La Ley de Protección de la Privacidad del Conductor de 1994 (también conocida como "DPPA"), Título XXX de la Ley de Aplicación de la Ley y Control de Delitos Violentos , es un estatuto federal de los Estados Unidos que rige la privacidad y divulgación de la información personal recopilada por los Departamentos de Motor estatales. Vehículos .
La ley fue aprobada en 1994. Fue presentada por el representante demócrata Jim Moran de Virginia en 1992, después de un aumento en el uso de bases de datos públicas de licencias de conducir por parte de algunos opositores al aborto para rastrear y acosar a los proveedores y pacientes de abortos. Entre estos casos se destacó el de la médica Susan Wicklund , quien enfrentó protestas y acoso, incluido un piquete en su casa durante un mes. [1] La ley está actualmente codificada en el Capítulo 123 del Título 18 del Código de los Estados Unidos . [2]
El estatuto prohíbe la divulgación de información personal (como se define en 18 USC § 2725) sin el consentimiento expreso de la persona a quien se aplica dicha información, con la excepción de ciertas circunstancias establecidas en 18 USC § 2721. Estas reglas se aplican a los Departamentos de Vehículos de motor, así como otros "destinatarios autorizados de información personal", e impone requisitos de mantenimiento de registros a esos "destinatarios autorizados".
Los usos permitidos son: [3]
La ley también declara ilegal obtener información de los conductores con fines ilegales o hacer representaciones falsas para obtener dicha información. [4] La ley establece multas penales por incumplimiento, [5] y establece una causa de acción civil para los conductores contra quienes obtengan ilegalmente su información. [6]
Después de que Rebecca Schaeffer fuera asesinada en 1989 por Robert John Bardo, quien encontró su dirección mediante el uso de registros del DMV por parte de una agencia de detectives privados, se puso en duda la fácil disponibilidad de información personal del DMV. [7]
El proyecto de ley se presentó simultáneamente durante el 103º Congreso de los Estados Unidos en la Cámara de Representantes (como HR 3365 [8] ) y el Senado (como S. 1589 [9] ) el 26 de octubre de 1993. El texto del proyecto de ley se incorporó a HR 3355, la Ley de Control de Delitos Violentos y Aplicación de la Ley de 1994, que finalmente fue firmada por el presidente Bill Clinton como parte de la Ley Pública 103-322 el 13 de septiembre de 1994. [10]
La constitucionalidad del estatuto fue confirmada por la Corte Suprema de Estados Unidos contra una impugnación de la Décima Enmienda en Reno contra Condon . [11]
[ cita necesaria ]
Con el surgimiento de la tecnología y los dispositivos informáticos de la nueva era a principios de la década de 2000, llegó la recopilación, el procesamiento, la agregación, la correlación y la nueva divulgación de los datos de los usuarios. Los sitios web, la publicidad de terceros y las empresas de seguimiento comenzaron a utilizar mecanismos que violaban la privacidad del usuario. Si bien los datos "en línea" que identificaban la tecnología informática del usuario eran útiles, dichos beneficios eran limitados. Las entidades publicitarias disponían de una milisegundo mientras los usuarios estaban online para comercializar sus productos; Además, para "rastrear" a los consumidores obteniendo datos de sus dispositivos informáticos, se agregaron cookies HTML a sus dispositivos. [12] Dado que la mayoría de las computadoras y los usuarios eliminaron las cookies cuando apagaron sus dispositivos, este mecanismo de seguimiento no pudo proporcionar un seguimiento a largo plazo. Lo que se necesitaba era un medio para asociar las actividades de datos "en línea" con datos "fuera de línea", haciendo referencia a la información personal contenida en registros públicos (hoy, el objetivo es asociar datos "en línea" con datos "fuera de línea" y la biometría, la nueva " Santo Grial" de los datos publicitarios). La fuente más precisa de datos fuera de línea y la más barata fueron los registros de vehículos motorizados mantenidos por el DMV.
Dado que la tecnología informática avanzaba rápidamente, las leyes federales y estatales no habían logrado ser proactivas, lo que representaba un riesgo para la sociedad debido a la tecnología no gobernada. Como tal, los litigios por violaciones fueron relativamente inexistentes. Se necesitaba un nuevo método para litigar casos federales de privacidad para proteger a los cientos de millones de personas violadas por el seguimiento no autorizado de las actividades de los usuarios "en línea" y "fuera de línea" (registros públicos). Se trataba de una tarea formidable, ya que ningún bufete de abogados había litigado casos de privacidad relacionados con la tecnología informática inherente al intercambio de datos de usuarios entre entidades afiliadas a terceros, por lo que no había ningún precedente de caso ni un "modelo" a seguir. Casos anteriores, como el caso de la "cookie" de doble clic en 2001, se habían basado en el uso de un estatuto de escuchas telefónicas, la Ley de Privacidad de las Comunicaciones Electrónicas ("ECPA"). Si bien era una acusación plausible, era una acusación débil ya que el usuario del sitio web había otorgado dicho uso permitido dentro de los términos de servicio del sitio web ("TOS").
En Kehoe contra Fidelity Federal Bank and Trust, James Kehoe demandó a Fidelity Bank por comprar cientos de miles de registros de vehículos motorizados del estado de Florida, en violación de la Ley federal de protección de la privacidad de los conductores. Fidelity Bank había comprado 565.600 nombres y direcciones del departamento de vehículos motorizados de Florida entre junio de 2000 y 2003. Esta información se vendió por unos centavos; literalmente, Fidelity pudo obtener la información por sólo 5.656 dólares. Fidelity utilizó la información para dirigirse a los residentes de los condados de Palm Beach, Martin y Broward para solicitar préstamos para automóviles. El Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Florida dictaminó en junio de 2004 que James Kehoe necesitaba demostrar daños reales antes de obtener cualquier recuperación monetaria bajo la DPPA. El Tribunal se basó en el recientemente decidido Doe v. Chao y en las reglas de interpretación legales para dictaminar que la indemnización por daños y perjuicios de la DPPA no corresponde al demandante a menos que pueda demostrar daños reales. Kehoe apeló ante el Tribunal de Apelaciones del 11º Circuito, que falló: "...El estatuto en cuestión es la Ley de Protección de la Privacidad del Conductor, 18 USC § 2721, et seq. ("DPPA"). Habiendo considerado el texto plano del estatuto, Concluimos que un demandante no necesita probar daños reales para recuperar la indemnización por una violación de la DPPA. Dado que el tribunal de distrito llegó a una conclusión contraria, revocamos y remitimos". Kehoe contra Fidelity Federal Bank & Trust, 421 F. 3d 1209 (11th Cir. 2005), cert. denegado.
Mientras el caso Kehoe estaba en apelación ante el circuito 11 y luego ante SCOTUS, las Oficinas Legales de Joseph Malley PC comenzaron una amplia solicitud de libertad de información a todos los DMV estatales, solicitando todos y cada uno de los documentos sobre personas y empresas que obtenían la base de datos del DMV en masa. , haciendo referencia a la obtención de todos los registros del DMV y actualizaciones periódicas. La investigación y el seguimiento con todos los DMV estatales tomarían más de un año. La empresa pudo identificar 36 DMV estatales que vendían registros de vehículos de motor al por mayor. Luego se requirió un análisis de todas las personas y entidades que obtuvieron los datos para determinar si parecía que tenían un uso permisible según lo requerido por la DPPA. Fueron necesarias extensas conversaciones de seguimiento con todos los funcionarios del DMV para obtener información adicional. Apostando por el resultado del fallo del SCOTUS, la extensa investigación resultó no ser en vano. Una vez que SCOTUS denegó la orden judicial en el caso Kehoe, permitiendo que el fallo del 11º circuito estableciera que no se requerían daños reales y que un individuo podía optar por aceptar daños reales o legales, se sentó el precedente. Malley Firm estaba preparada para presentar y comenzó a presentar una gran cantidad de litigios federales sobre privacidad. Las demandas colectivas federales que involucran violaciones de la Ley de Protección de la Privacidad del Conductor ("DPPA"), 18 USC § 2721, et seq, presentadas por las Oficinas Legales de Joseph H. Malley PC en Texas, Florida, Missouri y Arkansas, involucran a aproximadamente 4 -500 empresas, incluyen las siguientes: