Redacción NM
La administración Biden ha identificado a los “países preocupantes” que explotan los datos personales sensibles de los estadounidenses como una emergencia nacional. Para abordar la crisis, la Casa Blanca emitió un orden ejecutiva el 28 de febrero de 2024, con el objetivo de evitar que estos países accedan a la gran cantidad de datos personales confidenciales de los estadounidenses.
La orden no especifica los países, pero informes de noticias citaron a altos funcionarios de la administración anónimos. identificándolos como China, Rusia, Corea del Norte, Irán, Cuba y Venezuela.
La orden ejecutiva adopta una definición simple y amplia de datos confidenciales que deben protegerse, pero la orden está limitada en las protecciones que ofrece.
La importancia más amplia de la orden radica en la justificación de por qué Estados Unidos necesita tal orden para proteger los datos confidenciales de las personas en primer lugar. La emergencia nacional es el resultado directo de las asombrosas cantidades de datos personales sensibles que están a la venta –a cualquier persona– en el vasto mercado internacional de datos comerciales, que está compuesto por empresas que recopilan, analizan y venden datos personales.
Los intermediarios de datos están utilizando sistemas de inteligencia artificial generativa y predictiva en constante avance para obtener información sobre la vida de las personas y explotar ese poder. Esto plantea cada vez más riesgos para las personas y para la seguridad interna y nacional.
yo soy un abogado y profesor de derecho, y trabajo, escribo y enseño sobre datos, privacidad de la información e inteligencia artificial. Aprecio la atención que la orden pone sobre los peligros del mercado de datos al reconocer que las empresas recopilan más datos que nunca sobre los estadounidenses y que los datos se venden y revenden legalmente a través de intermediarios de datos. Estos peligros subrayan el fracaso del Congreso a la hora de proteger los datos más sensibles de las personas.
Los datos personales sensibles pueden ser motivo de chantaje, plantear preocupaciones de seguridad nacional y pueden utilizarse como prueba para procesos. Esto es especialmente cierto en esta era de desinformación y deepfakes (imitaciones de audio o video generadas por IA) y con reciente federal de EE. UU. y fallos de la corte estatal que permiten a los estados restringir y criminalizar las decisiones personales privadas, incluidas las relacionadas con los derechos reproductivos. La orden ejecutiva busca proteger a los estadounidenses de estos riesgos, al menos de aquellos países que son motivo de preocupación.
Qué hace la orden ejecutiva
La orden emite directivas a las agencias federales para contrarrestar los continuos esfuerzos de ciertos países por acceder a la gran cantidad de datos personales sensibles de los estadounidenses, así como a datos relacionados con el gobierno de los EE. UU. Entre otras preocupaciones, la orden enfatiza que los datos personales podrían usarse para chantajear a personas, incluido personal militar y gubernamental.
Según la orden, el Departamento de Justicia desarrollará y emitirá regulaciones que impidan la transferencia a gran escala de datos personales sensibles de los estadounidenses a países de interés.
En términos más generales, la orden alienta a la Oficina de Protección Financiera del Consumidor a tomar medidas para impulsar el cumplimiento de la ley federal de protección al consumidor. En parte, esto podría ayudar a restringir la recopilación y venta excesivamente invasiva de datos confidenciales y reducir la cantidad de información financiera (como informes crediticios) que los corredores de datos recopilan y revenden.
La orden también ordena a las agencias federales pertinentes que prohíban a los intermediarios de datos vender datos genómicos y de salud a granel a los países de interés. Reconoce que los intermediarios de datos y sus clientes son cada vez más capaces de utilizar la IA para analizar datos genómicos y de salud y otros tipos de datos que no contienen las identidades de los individuos para vincular datos con individuos concretos.
Definición de datos personales sensibles
Desde el punto de vista de la privacidad de la información, la orden es importante por su amplia definición de lo que constituye datos personales sensibles. Incluido en este término general son “identificadores personales cubiertos, geolocalización y datos de sensores relacionados, identificadores biométricos, datos humanos datos ómicos, datos personales de salud, datos financieros personales o cualquier combinación de los mismos”. No se incluyen en la definición los datos que sean de dominio público.
La definición amplia es significativa porque afirma una desviación del sistema legal estadounidense. enfoque estándar para los datos, que es sector por sector. Generalmente, las leyes federales y estatales protegen diferentes tipos de datos, como datos de salud, Información biométrica y Datos financieros, En maneras diferentes. Sólo las personas y entidades dentro de esos sectores, como su médico o banco, están reguladas en cuanto a cómo utilizan los datos.
Ese enfoque gradual no se adapta bien a la era de satélites y dispositivos inteligentes, y ha dejado muchos datos, incluso muy sensibles, desprotegidos. Por ejemplo, los teléfonos inteligentes y los dispositivos portátiles y las aplicaciones que contienen detectan, recopilan, utilizan y difunden grandes cantidades de datos altamente reveladores relacionados con la salud y de geolocalización, pero dichos datos no están cubiertos por la Ley de Responsabilidad y Portabilidad del Seguro Médico ni por otras medidas de protección de datos. leyes.
Al reunir estas categorías de datos históricamente diferentes bajo la frase más amplia y más fácil de entender “datos personales sensibles”, los formuladores de políticas en el poder ejecutivo han seguido el ejemplo del trabajo de la Comisión Federal de Comercio para proteger los datos confidenciales del consumidor. La FTC ha ordenado a algunos corredores de datos que dejen de vender información confidencial sobre la ubicación de personas. La orden también refleja la creciente comprensión de los formuladores de políticas sobre lo que se requiere para una protección de datos significativa en la era de la IA predictiva y generativa.
Lo que no hace la orden ejecutiva
La orden ejecutiva especifica que no busca alterar el mercado global de datos ni impactar negativamente “las importantes relaciones económicas, científicas, comerciales y de consumo que Estados Unidos tiene con otros países”. Tampoco busca prohibir ampliamente a las personas en los EE. UU. realizar transacciones comerciales con entidades e individuos en o “sujetos al control, dirección o jurisdicción de” los países en cuestión.
Tampoco impone medidas que restringirían los compromisos de Estados Unidos de aumentar el acceso público a la investigación científica, el intercambio y la interoperabilidad de la información sanitaria electrónica y el acceso de los pacientes a sus datos.
En particular, no busca imponer un requisito general de que las empresas tengan que almacenar los datos confidenciales de los estadounidenses o los datos relacionados con el gobierno de los EE. UU. dentro de los límites territoriales de los EE. UU., lo que en teoría proporcionaría una mejor protección para los datos. Tampoco busca reescribir el plan voluntario de 2023. Marco de privacidad de datos para transferencias de datos entre la Unión Europea y EE.UU.
En resumen, hace poco para cambiar las actividades y prácticas de los intermediarios comerciales de datos de Estados Unidos, excepto cuando dichas actividades involucran a esos países de interés.
¿Que sigue?
Las distintas agencias encargadas de actuar deben hacerlo dentro de plazos claramente especificados en la orden, que van de cuatro meses a un año, por lo que por ahora es un juego de espera. Mientras tanto, el presidente Joe Biden se ha sumado a una larga lista de personas que siguen instando al Congreso a aprobar una legislación bipartidista integral sobre privacidad.
