La sentencia del caso Dobbs contra Jackson es un desastre para la privacidad

Image of Carlo Cilento

Publicado el 29 ago 2023 y editado el 13 sept 2023 por Carlo Cilento

El año pasado, la sentencia del Tribunal Supremo en el caso Dobbs contra Jackson supuso un cambio drástico en la legislación constitucional estadounidense sobre el derecho al aborto.

La decisión en sí tuvo una gran repercusión mediática en todo el mundo, pero la crisis de privacidad que provocó pasó desapercibida fuera de Estados Unidos. Esto es lo que está ocurriendo en EE.UU. tras el caso Dobbs contra Jackson, y lo que la UE puede aprender de ello.

  1. Antecedentes
  2. Dobbs contra Jackson es una crisis de la privacidad
  3. Las grandes tecnológicas no ayudan
  4. La HIPAA no es suficiente
  5. ¿Qué están haciendo los Estados Unidos para controlar los daños?
  6. ¿Qué puede aprender Europa de esta crisis de la privacidad?
    1. "Datos sanitarios" es una categoría amplia
    2. La privacidad desde el diseño debe aplicarse mejor
    3. Los datos de localización son más peligrosos de lo que cree
    4. Reflexiones finales

Antecedentes

El 24 de junio de 2022, el Tribunal Supremo de EE.UU. dictó sentencia en el caso Dobbs contra Jackson. Al hacerlo, anuló Roe vs. Wade, un precedente de 1973 que protegía el derecho al aborto en EE.UU. Como resultado de Dobbs, el Tribunal sostiene ahora que la Constitución de EE.UU. no protege el derecho al aborto, y que los Estados son libres de regular la materia a su antojo.

La controvertida sentencia abrió las compuertas a una oleada de leyes antiabortistas en los Estados conservadores**.** Un año después de la decisión, cerca de la mitad de los Estados cuentan con legislación que limita o prohíbe el aborto y, en algunos casos, criminaliza a quienes lo solicitan y a quienes prestan ayuda.

La decisión fue duramente criticada por gobiernos, organizaciones internacionales y muchas voces del mundo académico y la sociedad civil. Una carta firmada por casi 200 ONG destaca el duro impacto de Dobbs en los derechos de las mujeres y la autonomía corporal, así como su desproporcionado impacto en comunidades ya desfavorecidas.

Dobbs contra Jackson es una crisis de la privacidad

El caso Dobbs contra Jackson asestó un duro golpe a los derechos y la autonomía de las mujeres, y también inauguró una crisis de privacidad a gran escala.

Las fuerzas de seguridad de los Estados conservadores están utilizando actualmente las huellas digitales de las mujeres para perseguir a las solicitantes de abortos, incluidos datos de localización, búsquedas en Google y chats con familiares. Los datos de las mujeres se recopilan mediante un mandato o simplemente se compran en el mercado, lo que resulta demasiado cómodo y no requiere la intervención de un tribunal de justicia. Incluso los civiles compran a veces estos datos para denunciar a las autoridades a quienes solicitan abortos, con el fin de cobrar las recompensas que ofrecen algunos Estados.

¿Cómo es posible una crisis de privacidad tan dramática en un país del primer mundo?

Una cuestión clave es que Estados Unidos no tiene una ley federal de protección de datos, sino sólo leyes para sectores específicos como la sanidad y las finanzas, junto con legislación estatal como la CCPA de California y la CPA de Colorado. Se ha propuesto una ley federal de privacidad (American Data Protection and Privacy Act), pero no está ni cerca de ultimarse.

Sin ninguna protección de la privacidad a nivel federal, la privacidad en línea de la mayoría de los ciudadanos estadounidenses depende en gran medida de la cultura y las prácticas de privacidad de las empresas a las que confían sus datos, y esto son malas noticias. Muchas empresas están dispuestas a vender datos al mejor postor, y la mayoría de los Estados carecen de leyes que se lo impidan.

Los Estados con leyes de privacidad no salen mucho mejor parados. Las legislaciones tienden a enmarcar los derechos de privacidad en términos de derechos de exclusión en lugar de prohibiciones. Pero la mayoría de la gente está demasiado ocupada para rechazar las prácticas invasivas de recogida de datos de cada uno de los servicios que utiliza y de cada uno de los sitios web que visita.

En resumidas cuentas, los servicios en línea acaparan enormes cantidades de datos personales con fines lucrativos, y la mayoría de ellos son un juego limpio si se tiene el dinero.

Esto no es nada nuevo. Los defensores de la privacidad llevan mucho tiempo concienciando sobre los enormes peligros de la economía de la vigilancia en línea. El caso Dobbs contra Jackson hizo que estos riesgos se hicieran dramáticamente tangibles para las mujeres estadounidenses.

Las grandes tecnológicas no ayudan

A pesar de todas sus promesas de respetar y salvaguardar la privacidad, las grandes tecnológicas no están haciendo mucho para proteger a las mujeres. Un reciente artículo de Insider descubrió que Meta recibe más de 400.000 solicitudes gubernamentales de información personal al año y rara vez las impugna ante los tribunales.

Para empeorar las cosas, incluso cuando las grandes tecnológicas intentan controlar los daños, puede que funcionen o puede que no.

El año pasado, Google prometió eliminar del historial de ubicaciones de Google Maps lugares sensibles como las clínicas abortistas. Más tarde, The Washington Post y Accountable Tech experimentaron con Google Maps y descubrieron que la eliminación de datos de localización sensibles es incoherente y muy poco fiable.

¿Por qué Google no puede cumplir su promesa después de un año?

Bueno, los servicios de Google son invasivos de la privacidad por diseño. Se crearon para obtener los datos primero y preocuparse por la privacidad y la gestión de los datos después, si es que alguna vez lo hacen. Ahora se necesitan medidas de preservación de la privacidad, pero son difíciles de aplicar cuando estaban completamente ausentes al principio. Es como intentar poner frenos a un coche que nunca se diseñó para tenerlos y que ahora circula a toda velocidad.

El problema principal es el hambre de datos. Y es mucho, mucho mayor que Google. Otros innumerables servicios acaparan todos los datos que pueden sin preocuparse apenas por la privacidad y la gobernanza de los datos. Como resultado, la huella digital del usuario crece hasta el punto de que ni siquiera las propias empresas pueden mantener los datos bajo control.

El mismo problema surgió recientemente en un litigio contra Meta, donde la empresa admitió esencialmente tener poco o ningún control sobre las monstruosas cantidades de datos que recopilan.

Una vez más, Google y Meta son la regla y no la excepción. Las empresas tienen un incentivo para acaparar todos los datos de los que puedan sacar provecho. El hambre de datos conduce a una mala gobernanza de los mismos, y una mala gobernanza de los datos conduce a desastres de privacidad porque no se pueden proteger datos sobre los que no se tiene control.

La HIPAA no es suficiente

Pero, ¿no existe en Estados Unidos la HIPAA? ¿Por qué no resuelve el problema?

La cuestión es la siguiente. La Health Insurance Portability and Accountability Act (HIPAA) no es una ley de privacidad propiamente dicha, sino una ley sectorial para proveedores sanitarios (como ya explicamos en otro blog). Sus normas de privacidad tienen un alcance muy limitado porque la HIPAA sólo cubre a los proveedores sanitarios y a las empresas que trabajan a partir de ellos.

Aunque las infracciones de la HIPAA desempeñan un papel en la crisis de privacidad de EE.UU., el principal problema son las enormes cantidades de datos sanitarios que, en primer lugar, no entran dentro del ámbito de aplicación de la HIPAA. Buscar en Google información sobre la medicación que se está tomando, o utilizar Google Maps mientras se conduce al hospital, puede añadir algunos datos peligrosamente sensibles a su huella en línea. Y sin embargo, estos datos no entran en el ámbito de la HIPAA porque Google no es un proveedor de asistencia sanitaria.

Las aplicaciones para la menstruación son un ejemplo destacado de este problema. Estas aplicaciones recogen información muy detallada sobre el estado reproductivo de los millones de mujeres que las utilizan. Esta información no entra en el ámbito de la HIPAA y puede venderse con pocas o ninguna restricción en la mayoría de los Estados.

En pocas palabras, el estrechísimo ámbito de aplicación de la HIPAA, combinado con la falta de leyes federales sobre privacidad, se traduce en una peligrosa falta de protección de los datos sensibles.

¿Qué están haciendo los Estados Unidos para controlar los daños?

Washington fue el primer Estado que reaccionó ante la crisis de la privacidad adoptando la Ley Mi Salud, Mis Datos en abril de 2023. La Ley "Mi salud, mis datos" refuerza la protección de los datos sanitarios y prohíbe el geofencing cerca de los proveedores de atención sanitaria, es decir, el uso de datos de localización (normalmente de teléfonos inteligentes) para averiguar quién ha visitado un lugar determinado. Los estados de Connecticut y Nevada siguieron después el ejemplo y aprobaron leyes similares para proteger los datos sanitarios.

Por un lado, existe la esperanza de que esta tendencia legislativa conduzca a una fuerte protección de los datos sanitarios (y de la información sensible en general) en la propuesta de Ley de Protección de Datos y Privacidad de Estados Unidos. Por otro lado, los Estados que ya cuentan con una sólida protección de los datos sanitarios se opondrán probablemente a cualquier proyecto de ADPPA que debilite esas protecciones, por lo que estas leyes podrían tener el efecto perverso de retrasar las negociaciones políticas en torno a la Ley, al complicar aún más la ya espinosa cuestión de la primacía estatal.

En California se están produciendo otras novedades importantes. Desde el caso Dobbs contra Jackson, California ha reforzado su posición tradicional de Estado santuario aprobando leyes para impedir la persecución de las mujeres que buscan atención sanitaria reproductiva en el Estado.

En estos momentos, el Estado está trabajando en una enmienda al Código Penal de California que protegería a las empresas californianas de las órdenes judiciales de solicitud de localización inversa. En otras palabras, las empresas californianas podrán hacer caso omiso de determinadas órdenes de registro muy invasivas procedentes de fuera del Estado.

La enmienda podría cambiar las reglas del juego porque incluye a las empresas de Silicon Valley que controlan grandes cantidades de datos personales. Al proteger a las grandes tecnológicas, como Apple y Meta, de las órdenes de registro, la enmienda podría afectar sustancialmente a la privacidad de las mujeres fuera de California. Pero las negociaciones políticas en torno al proyecto de ley son complejas porque puede obstaculizar la investigación de delitos no relacionados con el aborto.

¿Qué puede aprender Europa de esta crisis de la privacidad?

A diferencia de Estados Unidos, Europa tiene una ley general de privacidad en el GDPR que incluye normas específicas y estrictas para los datos sensibles. Pero eso no significa que nuestros datos sensibles estén a salvo. Europa debería observar de cerca lo que está sucediendo en EE. UU. en este momento, porque hay algunas lecciones importantes que aprender del desastre.

"Datos sanitarios" es una categoría amplia

Cuando pensamos en datos sanitarios, solemos pensar en historiales médicos, radiografías, etcétera. Pero estos datos no son el principal problema de la crisis de privacidad en Estados Unidos. De hecho, algunas de las amenazas más urgentes a la privacidad proceden de los historiales de búsqueda, los datos de localización y las comunicaciones personales (no cifradas de extremo a extremo), como chats y correos electrónicos.

En Europa, el GDPR no incluye (explícitamente) estos datos como sensibles. Como resultado, muchas organizaciones en Europa no piensan demasiado en estos datos y no los manejan con el cuidado requerido.

Dos importantes sentencias del Tribunal de Justicia de la UE podrían cambiar la situación. A la luz de la reciente jurisprudencia del Tribunal, los datos que puedan revelar datos sensibles, son en sí mismos datos sensibles (para más información, consulte nuestros blogs sobre Datos sensibles y la sentencia del Bundeskartellamt ).

Esta jurisprudencia es un paso importante en la dirección correcta y amplía sustancialmente el alcance de la noción de datos sensibles. Sin embargo, el planteamiento del Tribunal dista mucho del enfoque más formalista que adoptan la mayoría de las empresas cuando tratan datos sensibles. Probablemente pasará tiempo antes de que el paradigma cambie en la práctica y, mientras tanto, nuestros datos sensibles no estarán tan seguros como deberían.

La privacidad desde el diseño debe aplicarse mejor

La privacidad debe planificarse con antelación. Si no se configura un sistema de forma que favorezca la privacidad, será muy difícil aplicar una privacidad sólida en el futuro, como demuestra el fiasco de la eliminación de datos de Google.

Por eso el GDPR insiste en el principio de privacidad desde el diseño. La privacidad desde el diseño significa que hay que planificar el tratamiento de los datos personales teniendo en cuenta la privacidad desde el principio.

La privacidad desde el diseño no es una mera sugerencia, sino un principio jurídico vinculante. Sin embargo, la industria ignora a menudo este principio. Es una lástima, porque un enfoque de privacidad desde el diseño puede reducir en gran medida las huellas digitales. Solo podemos esperar que la aplicación del GDPR acabe por ponerse al día y haga que las organizaciones vuelvan a la línea.

Lo mismo ocurre con otros principios relacionados con la privacidad desde el diseño. Por ejemplo, la minimización de datos significa que sólo se pueden recopilar los datos personales que realmente se necesitan, y la limitación del almacenamiento significa que no se pueden almacenar datos personales más tiempo del necesario. Demasiadas organizaciones violan estos principios y las cosas no cambiarán hasta que empiecen a llegar más multas.

Los datos de localización son más peligrosos de lo que cree

Los datos de geolocalización desempeñan un papel clave en el panorama de la privacidad post-Dobbs. Esta es la razón por la que la Ley My Health My Data prohíbe la geofencing en torno a los proveedores de atención médica, y por la que los cambios propuestos en el Código Penal de California se ocupan de las solicitudes de localización inversa de las fuerzas del orden.

En el lado europeo, el GDPR no tiene disposiciones específicas para proteger los datos de localización, y no los considera datos sensibles (a diferencia de la CCPA de California). Por tanto, los datos de localización sólo están sujetos a las normas generales del GDPR.

Estas normas generales probablemente no sean suficientes para proteger los datos de localización. O mejor dicho: lo serían si se aplicaran. Los principios de privacidad desde el diseño y limitación del almacenamiento podrían desempeñar un papel vital en la protección de los datos de localización, pero, una vez más, su aplicación sigue siendo insuficiente para tener un impacto real.

En resumen: tanto los consumidores como las empresas deben tener mucho cuidado con los datos de localización. Y una vez más, la aplicación del GDPR debe ponerse al día.

Reflexiones finales

Al fin y al cabo, las personas vulnerables son las que pagan el precio más alto de la economía de la vigilancia. Parafraseando el podcast Grumpy GDPR: si crees que no tienes nada que ocultar, entonces eres un privilegiado.

Esto no es nada nuevo: el impacto de las prácticas de privacidad en las personas y comunidades vulnerables está bien estudiado por juristas y científicos sociales por igual, y es un importante tema de debate en la comunidad de la privacidad.

Lamentablemente, este punto de vista se pierde en el debate público sobre la privacidad. Esperemos que el caso Dobbs contra Jackson -y el lío que causó- sirva para recordar que la privacidad es una condición necesaria para una sociedad justa y algo por lo que todos deberíamos esforzarnos.