Medio: Computer World
Reportero: Héctor Guzmán
Las reglas que pretendía establecer la norma desaprobada por el Congreso, incluían obligaciones de información que los operadores debían cumplir a través de la comunicación de sus políticas de privacidad a los usuarios

Este título vendría a ser la réplica o la antítesis del que aparece en este artículo, y de cierta información que también se divulga en el mismo.

Debemos indicar, eso sí, que no se trata del único artículo y medio de comunicación que ha difundido esta información, ya que muchos otros repitieron este “rumor” sobre la decisión legislativa adoptada recientemente en los Estados Unidos de América (EEUU).

Algunos podrán decir que sólo es una cuestión de semántica, pero discreparía abiertamente de esa posición, por lo que ahora voy a explicar.

Atendamos entonces a lo que realmente sucedió, y a las razones por las cuales sigue siendo importante saberlo:

El pasado 23 de marzo, la Cámara de Representantes y el Senado (el Congreso) de los EEUU resolvieron desaprobar una norma (rule), cuya autoría correspondió a la Comisión Federal de Comunicaciones y que, tome usted notaaún no había entrado en vigor en su totalidad.

Dicha norma, denominada “Protección de la privacidad de los clientes de servicios de banda ancha y otros servicios de telecomunicaciones” (Protecting the Privacy of Customers of Broadband and Other Telecommunications Services), tenía por objetivo reglamentar las disposiciones de la Sección 222 de la Ley de Comunicaciones de EEUU (47 U.S.C. 222) (denominada “privacidad de la información del consumidor”).

Conforme a lo anterior, y adelantando algunas conclusiones, debemos dejar de pensar que los usuarios de servicios de telecomunicaciones de los EEUU carecen de disposiciones que protejan su privacidad, puesto que dicha sección de su “Ley de Comunicaciones” está dirigida precisamente a ese objetivo. Cuestión distinta es que esta protección sea diferente y de alcance menor al que se brinda en la Unión Europea, por ejemplo.

… debemos dejar de pensar que los usuarios de servicios de telecomunicaciones de los EEUU carecen de disposiciones que protejan su privacidad…

En este orden de ideas, veamos que la norma desaprobada por el Congreso de los EEUU estaba orientada a modernizar las disposiciones de la susodicha Sección 222, y a establecer determinadas obligaciones para proteger, de manera específica, la privacidad de los usuarios de servicios de banda ancha.

Como botón de muestra, la desaparecida regulación disponía de reglas para proteger lo que denominaba como “información confidencial sensible del cliente” (sensitive customer proprietary information), entendiendo que este tipo de información comprendía:

1. Información financiera;
2. Información de salud;
3. Información relativa a menores de edad;
4. Números de la Seguridad Social;
5. Información de geo-localización precisa;
6. Contenido de las comunicaciones, e
7. Historial de navegación, historial del uso de aplicaciones y los equivalentes funcionales de cualquiera de dichos historiales.

Ahí lo tienen… el famoso historial de navegación que, erróneamente, se anuncia a la venta como producto de una “nueva ley” de los EEUU.

Las reglas que pretendía establecer la norma desaprobada por el Congreso, incluían obligaciones de información que los operadores debían cumplir a través de la comunicación de sus políticas de privacidad a los usuarios; esta información debía incluir, entre otras cuestiones:

a. La descripción de los tipos de datos del cliente que serían recabados por el operador, y los usos que se darían a esa información;
b. Describir bajo qué circunstancias el operador podía difundir o permitir el acceso a los datos de sus clientes;
c. Describir los destinarios de las cesiones o accesos a datos de sus clientes;
d. Describir los derechos de aprobación o desaprobación de los usuarios, en relación con el uso de sus datos (customers’ opt-in approval and/or opt-out approval rights);
e. Establecer el acceso a mecanismos para que los clientes puedan conceder, denegar o revocar su consentimiento para que los operadores puedan usar, divulgar o permitir el acceso a sus datos.

También es notorio, y de esto no he leído nada en los medios generalistas, saber que la norma repelida introducía obligaciones de notificación en caso de vulneraciones de datos personales (data breach notification), con cuestiones muy interesantes como la obligación de los operadores de notificar una vulneración de datos a la Comisión Federal de Comunicaciones, al FBI y al Servicio Secreto (en aquellos casos en que la brecha afectara a más de 5.000 clientes).

Se trataba, pues, de una norma que reglamentaba las disposiciones de una ley general (la Sección 222 de la Ley de Comunicaciones) que por muchas razones nunca fue bien vista por los propios operadores, a quienes establecía obligaciones específicas para salvaguardar la privacidad de los usuarios y la seguridad de sus datos personales.

Sin embargo, y en estricto sentido, la desaprobación de esta norma (producto sin duda de mucho cabildeo) no significa ni puede significar la aprobación de una ley que permite vender los datos de los usuarios; siendo además que (y esto no lo han informado los medios consultados), la norma revocada no prohibía de manera categórica “la venta de la información de los usuarios”, sino que regulaba de manera más clara y con mayores requisitos la obtención de su consentimiento para hacerlo.

Ante estas aclaraciones, cabe entonces preguntar: ¿por qué se ha anunciado que el acto del Congreso de los EEUU permitirá la venta de información de usuarios de internet, tal como el historial de sus búsquedas?

La respuesta la brinda la propia sección 222 a que ya nos hemos referido, que en su apartado (c)(3) dispone: “Un operador de telecomunicaciones que recibe u obtiene información confidencial de la red del cliente, en virtud de la prestación de un servicio de telecomunicaciones, puede utilizar, revelar o permitir el acceso a la información agregada del cliente, [excepto para los fines descritos en el párrafo 1)]. Un operador local puede usar, divulgar o permitir el acceso a la información agregada del cliente, excepto para los propósitos descritos en el párrafo (1), si proporciona dicha información agregada a otros operadores o personas, bajo términos y condiciones razonables y no discriminatorias, previa solicitud razonada para tales efectos”. (la traducción es nuestra).

Que la normativa vigente de telecomunicaciones de los EEUU permita el acceso a (o la venta de) información agregada de los usuarios de servicios de telecomunicaciones, constituye el meollo de la confusión noticiosa…

Que la normativa vigente de telecomunicaciones de los EEUU permita el acceso a (o la venta de) información agregada de los usuarios de servicios de telecomunicaciones, constituye el meollo de la confusión noticiosa que deseamos aclarar. Y es por ello que debemos entender a qué nos referimos cuando hablamos de “INFORMACIÓN AGREGADA”.

La respuesta la brinda una vez más la Ley de Comunicaciones, que define este tipo de información (apartado (h)(2)) de la siguiente forma: El término “información agregada del cliente” significa los datos colectivos que se relacionan con un grupo o categoría de servicios o de clientes, de los cuales se han eliminado las identidades y características individuales del cliente. (la traducción es nuestra).

Ante esta aclaración, no sorprende que, después del revuelo inicial, nos encontremos ahora con artículos como los que han publicado Slate o Forbes, en los cuales se refieren de manera divertida (you cannot call up Comcast and be like, ‘hi can I buy lawmakers’ browsing histories. that’s a no.’) o francamente directa (So why are media reports getting this story so wrong?) a la desinformación propagada.

Y es que, aunque cualquier experto pueda demostrar en laboratorio que la información agregada no excluye la posibilidad de identificar de manera individual a una persona, existe un consenso más o menos general en que este tipo de información no proporciona de manera directa e inmediata la identidad de personas específicas.

Para los que nos dedicamos a la privacidad y a la protección de datos personales, la naturaleza de la información agregada puede no resultar del todo consoladora de cara la POSIBILIDAD de ser perfectamente identificados a partir de nuestro historial de navegación (y otra información relacionada); sin embargo, podemos considerar que, en este momento, la anunciada venta de esta información seguirá teniendo como propósito principal mejorar el tipo de publicidad que los usuarios americanos reciben todos los días al navegar por internet.

A nivel personal, y puestos a comparar, creo que es bueno que esta posibilidad no la concibamos en el territorio de la Unión Europea, dado el nivel y la forma en que se protegen en este territorio la privacidad y los datos personales.

Por lo demás, juzgue usted si después de este embrollo legal que le he contado, sigue pensando lo mismo de todo lo que había leído sobre este tema.

Leer nota original:

http://red.computerworld.es/ciberseguridad/eeuu-no-aprobo-una-ley-que-permite-a-los-proveedores-de-internet-vender-datos-de-usuarios