La policía de privacidad de la FTC toma medidas enérgicas

El trabajo de la Comisión Federal de Comercio de EE. UU. Es proteger a los consumidores de prácticas comerciales engañosas e injustas. Y últimamente, engañoso e injusto ha comenzado a sonar como una buena descripción del trato que los consumidores encuentran en Internet.





Defensor del consumidor: David Vladeck de la FTC ha presentado casos contra Google y Facebook por violaciones a la privacidad.

Las redes sociales y los anunciantes recopilan grandes cantidades de información a medida que las personas navegan por la Web. Sin embargo, pocos consumidores comprenden, o incluso leen, los complejos acuerdos de privacidad que firman. Es más, algunas empresas de Internet también las ignoran rotundamente.

Recientemente, la FTC de 1.100 empleados ha estado tratando de controlar el comportamiento corporativo con respecto a la información personal en línea de las personas. Durante los últimos dos años, ha impuesto multas a corredores de datos como Spokeo y presentó casos de alto perfil contra Facebook y Google por violar las promesas de privacidad que las empresas hicieron a cientos de millones de consumidores.



La comisión ha actuado con dureza. Pero su autoridad es fundamentalmente limitada. Funciona a partir de leyes, como la Ley de informes crediticios justos de 1970, que se aprobaron antes de que los anunciantes pudieran rastrear lo que navegamos en línea y antes de que los teléfonos inteligentes pudieran identificar nuestras ubicaciones. La FTC cree que se necesitan nuevas protecciones al consumidor más amplias.

La agencia ha estado negociando con empresas de Internet sobre un estándar voluntario conocido como Do Not Track. La idea es dar a los consumidores la posibilidad de optar por no ser seguidos en la Web mientras navegan (y que las empresas hagan promesas de privacidad que la FTC puede hacer cumplir). En marzo, los cinco comisionados de la FTC fueron más allá y pidieron al Congreso que aprobara una nueva legislación básica sobre privacidad y seguridad de datos que establezca las responsabilidades de las empresas que recopilan datos personales en línea o fuera de ella.

David Vladeck, ex profesor de derecho y litigante durante mucho tiempo del grupo de vigilancia del consumidor Public Citizen, se convirtió en director de la Oficina de Protección al Consumidor de la FTC en 2009. La semana pasada, habló con Revisión de tecnología la editora de negocios Jessica Leber.



NIÑOS : ¿Cuáles son los riesgos para los consumidores en línea?

Vladeck: Hay varios. Hemos visto una migración de fraudes tradicionales a Internet. Solo en los últimos 18 meses, cerramos tres estafas en Internet que estafaron a los consumidores con casi mil millones de dólares. Otro es la privacidad. La FTC quiere asegurarse de que los consumidores tengan control sobre su información personal y tengan formas fáciles, efectivas y persistentes de ejercer ese control. En tercer lugar, nos preocupan los ataques maliciosos (malware, spyware, spam) que amenazan con afectar la utilidad y seguridad de Internet.

Ha presentado casos importantes contra Facebook y Google y les exige que se sometan a auditorías cada dos años hasta 2032. ¿Cuál es la importancia de esos casos?



Estos son ejemplos de acciones de cumplimiento que llevamos a cabo para garantizar que las empresas cumplan las promesas que hacen a los consumidores sobre la privacidad. Creo que el compromiso que han hecho Google y Facebook es realmente importante. Los auditores entrarán y se asegurarán de que realmente están cumpliendo con los compromisos establecidos en su política de privacidad. Las auditorías están diseñadas para garantizar que las empresas incorporen la privacidad en cada paso de la oferta de un producto o servicio. Esto va a requerir un gasto de mucho dinero y mucho tiempo para las empresas que no empezaron a hacer las cosas de esta manera. Y creo que es justo decir que ni Facebook ni Google lo hicieron.

Deben regresar y reconstruir su negocio de una manera que tenga en cuenta la privacidad. Creo que estas son señales importantes para la industria. Estos son los niños más grandes de la cuadra.

Llegó a la FTC con el deseo de cambiar su enfoque de la privacidad. ¿Cual fue el problema?



Nuestro marco de privacidad se desarrolló principalmente antes de la llegada de Internet. Eso comenzó a deteriorarse ya que Internet se convirtió en el principal medio de comunicación. Las empresas desarrollarían políticas de privacidad. Serían difíciles de encontrar en Internet. Fueron redactados por abogados como yo, que utilizamos políticas de privacidad no solo para hablar sobre cómo se utilizarían y recopilarían los datos, sino también para eximirse de responsabilidad y para abordar cada jota y título que la empresa podría querer abordar.

Cuando llegué aquí, creo que había una sensación compartida de que el paradigma que había servido en un mundo de papel no se estaba traduciendo muy bien a un mundo más digital. Hemos estado tratando de cambiar ese paradigma para depender menos de avisos de privacidad incomprensibles y dar a los consumidores el control sobre sus datos.

¿Es por eso que la FTC ha pedido al Congreso que apruebe nuevas leyes de privacidad?

Hemos solicitado la acción del Congreso en dos esferas. Uno es la seguridad de los datos. Parte de la privacidad es mantener la seguridad de los datos. Vemos, una y otra vez, empresas que se aferran a información realmente sensible y no toman precauciones razonables para proteger esos datos. Queremos que el Congreso nos dé la autoridad para imponer sanciones civiles a las empresas que no respeten su obligación de proteger la información del consumidor. Más recientemente, hemos instado al Congreso a promulgar una legislación de privacidad básica. Podemos impulsar las protecciones de privacidad básicas a través de la educación pública, la formulación de políticas y el cumplimiento. Pero la legislación básica sobre privacidad nos brindaría una herramienta más amplia. También haría un mejor trabajo al nivelar el campo de juego para que las empresas que respetan la privacidad no estén en desventaja en el mercado.

Mientras tanto, su agencia recomendado que las empresas de Internet adopten voluntariamente una política de No rastrear. ¿Y si no es así?

Esperamos que la industria, los fabricantes de navegadores y los anunciantes se sienten y propongan un régimen de No rastrear que cumpla con los marcadores que hemos establecido. Creo que si no lo hacen, es muy probable que el Congreso imponga esto por sí solo.

¿Cómo podemos confiar en que las empresas cumplirán con Do Not Track si es voluntario?

Creemos que si una empresa asume ese compromiso y lo viola, podremos detectarlo y eso dará lugar a un caso de ejecución. Tenemos la autoridad para básicamente hacer que las personas cumplan sus promesas sobre privacidad. Contamos con tecnólogos en el personal que nos aseguran que ya hay formas disponibles para que nosotros y otros podamos detectar el rastreo, sin importar cuán sofisticadas sean.

¿Es por eso que ha estado contratando personal de expertos en tecnología?

No creo que podamos ser una agencia de ejecución eficaz a menos que tengamos la capacidad tecnológica para detectar y probar en los tribunales que hay infracciones. Hace aproximadamente dos años, comenzamos a construir el primer laboratorio móvil forense, para observar dispositivos móviles. Nuestra preocupación es que estamos viendo que tanto las violaciones de la privacidad como el fraude migran a los teléfonos inteligentes. Y queríamos tener la capacidad no solo de averiguar lo que estaban sucediendo, sino también de capturar pruebas en tiempo real que luego pudiéramos usar en un procedimiento judicial. Probamos , por ejemplo, que una empresa de aplicaciones para niños estaba recopilando datos de geolocalización de niños sin obtener el consentimiento de los padres.

Pero hay muchos desafíos. Existe un software estándar que puede usar para realizar capturas de evidencia para computadoras normales. Por el momento, en los dispositivos móviles no hay ninguno que capture el tipo de evidencia amplia que necesitamos. Por tanto, hemos tenido que ser ingeniosos a la hora de montar nuestro laboratorio.

¿El laboratorio forense vigila las aplicaciones en general o se centra en las investigaciones?

Estamos haciendo investigaciones, de las que no les vamos a contar aquí mismo. Un ejemplo que le da una idea del trabajo: hicimos un informe en aplicaciones para niños hace unos tres meses. Probablemente probamos 500 o 600 aplicaciones.

¿Qué preguntas de privacidad móvil cree que serán importantes en el futuro cercano?

Como saben, la gente en el extranjero ahora usa sus teléfonos inteligentes como billetera. Esa tecnología está llegando a los EE. UU. Y muy rápidamente. Obviamente, es una gran comodidad para los consumidores, pero existen serios problemas de privacidad y seguridad. También celebramos una gran conferencia en mayo sobre lo que llamamos divulgaciones de las puntocom. Es decir, ¿cómo puede hacer divulgaciones [de privacidad] efectivas en su teléfono inteligente dado el tamaño reducido de la propiedad inmobiliaria?

[Nota del editor: La FTC ha aclarado que no descargó ni probó las aplicaciones para niños. Como se describe en su informe, estudió las divulgaciones de privacidad y las descripciones de esas aplicaciones.]

esconder