los legisladores no deben desaprovechar esta oportunidad aprobando algo insuficiente que además impida el progreso en los próximos años.

Related Issues