El año pasado, , instando a los legisladores a proteger a las personas de las crecientes amenazas de las herramientas de rastreo de ubicación, herramientas que se utilizan cada vez más para perseguir y criminalizar a las personas que buscan atención médica reproductiva esencial.
¿La buena noticia? Los legisladores de , , y otros lugares están dando un paso al frente, liderando el camino para proteger la privacidad y garantizar que el acceso a la atención médica y el ejercicio de nuestros derechos sigan estando a salvo de la vigilancia invasiva.
Los peligros de los datos de localización
Imagina esto: sales de tu casa en Alabama, dejas a tus hijos en la guardería y luego cruzas la frontera estatal para visitar una clínica de abortos en Florida. Pasas dos horas allí antes de volver a casa. Durante el trayecto, utilizas la aplicación GPS de tu teléfono para navegar o una aplicación de radio gratuita para escuchar las noticias. Sin que tú lo supieras, esta aplicación «gratuita» rastreó toda tu ruta y la vendió a un broker de datos. Este broker trazó tu recorrido y lo puso a disposición de cualquiera que pagara por él. Esto es exactamente lo que ocurrió cuando los defensores de la privacidad utilizaron una herramienta llamada , desarrollada por Babel Street, para rastrear el dispositivo de una persona mientras viajaba desde Alabama, donde el aborto está totalmente prohibido, a Florida, donde el acceso al aborto está muy restringido, pero sigue estando disponible.
A pesar de que esta herramienta se comercializa como exclusiva para uso policial, los investigadores privados pudieron acceder a ella alegando falsamente que trabajarían con las fuerzas del orden, lo que pone de manifiesto una importante falla en nuestro sistema de privacidad de datos. En un momento en el que la va en aumento, el hecho de que las fuerzas del orden (y los adversarios que se hacen pasar por ellas) puedan acceder a estas herramientas pone en grave peligro nuestra privacidad personal.
El mercado no regulado de los datos de localización permite que cualquiera, desde las fuerzas del orden hasta los grupos antiabortistas, acceda y haga un uso indebido de esta información tan sensible. Por ejemplo, un corredor de datos llamado vendió datos de localización de personas que visitaban las clínicas de Planned Parenthood a un grupo antiabortista. Del mismo modo, para acusar a una madre y a su hijo de «complicidad» en un aborto, un claro ejemplo de cómo esta información puede utilizarse como arma para imponer restricciones al aborto a las pacientes y a cualquier otra persona de su entorno.
Estados que están tomando medidas
Como hemos visto una y otra vez, la recopilación y venta de datos de ubicación puede usarse como arma contra muchos grupos vulnerables: , la y cualquier persona que busque . En respuesta a estas crecientes amenazas, estados como California, Massachusetts e Illinois están liderando la lucha con la presentación de proyectos de ley destinados a regular la recopilación y el uso de datos de ubicación.
Estos proyectos de ley son una respuesta contundente a la creciente amenaza. Se basan en principios bien establecidos de la legislación sobre privacidad, como el consentimiento informado y la minimización de datos, y garantizan que solo se recopilen los datos esenciales y que se mantengan seguros. Es importante destacar que dan a los residentes, tanto si viven en el estado como si están de visita, la confianza necesaria para ejercer sus derechos (como el acceso a la atención sanitaria) sin temor a la vigilancia o a represalias.
En este artículo se describen algunas de las características clave de estas leyes de privacidad de los datos de localización, con el fin de mostrar a los autores y defensores de las propuestas legislativas la mejor manera de proteger a sus comunidades. En concreto, recomendamos:
-
Definiciones sólidas.
-
Normas claras.
-
Afirmación de que todos los datos de localización son sensibles.
-
Empoderamiento de los consumidores mediante un derecho de acción privado sólido.
-
Prohibición de los sistemas de «pagar por la privacidad».
-
Transparencia mediante políticas de privacidad claras.
Definiciones sólidas
Una legislación eficaz en materia de privacidad de la ubicación comienza con definiciones claras. Sin ellas, los tribunales pueden interpretar los términos clave de forma demasiado restrictiva, lo que debilita la intención de la ley. Y en ausencia de una orientación judicial clara, las entidades reguladas pueden aprovechar la ambigüedad para eludir por completo el cumplimiento.
A continuación se presentan algunas definiciones adecuadas de los proyectos de ley recientes:
-
En el proyecto de ley de Massachusetts, el «consentimiento» debe ser «libre, específico, informado, inequívoco [y] expreso». Además, debe estar libre de patrones oscuros, lo que garantiza que las personas entiendan realmente lo que están aceptando.
-
En el proyecto de ley de Illinois, una «entidad cubierta» incluye todo tipo de actores privados, incluyendo individuos, corporaciones y asociaciones, con la única excepción de los individuos que actúan en contextos no comerciales.
-
La «información de ubicación» debe referirse claramente a los datos derivados de un dispositivo que revelan la ubicación pasada o presente de una persona o dispositivo. El proyecto de ley de Massachusetts establece un radio común para definir los datos de ubicación protegidos: 1850 pies (aproximadamente un tercio de milla). El proyecto de ley de California va mucho más allá: cinco millas. La EFF ha apoyado ambos radios.
-
Un «fin admisible» (que es clave para la norma de minimización) debe definirse de forma restrictiva para incluir únicamente: (1) la entrega de un producto o servicio solicitado por el interesado, (2) el cumplimiento de un pedido, (3) el cumplimiento de la legislación federal o estatal, o (4) la respuesta a una amenaza inminente para la vida.
Normas claras
La «minimización de datos» es el principio de privacidad según el cual las empresas y otros actores privados no deben procesar los datos de una persona, salvo cuando sea necesario para proporcionarle lo que ha solicitado, con excepciones muy limitadas. Una ventaja de esta norma es que la persona no tiene que hacer nada para disfrutar de sus derechos legales de privacidad; la responsabilidad de procesar menos datos recae en el responsable del tratamiento. En conjunto, estas definiciones y normas crean un marco que garantiza que la privacidad sea la norma y no la excepción.
Una regla clave de minimización de datos, como en el proyecto de ley de Massachusetts, es: «Será ilegal que una entidad cubierta recopile o procese los datos de localización de una persona, salvo para un fin permitido». Leída junto con la definición anterior, esta regla general significa que una entidad cubierta solo puede recopilar o procesar los datos de localización de una persona para cumplir con su solicitud (con excepciones para emergencias y el cumplimiento de la legislación federal y estatal).
Otras reglas de minimización de datos, como en el proyecto de ley de Illinois, respaldan esto al restringir ciertas prácticas de datos:
-
Las entidades cubiertas no pueden recopilar datos más precisos de lo estrictamente necesario, ni usar datos de ubicación para hacer inferencias más allá de lo necesario para prestar el servicio.
-
Los datos deben eliminarse una vez que ya no sean necesarios para el propósito permitido.
-
No se pueden vender, alquilar, intercambiar ni arrendar datos de ubicación, punto.
-
No se pueden revelar datos de ubicación al gobierno, excepto con una orden judicial, según lo exijan las leyes estatales o federales, a petición del interesado o en caso de emergencia por amenaza de lesiones corporales graves o muerte (definida de manera que no incluye el aborto).
-
No se pueden revelar los datos de ubicación a nadie más, excepto cuando sea necesario para un fin permitido o cuando lo solicite la persona.
El proyecto de ley de California se basa en gran medida en normas de minimización de datos como estas. Los proyectos de ley de Illinois y Massachusetts establecen una restricción adicional: no se pueden recopilar ni procesar datos de ubicación sin el consentimiento expreso del interesado. Es importante destacar que, en estos dos proyectos de ley, el consentimiento no es una excepción a la norma de minimización, sino un requisito adicional. La EFF ha apoyado ambos modelos de legislación sobre privacidad de datos: solo un requisito de minimización y requisitos de minimización y consentimiento combinados.
Todos los datos de ubicación son sensibles
Para proteger mejor contra el seguimiento invasivo de la ubicación, es esencial imponer restricciones legales a la recopilación y el uso de todos los datos de ubicación, no solo los datos asociados a lugares sensibles como las clínicas de salud reproductiva. Las protecciones limitadas pueden ofrecer una ayuda parcial, pero no garantizan la privacidad total.
Pensemos en el ejemplo del principio del blog: si alguien viaja de Alabama a Florida para abortar y la ley solo protege los datos en lugares sensibles, las fuerzas del orden de Alabama podrían seguir su ruta desde su casa hasta cerca de la clínica. Una vez que la persona entra en una zona protegida de «atención sanitaria», su dispositivo desaparecería temporalmente, para reaparecer poco después de que se marchara. Esta laguna en los datos de seguimiento podría hacer relativamente fácil deducir dónde se encontraba durante ese tiempo, revelando esencialmente su visita a la clínica.
Para evitar este tipo de lagunas, el enfoque más eficaz es limitar la recopilación y conservación de todos los datos de localización, sin excepciones. Este es el enfoque de los tres proyectos de ley destacados en este artículo: California, Illinois y Massachusetts.
Empoderar a los consumidores mediante un PRA sólido
Para proteger de verdad la privacidad de la ubicación de las personas, la legislación debe incluir un derecho de acción privado (PRA) fuerte, que les dé a las personas el poder de demandar a las empresas que violen sus derechos. Un derecho de acción privado garantiza que las empresas no puedan ignorar la ley y empodera a las personas para buscar justicia directamente cuando se hace un uso indebido de sus datos sensibles. Esta es una prioridad máxima para la EFF en cualquier legislación sobre privacidad de datos.
Los proyectos de ley de Illinois y Massachusetts ofrecen modelos sólidos. Dejan claro que cualquier violación de la ley es un daño y permiten a las personas presentar demandas civiles: «Una violación de esta [ley]... en relación con la información de ubicación de una persona constituye un daño a esa persona. ... Cualquier persona que alegue una violación de esta [ley]... podrá interponer una acción civil...». Además, estos proyectos de ley establecen una cantidad mínima de daños y perjuicios (a veces denominados «daños liquidados» o «daños legales»), ya que la invasión de los derechos legales a la privacidad es un daño real, incluso si a la parte perjudicada le resulta difícil demostrar los gastos en que ha incurrido por el robo, los daños físicos o similares. Sin este tipo de lenguaje legal, algunas víctimas de violaciones de la privacidad no tendrían la oportunidad de acudir a los tribunales.
Estos proyectos de ley también anulan las que limitan el acceso a los tribunales. Las empresas no deberían poder evitar ser demandadas obligando a sus clientes a firmar contratos largos que .
Otras medidas incluyen daños reales, daños punitivos, medidas cautelares y honorarios de abogados. Estas disposiciones dan fuerza real a la ley y garantizan que la responsabilidad no pueda ser eludida en la letra pequeña.
No a los planes de «pagar por la privacidad»
Las leyes estrictas de privacidad de los datos de localización deben proteger a todos por igual, lo que significa rechazar los que permiten a las empresas cobrar a los usuarios por protecciones básicas de privacidad. La privacidad es un derecho fundamental, no un extra de lujo o una ventaja de suscripción. Permitir que las empresas ofrezcan privacidad solo a quienes pueden pagarla crea un sistema de dos niveles en el que las personas con bajos ingresos se ven obligadas a ceder sus datos de ubicación sensibles a cambio de acceder a servicios esenciales. Estos planes también incentivan a todo el mundo a renunciar a la privacidad.
La legislación debe dejar claro que las empresas no pueden condicionar la protección de la privacidad al pago, a programas de fidelización o a cualquier otro intercambio de valor. Esto garantiza que todo el mundo, independientemente de sus ingresos, tenga la misma protección frente a la vigilancia y la explotación de datos. Los derechos de privacidad no deberían tener un precio.
Aplaudimos esta redacción de los proyectos de ley de Illinois y Massachusetts:
Una entidad cubierta no podrá tomar medidas adversas contra una persona por haber ejercido o rechazado renunciar a cualquiera de sus derechos en virtud de [esta ley], a menos que los datos de ubicación sean esenciales para la prestación del bien, servicio o característica del servicio que la persona solicita, y solo en la medida en que estos datos sean esenciales. Esta prohibición incluye, entre otras cosas: (1) negarse a proporcionar un bien o servicio a la persona; (2) cobrar precios o tarifas diferentes por los bienes o servicios, incluso mediante el uso de descuentos u otros beneficios o la imposición de sanciones; o (3) proporcionar un nivel diferente de calidad de los bienes o servicios a la persona.
Transparencia a través de políticas de privacidad claras
Es útil que las leyes de privacidad de datos exijan a las entidades afectadas que sean transparentes sobre sus prácticas en materia de datos. Los tres proyectos de ley mencionados en este artículo exigen a las entidades afectadas que pongan a disposición del interesado una política de privacidad, lo que constituye una base sólida. Esto garantiza que las personas no se queden en la ignorancia sobre cómo se recopilan, utilizan o comparten sus datos de localización. Unas políticas claras y accesibles son un elemento fundamental del consentimiento informado y proporcionan a las personas la información que necesitan para protegerse y hacer valer sus derechos.
También es útil que las leyes de privacidad como estas exijan a las entidades afectadas que publiquen de forma destacada sus políticas de privacidad en sus sitios web. Esto permite a todos los miembros del público, así como a los defensores de la privacidad y a los organismos gubernamentales encargados de hacer cumplir la ley, comprobar si los responsables del tratamiento de datos cumplen sus promesas.
Próximos pasos: más estados deben sumarse
La conclusión es clara: los datos de ubicación son muy sensibles y, sin las protecciones adecuadas, pueden utilizarse para perjudicar a quienes ya son vulnerables. El rastro digital que dejamos puede revelar mucho más de lo que pensamos y, sin leyes que nos protejan, todos estamos en peligro.
Aunque algunos estados están avanzando, queda mucho por hacer. Más estados deben seguir su ejemplo introduciendo y aprobando leyes que protejan la privacidad de los datos de localización. No podemos permitir que el seguimiento de la ubicación se use como herramienta de acoso, vigilancia o criminalización.
Para ayudar a proteger tu privacidad digital mientras esperamos leyes más estrictas de protección de la privacidad, hemos publicado una guía específica sobre cómo minimizar la intrusión de, y ofrecemos consejos adicionales en el sitio web de la EFF. Muchas prácticas generales de privacidad también ofrecen una sólida protección contra el seguimiento de la ubicación.
Si vives en California, Illinois, Massachusetts
