Los derechos de datos colectivos pueden evitar que las grandes tecnologías eliminen la privacidad

ilustración conceptual

Franziska Barczyk





Cada persona comprometida con el mundo en red crea constantemente ríos de datos. Hacemos esto de formas de las que somos conscientes y de formas de las que no lo somos. Las corporaciones están ansiosas por aprovechar.

Tomemos, por ejemplo, NumberEight, una startup que, según cableado , ayuda a las aplicaciones a inferir la actividad de los usuarios en función de los datos de los sensores de un teléfono inteligente: ya sea que estén corriendo o sentados, cerca de un parque o museo, conduciendo o viajando en tren. Los nuevos servicios basados ​​en dicha tecnología combinarán lo que saben sobre la actividad de un usuario en sus propias aplicaciones con información sobre lo que están haciendo físicamente en ese momento. Con esta información, en lugar de crear un perfil dirigido, por ejemplo, a mujeres mayores de 35 años, un servicio podría orientar los anuncios a los 'mañaneros'.

Tales ambiciones están muy extendidas. Como este artículo reciente de Harvard Business Review pone La mayoría de los directores ejecutivos reconocen que la inteligencia artificial tiene el potencial de cambiar por completo la forma en que funcionan las organizaciones. Pueden imaginar un futuro en el que, por ejemplo, los minoristas entreguen productos individualizados antes de que los clientes los soliciten, tal vez el mismo día en que se fabrican esos productos. A medida que las corporaciones usen la IA en dominios cada vez más distintos, predice el artículo, sus capacidades de IA se combinarán rápidamente y descubrirán que el futuro que imaginaron está realmente más cerca de lo que parecía.



Incluso hoy, y mucho menos en un futuro así, la tecnología puede eliminar por completo la privacidad. Elaborar leyes y políticas para evitar que lo haga es una tarea vital para los gobiernos. Mientras la administración Biden y el Congreso contemplan la legislación federal sobre privacidad, no deben sucumbir a una falacia común. Las leyes que protegen la privacidad de los datos de las personas no son solo para proteger a las personas. También tienen que ver con la protección de nuestros derechos como miembros de grupos, como parte de la sociedad en su conjunto.

El daño a cualquier individuo en un grupo que resulte de una violación de los derechos de privacidad puede ser relativamente pequeño o difícil de precisar, pero el daño al grupo como un todo puede ser profundo. Digamos que Amazon usa sus datos sobre el comportamiento del consumidor para determinar qué productos vale la pena copiar y luego socava a los fabricantes de los productos que vende. como zapatos o bolsas de cámara . Aunque el daño inmediato es para el zapatero o el fabricante de bolsos para cámaras, el daño a más largo plazo y, en última instancia, más duradero, es para los consumidores, a quienes se les roban a largo plazo las opciones que surgen de realizar transacciones en un entorno verdaderamente abierto y equitativo. mercado. Y mientras que el zapatero o el fabricante de bolsos para cámaras pueden intentar emprender acciones legales, es mucho más difícil para los consumidores demostrar cómo les perjudican las prácticas de Amazon.

Este puede ser un concepto difícil de entender. Las demandas colectivas, en las que muchas personas se unen aunque cada una haya sufrido solo un pequeño daño, son una buena analogía conceptual. Las grandes empresas de tecnología entienden los beneficios comerciales que pueden derivar del análisis de datos de grupos mientras protegen superficialmente los datos de individuos a través de técnicas matemáticas como la privacidad diferencial. Pero los reguladores siguen centrándose en proteger a las personas o, en el mejor de los casos, a las clases protegidas, como las personas de determinados géneros, edades, etnias u orientaciones sexuales.



Si un algoritmo discrimina a las personas clasificándolas en grupos que no pertenecen a estas clases protegidas, las leyes contra la discriminación no se aplican en los Estados Unidos. (Las técnicas de creación de perfiles como las que usa Facebook para ayudar a los modelos de aprendizaje automático a clasificar a los usuarios probablemente sean ilegales según las leyes de protección de datos de la Unión Europea, pero esto aún no se ha litigado). Muchas personas ni siquiera sabrán que fueron perfiladas o discriminadas, lo que hace que difícil emprender acciones legales. Ya no sienten la injusticia, la injusticia de primera mano, y eso históricamente ha sido una condición previa para presentar un reclamo.

Es hora de una Declaración de derechos de datos Mientras el Senado de EE. UU. debate un nuevo proyecto de ley, un experto en gobierno de datos presenta un plan para proteger la libertad en la era digital.

Individuos no debería tener que luchar por sus derechos de privacidad de datos y ser responsable de todas las consecuencias de sus acciones digitales. Piense en una analogía: las personas tienen derecho al agua potable, pero no se les insta a ejercer ese derecho comprobando la calidad del agua con una pipeta cada vez que toman un trago del grifo. En cambio, las agencias reguladoras actúan en nombre de todos para garantizar que toda nuestra agua sea segura. Lo mismo debe hacerse con la privacidad digital: no es algo que el usuario promedio sea, o se deba esperar que sea, personalmente competente para proteger.

Hay dos enfoques paralelos que deben seguirse para proteger al público.



Uno es un mejor uso de las acciones de clase o de grupo, también conocidas como acciones de reparación colectiva. Históricamente, estos han sido limitados en Europa, pero en noviembre de 2020 el parlamento europeo pasó una medida que requiere que los 27 estados miembros de la UE implementen medidas que permitan acciones de reparación colectiva en toda la región. En comparación con los EE. UU., la UE tiene leyes más estrictas que protegen los datos de los consumidores y promueven la competencia, por lo que las demandas colectivas o grupales en Europa pueden ser una herramienta poderosa para que los abogados y activistas obliguen a las grandes empresas tecnológicas a cambiar su comportamiento, incluso en los casos en los que el personal los daños a la persona serían muy bajos.

Las demandas colectivas se han utilizado con mayor frecuencia en los EE. UU. para buscar daños financieros, pero también se pueden utilizar para forzar cambios en la política y la práctica. Pueden trabajar de la mano con campañas para cambiar la opinión pública, especialmente en casos de consumidores (por ejemplo, obligando a las grandes tabacaleras a admitir el vínculo entre fumar y el cáncer, o allanando el camino para las leyes sobre el uso del cinturón de seguridad). Son herramientas poderosas cuando hay miles, si no millones, de daños individuales similares, que se suman para ayudar a probar la causalidad. Parte del problema es obtener la información correcta para demandar en primer lugar. Esfuerzos del gobierno, como una demanda presentada contra Facebook en diciembre por el Comisión Federal de Comercio (FTC) y un grupo de 46 estados , son cruciales. Como lo expresa el periodista tecnológico Gilad Edelman, según las demandas, la erosión de la privacidad del usuario a lo largo del tiempo es una forma de daño al consumidor—una red social que protege menos los datos del usuario es un producto inferior—que lleva a Facebook de un mero monopolio a un uno ilegal En los Estados Unidos, como el New York Times reportado recientemente , las demandas privadas, incluidas las demandas colectivas, a menudo se basan en pruebas descubiertas por las investigaciones del gobierno. En la UE, sin embargo, es al revés: las demandas privadas pueden abrir la posibilidad de una acción regulatoria, que está restringida por la brecha entre las leyes de toda la UE y los reguladores nacionales.

Lo que nos lleva al segundo enfoque: una ley francesa poco conocida de 2016 llamada Digital Republic Bill. El Proyecto de Ley de la República Digital es una de las pocas leyes modernas centradas en la toma de decisiones automatizada. Actualmente, la ley se aplica solo a las decisiones administrativas tomadas por los sistemas algorítmicos del sector público. Pero proporciona un esbozo de cómo podrían ser las leyes futuras. Dice que el código fuente detrás de tales sistemas debe estar disponible para el público. Cualquiera puede solicitar ese código.



Es importante destacar que la ley permite que las organizaciones de defensa soliciten información sobre el funcionamiento de un algoritmo y el código fuente detrás de él, incluso si no representan a un individuo o reclamante específico que supuestamente está perjudicado. La necesidad de encontrar un demandante perfecto que pueda probar el daño para presentar una demanda hace que sea muy difícil abordar los problemas sistémicos que causan daños a los datos colectivos. Laure Lucchesi, directora de Etalab, una oficina del gobierno francés a cargo de supervisar el proyecto de ley, dice que el enfoque de la ley en la responsabilidad algorítmica se adelantó a su tiempo. Otras leyes, como el Reglamento General Europeo de Protección de Datos (RGPD), se centran demasiado en el consentimiento individual y la privacidad. Pero tanto los datos como los algoritmos necesitan ser regulados.

La necesidad de encontrar un demandante perfecto que pueda probar el daño para presentar una demanda hace que sea muy difícil abordar los problemas sistémicos que causan daños a los datos colectivos.

manzana promesas en un anuncio: en este momento, hay más información privada en su teléfono que en su hogar. Tus ubicaciones, tus mensajes, tu frecuencia cardíaca después de una carrera. Estas son cosas privadas. Y deberían pertenecerte. Apple está reforzando la falacia de este individualista: al no mencionar que su teléfono almacena más que solo sus datos personales, la compañía ofusca el hecho de que los datos realmente valiosos provienen de sus interacciones con sus proveedores de servicios y otros. La idea de que su teléfono es el equivalente digital de su archivador es una ilusión conveniente. Las empresas en realidad se preocupan poco por sus datos personales; por eso pueden pretender encerrarlo en una caja. El valor radica en las inferencias extraídas de sus interacciones, que también se almacenan en su teléfono, pero esos datos no le pertenecen.

La adquisición de Fitbit por parte de Google es otro ejemplo. Google promete no utilizar los datos de Fitbit para publicidad, pero las predicciones lucrativas que necesita Google no dependen de los datos individuales. Como argumenta un grupo de economistas europeos d en un artículo reciente publicado por el Centro de Investigación de Políticas Económicas, un grupo de expertos en Londres, es suficiente que Google correlacione los resultados de salud agregados con los resultados no relacionados con la salud incluso para un subconjunto de usuarios de Fitbit que no optaron por no participar en algunos el uso de sus datos, para luego predecir los resultados de salud (y, por lo tanto, las posibilidades de orientación de anuncios) para todos los usuarios que no son de Fitbit (miles de millones de ellos). El acuerdo Google-Fitbit es esencialmente un acuerdo de datos grupales. Posiciona a Google en un mercado clave para los datos de salud al tiempo que le permite triangular diferentes conjuntos de datos y ganar dinero a partir de las inferencias utilizadas por los mercados de salud y seguros.

Lo que deben hacer los políticos

Los proyectos de ley han buscado llenar este vacío en los Estados Unidos. En 2019, los senadores Cory Booker y Ron Wyden introdujeron una Ley de responsabilidad algorítmica , que posteriormente se estancó en el Congreso. La ley habría requerido que las empresas realizaran evaluaciones de impacto algorítmicas en ciertas situaciones para verificar si hay sesgo o discriminación. Pero en los EE. UU., es más probable que este tema crucial se aborde primero en las leyes que se aplican a sectores específicos, como la atención médica, donde el peligro del sesgo algorítmico se ha magnificado por los impactos dispares de la pandemia en los grupos de población de los EE. UU.

A finales de enero, el Ley de privacidad de emergencia de salud pública fue presentado de nuevo al Senado y la Cámara de Representantes por los senadores Mark Warner y Richard Blumenthal. Esta ley garantizaría que los datos recopilados con fines de salud pública no se utilicen para ningún otro fin. Prohibiría el uso de datos de salud para fines discriminatorios, no relacionados o intrusivos, incluida la publicidad comercial, el comercio electrónico o los esfuerzos para controlar el acceso al empleo, las finanzas, los seguros, la vivienda o la educación. Este sería un gran comienzo. Yendo más allá, una ley que se aplique a toda la toma de decisiones algorítmica debería, inspirada en el ejemplo francés, centrarse en la rendición de cuentas estricta, una fuerte supervisión regulatoria de la toma de decisiones basada en datos y la capacidad de auditar e inspeccionar las decisiones algorítmicas y su impacto en la sociedad.

Se necesitan tres elementos para garantizar una rendición de cuentas estricta: (1) transparencia clara sobre dónde y cuándo se toman las decisiones automatizadas y cómo afectan a las personas y los grupos, (2) el derecho del público a ofrecer aportes significativos y pedir a las autoridades que justifiquen sus decisiones y (3) la capacidad de imponer sanciones. De manera crucial, los formuladores de políticas deberán decidir, como se ha sugerido recientemente en la UE, qué constituye un algoritmo de alto riesgo que debe cumplir con un estándar de escrutinio más alto.


Transparencia clara

El enfoque debe estar en el escrutinio público de la toma de decisiones automatizada y los tipos de transparencia que conducen a la rendición de cuentas. Esto incluye revelar la existencia de algoritmos, su propósito y los datos de entrenamiento detrás de ellos, así como sus impactos, si han llevado a resultados dispares y en qué grupos si es así.

Participación pública

El público tiene el derecho fundamental de recurrir a los que están en el poder para justificar sus decisiones. Este derecho a exigir respuestas no debe limitarse a la participación consultiva, donde se pide a la gente su opinión y los funcionarios siguen adelante. Debe incluir una participación empoderada, en la que se exija el aporte público antes de la implementación de algoritmos de alto riesgo tanto en el sector público como en el privado.

Sanciones

Finalmente, el poder de sancionar es clave para que estas reformas tengan éxito y para que se logre la rendición de cuentas. Debería ser obligatorio establecer requisitos de auditoría para la focalización, verificación y curación de datos, para equipar a los auditores con este conocimiento básico y empoderar a los órganos de supervisión para aplicar sanciones, no solo para remediar el daño después del hecho, sino también para prevenirlo.


El problema de los daños colectivos basados ​​en datos afecta a todos. Una Ley de Privacidad de Emergencia de Salud Pública es un primer paso. Luego, el Congreso debería usar las lecciones de la implementación de esa ley para desarrollar leyes que se centren específicamente en los derechos de datos colectivos. Solo a través de esa acción, EE. UU. puede evitar situaciones en las que las inferencias extraídas de los datos que recopilan las empresas acosan la capacidad de las personas para acceder a vivienda, empleo, crédito y otras oportunidades en los años venideros.

esconder