Hace un tiempo, un twitter de @ricardmm (quien todavía no lo sigue, está perdiendo el tiempo leyendo este post) me puso sobre la pista del proyecto de, en una traducción de andar por casa, lo que podríamos llamar «la LOPD yankee«. Concretamente, se hacía mención a un artículo de Wired donde el Sen. Al Franken daba a conocer el documento de trabajo «Consumer Data Privacy in a Networked World«, que pego a continuación: privacy-final

Por cierto, me parece maravilloso que un cómico satírico pueda llegar a Senador de un País y que, además, sea «Chairman of the Senate Judiciary Subcommittee on Privacy, Technology and the Law» y lo digo, de verdad, con profunda admiración.

El documento analizado pretende dar respuesta a la actual situación en materia de protección de datos en Estados Unidos que, como el mismo texto reconoce, está falto de unas claras normas aplicables a las empresas.

Cuatro son los elementos claves desarrollados por el texto:

  1. La definición de los derechos de los consumidores en materia de privacidad;
  2. La llamada a participar a todos los interesados (empresas, consumidores, mundo académico, etc.).
  3. Las modalidades para la aplicación efectiva de las normas;
  4. Las medidas de cooperación con los interlocutores internacionales.
De momento, me limitaré a una mera descripción de los derechos en materia de protección de datos, intentado una comparación con la homóloga normativa española.
Para los que no estamos familiarizados con el sistema estadounidense, llama la atención la admisión del relator (es decir, la misma Casa Blanca) según la cual «incluso si el Congreso impidiera que pasara este texto, el mismo por lo menos servirá como plantilla para una protección de datos que incrementará la confianza de los consumidores en Internet y favorecerá la innovación» (pág. 2). Es decir, preparan un proyecto de ley en una materia tan transcendente y, si no se convierte en Ley, esperan que sea el mismo mercado que la adopte como estándar general en la materia. Esto sí que es confianza en las bondades del mercado.
Volviendo a la definición de los principios en materia de privacidad, el primero es el denominado «Individual Control«, que se sustancia en el derecho de los consumidores a ejercer el control sobre los datos personales que las empresas recopilan y saber cómo y para qué finalidades se usan los mismos. En su actual redacción, el «Individual Control» puede ser equiparado a nuestro derecho de acceso, sobre todo cuando se habla de informar al interesado sobre la extensión, el alcance y la sensibilidad de los datos recabados.
En todo caso, también se hace expresa mención al deber que incumbe a las empresas de poner a disposición de los interesados un sistema que permita a éstos prestar conscientemente su consentimiento, tanto sobre el alcance de los datos recabados, como su uso y posibles cesiones. Lo que no queda muy claro es «cuándo» la empresa debe asumir este obligo de permitir el «Individual Control«.
De hecho, para determinar el «cuándo», el texto se limita a decir «at times … that enable consumers meaningful decisions about personal data collection…«. Y digo yo: ¿no hubiera sido más sencillo decir: «antes de recabar los datos«?
También es muy interesante la referencia a las «terceras partes» (también se les llama «data brokers«), que son aquellas empresas que recaban datos personales, metiéndose en el medio, en la relación entre una empresa y su propio cliente. Es el caso, por ejemplo, de las empresas que elaboran perfiles de visitantes de páginas Web, a través de cookies. Éstas, además, ayudan en la definición de los objetivos de la behavioural advertising (en castellano: Publicidad Comportamental). Para el correcto despliegue del «Individual Control«, estas terceras partes deberán ofrecer la elección a los interesados sobre qué datos consienten recopilar y para qué fines (amen de saber exactamente quién recaba estos datos). El texto reconoce la dificultades para los data brokers de hacer efectivo este derecho de acceso, pero también les invita a que busquen «innovative ways to provide consumers with effective Individual Control«. Que es como decir: buscaos la vida, pero el cliente debe saber quién sois y qué hacéis con sus datos.
Una última consideración sobre el «Individual Control» es sobre la retirada del consentimiento por parte del interesado. En este aspecto, existen 3 límites prácticos para retirar el consentimiento:
  1. Mientras exista una relación entre la empresa recolectora de datos y el interesado, no tiene sentido la retirada del consentimento (o eso dicen ahí).
  2. La retirada del consentimiento sólo afecta a los datos que están en poder de la empresa recolectora (y no a los datos que ésta a cedido a terceros: ¡qué barbaridad!).
  3. Lo más interesante: el «Individual Control» no podrá aplicarse a las empresas que hayan recabado datos personales antes de la entrada en vigor (u adhesión voluntaria, en su caso) del «Consumer Privacy Bill of Rights«.
Estas diferencias abismales con nuestro derecho de acceso (y cancelación, porque la figura del Individual Control es muy amplia) no encajan perfectamente en nuestra visión europea de la protección de datos. Sin embargo, explican claramente dónde el legislador estadounidense quiere poner el accento.