La portabilidad de datos es un concepto para proteger a los usuarios de que sus datos se almacenen en "silos" o "jardines amurallados" que son incompatibles entre sí, es decir, plataformas cerradas , lo que los somete a la dependencia del proveedor y dificulta la creación de copias de seguridad o el traslado de datos. cuentas entre servicios difíciles.
La portabilidad de datos requiere estándares técnicos comunes para facilitar la transferencia de un controlador de datos a otro, como la capacidad de exportar datos del usuario a un archivo local accesible para el usuario, promoviendo así la interoperabilidad , además de facilitar la capacidad de búsqueda con herramientas sofisticadas como grep
. [1] [2]
La portabilidad de datos se aplica a los datos personales. Implica el acceso a los datos personales sin que implique per se la propiedad de los datos.
A nivel mundial hay defensores que ven la protección de los datos digitales como un derecho humano. Así, en un borrador de declaración emergente de la sociedad civil, se encuentran menciones a los siguientes conceptos y estatutos: Derecho a la privacidad en Internet, Derecho a la protección de datos digitales, Derechos a la protección del consumidor en Internet – Directrices de las Naciones Unidas para la protección del consumidor . [3]
A nivel regional hay al menos tres jurisdicciones principales donde los derechos de datos se ven de manera diferente: China e India, Estados Unidos y la Unión Europea. En este último, los datos personales recibieron una protección especial en virtud del Reglamento General de Protección de Datos (GDPR) de 2018.
El RGPD se convirtió así en el quinto de los 24 tipos de legislación enumerados en el Anexo 1, Tabla de directivas y reglamentos europeos existentes y propuestos en relación con los datos. [4]
Los datos personales son la base de la publicidad conductual y, a principios del siglo XXI, su valor comenzó a crecer exponencialmente, al menos medido en la capitalización de mercado de las principales plataformas que contienen datos personales sobre sus respectivos usuarios. Los reguladores de la Unión Europea reaccionaron ante este desequilibrio de poder percibido entre plataformas y usuarios, aunque mucho todavía depende de los términos de consentimiento otorgado por los usuarios a las plataformas. El concepto de portabilidad de datos comprende un intento de corregir el desequilibrio de poder percibido mediante la introducción de un elemento de competencia que permita a los usuarios elegir entre plataformas.
Con la llegada del Reglamento General de Protección de Datos (GDPR), las plataformas de redes sociales como Twitter , Instagram y Snapchat han adaptado ampliamente la capacidad de exportar y descargar datos de los usuarios en un archivo ZIP . Otras plataformas como Google y Facebook ya estaban equipadas anteriormente con opciones de exportación.
Sin embargo, algunas plataformas restringen las exportaciones con retrasos entre cada una, como una vez cada 30 días en Twitter, y muchas plataformas carecen de opciones de exportación parcial. [5] [6] [7] [8]
Otros sitios como Quora o Bumble no ofrecen un formulario de solicitud automatizado, requiriendo que el usuario solicite una copia de sus datos a través de un correo electrónico de soporte personal . [9]
La portabilidad de la reputación se refiere a la capacidad de un individuo de transferir su reputación o credibilidad de un contexto a otro. [10] [11] Este concepto se está volviendo cada vez más importante en el mundo interconectado de hoy, donde las personas participan en múltiples comunidades en línea y fuera de línea.
La idea detrás de la portabilidad de la reputación es que la reputación de un individuo no debe estar vinculada únicamente a una única comunidad o plataforma. [12] Más bien, debería ser transferible a través de diferentes contextos, como redes profesionales, plataformas de redes sociales y mercados en línea. Esto permite a las personas mantener una reputación consistente en diversos contextos, lo que puede ser beneficioso en términos de generar confianza y superar el llamado problema del "arranque en frío" [13] [14] y, por lo tanto, mitigar el bloqueo de la plataforma.
En general, la portabilidad de la reputación es un concepto importante en el panorama digital actual y las investigaciones han demostrado que la reputación importada puede servir como señales viables para generar confianza. [15] [16] [17] A medida que la tecnología continúa evolucionando, es probable que la portabilidad de la reputación sea cada vez más importante a la hora de dar forma a la forma en que interactuamos entre nosotros en línea y fuera de línea.
Algunas aplicaciones móviles restringen la portabilidad de los datos al almacenar los datos del usuario en directorios bloqueados y carecen de opciones de exportación . Estos pueden incluir archivos de configuración , marcadores digitales , historial de navegación y sesiones (por ejemplo, lista de pestañas abiertas [a] e historiales de navegación), historiales de visualización y búsqueda en aplicaciones de transmisión multimedia, listas de reproducción personalizadas en software de reproducción multimedia , entradas en software para tomar notas y memorandos . , agendas telefónicas digitales ( listas de contactos ), registros de llamadas desde la aplicación del teléfono y conversaciones a través de SMS y software de mensajería instantánea .
Los directorios bloqueados son inaccesibles para un usuario final sin medidas extraordinarias como el llamado rooting (Android) o jailbreaking (iOS) .
El primero requiere que el llamado cargador de arranque del dispositivo esté previamente desbloqueado, lo que normalmente no ocurre de forma predeterminada. Cambiar ese estado implica un borrado completo de todos los datos del usuario, conocido como borrado , lo que lo convierte en un círculo vicioso si el objetivo del usuario fuera acceder a sus datos bloqueados. [18]
Otras aplicaciones móviles solo permiten la creación de copias de seguridad de los datos del usuario utilizando software propietario proporcionado por el proveedor, y carecen de la capacidad de exportar directamente los datos a un archivo local en el directorio común de datos del usuario del dispositivo móvil. Dicho software requiere una computadora host externa para ejecutarse. [19] [20]
Algunos proveedores de dispositivos ofrecen servicios de sincronización y almacenamiento en la nube para realizar copias de seguridad de los datos. Sin embargo, dichos servicios requieren registro y dependen de la conexión a Internet y, preferiblemente, de altas velocidades de Internet y límites del plan de datos si se utilizan con regularidad. Es posible que algunos servicios solo permitan mover partes de los datos, como mensajes de texto y directorios telefónicos, entre directorios bloqueados en dispositivos del mismo proveedor ( bloqueo de proveedor ), sin la capacidad de exportar la información a archivos locales a los que el usuario final puede acceder directamente. [21] [22]
Las restricciones agregadas en versiones más recientes de los sistemas operativos , como el almacenamiento con alcance , que supuestamente se implementó con el objetivo de mejorar la privacidad del usuario, comprometen tanto la compatibilidad con versiones anteriores del software existente establecido, como administradores de archivos y aplicaciones de servidor FTP , como también usos legítimos, como la comunicación entre aplicaciones y la facilitación de transferencias de archivos grandes y la creación de copias de seguridad . [23] [24]
Otras posibles restricciones a la portabilidad de datos son la poca confiabilidad, estabilidad y rendimiento de los medios existentes de transferencia de datos, como los descritos en Protocolo de transferencia de medios § Rendimiento .
Algunas grabadoras de vídeo digitales (DVR) que almacenan grabaciones en un disco duro interno carecen de la capacidad de realizar copias de seguridad de las grabaciones, lo que obliga al usuario a eliminar las grabaciones existentes cuando se agota el espacio en el disco, lo que es un ejemplo de mala portabilidad de los datos.
Algunos DVR tienen un sistema operativo que depende de una conexión a Internet para iniciarse y funcionar, lo que significa que las grabaciones almacenadas localmente son inaccesibles si no hay conexión a Internet disponible. Si el proveedor de servicios de televisión desaprueba el servicio para el dispositivo, las grabaciones existentes se vuelven inaccesibles y, por lo tanto, se pierden considerablemente. [25] [26]
Las unidades de telefonía fija inalámbrica , así como sus estaciones base asociadas, que tienen firmwares con funcionalidad de directorio telefónico y mensajería SMS , comúnmente carecen de una interfaz para conectarse a una computadora para realizar una copia de seguridad de los datos.
Algunos programas, como el software del foro Discourse , ofrecen una capacidad integrada para que los usuarios descarguen sus publicaciones en un archivo.
Otro software puede funcionar localmente, pero almacenar los datos del usuario en un formato propietario , lo que provoca la dependencia del proveedor hasta que desarrolladores externos realicen ingeniería inversa con éxito .
El derecho a la portabilidad de los datos se estableció en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea aprobado en abril de 2016. El reglamento se aplica a los procesadores de datos, ya sea dentro o fuera de la UE, si procesan datos sobre personas que se encuentran físicamente dentro de un Estado miembro de la UE.
Los responsables del tratamiento deben poner los datos a disposición en un formato estructurado, de uso común, legible por máquina e interoperable que permita al individuo transferir los datos a otro responsable del tratamiento. [27] [28]
Anteriormente, el Supervisor Europeo de Protección de Datos había declarado que la portabilidad de datos podría "permitir a las personas beneficiarse del valor creado por el uso de sus datos personales". [29]
El Grupo de Trabajo sobre Protección de Datos del Artículo 29 a nivel europeo celebró una consulta sobre este tema en inglés que duró hasta finales de enero de 2017.
Sus directrices y preguntas frecuentes sobre el derecho a la portabilidad de datos contienen este llamado a la acción:
El WP29 alienta firmemente la cooperación entre las partes interesadas de la industria y las asociaciones comerciales para trabajar juntos en un conjunto común de estándares y formatos interoperables para cumplir con los requisitos del derecho a la portabilidad de los datos. Este desafío también ha sido abordado por el Marco Europeo de Interoperabilidad (EIF).
El supervisor nacional de datos francés, CNIL, organizó un debate en francés. Los participantes actuales ofrecen opiniones sobre cómo la legislación proporciona pocos beneficios para las empresas, pero muchos para los usuarios. [30]
En abril de 2017, se publicaron nuevas directrices en el sitio web del Grupo de Trabajo del Artículo 29. [31] A finales de 2019, la Comisión publicó la Ley de Gobernanza de Datos. [32]
En 2021, investigadores, muchos de ellos franceses y finlandeses, publicaron un informe de 46 páginas que cubre los últimos avances. [33]
En 2022 la Comisión Europea publicó la Ley de Datos. [34]
Aunque el Reino Unido votó a favor de retirarse de la UE , tiene la intención de incorporar gran parte del RGPD en su propia legislación, que incluirá la portabilidad de datos, ya que "... el RGPD en sí contiene algunas innovaciones notables, por ejemplo... la introducción de un nuevo derecho a la portabilidad de los datos". [35] En noviembre, en el Foro de Gobernanza de Internet 2019 en Berlín, los panelistas informaron que el artículo 20 del RGPD no es procesable, ni legal ni técnicamente. [36] En el Reino Unido (irónicamente después del Brexit), los investigadores están monitoreando los acontecimientos. [37] [38] [39]
Alemania ha pedido fortalecer el derecho de la Unión Europea a la portabilidad de datos utilizando la ley de competencia. Se creó una comisión con el fin de proponer mejoras. [40]
Del mismo modo, en Suiza, un Estado-nación que está relacionado con la UE sólo de forma bilateral y como Estado miembro de la AELC , ha habido una tendencia que avanza en la misma dirección. La opinión suiza se publicó oficialmente en marzo de 2018 (como documento en PDF). [41]
Una asociación propuso tener un derecho a la portabilidad de datos anclado en la constitución de la Confederación Suiza. [42] Se aprobó una ley que incluye la portabilidad de datos; como se describe aquí en alemán [43] y aquí en francés. [44] La asociación está asociada con una cooperativa llamada MIDATA.coop, que ofrecerá a los usuarios un lugar para almacenar sus datos. [45]
Una segunda asociación ha publicado sus directrices sobre el tema. [46]
A largo plazo, es posible que los suizos tengan que considerar que la portabilidad de datos está incluida en el RGPD. Dado que el RGPD aumentará los costos de cumplimiento para las empresas con sede en la UE, es poco probable que la UE tolere una situación con terceros países en la que las empresas suizas no estén sujetas al mismo estándar para mantener una competencia justa. Los términos legales involucrados son adecuación y reciprocidad. [47]
California tiene una Ley de Privacidad del Consumidor (CCPA) de 2018, que introduce la portabilidad de datos a EE. UU. [48]
Canadá anticipa una ley en la que muestra la Transparencia, Portabilidad e Interoperabilidad como Principio No. 4 de su Carta Digital. [49]
La portabilidad de datos está incluida en el Proyecto de Ley de Protección de Datos Personales de 2019 , próximo a convertirse en ley, como artículo 26 del capítulo VI.
La portabilidad de datos está incluida en la Ley de Privacidad de Brasil en su artículo 18. [50]
En Australia se ha propuesto un derecho a los datos del consumidor. [51]
La portabilidad de datos está incluida en la nueva ley. [52]
El derecho a la portabilidad de los datos está consagrado en la nueva ley de protección de datos en la cláusula 34. [53] Sin embargo, las intenciones detrás de la nueva ley, su aplicación y su relación con el nuevo sistema de gestión de identidad del gobierno ya han sido cuestionadas. [54]
Siempre resulta complicado para los legisladores regular con el nivel adecuado de precisión, ya que todos entienden que la tecnología evolucionará más rápido que la ley. Hasta ahora, sólo la Unión Europea ha formalizado las expectativas en torno a la portabilidad de los datos, exigiendo que los datos estén "en un formato estructurado, de uso común, legible por máquina e interoperable".
Esto afecta al menos a dos requisitos técnicos distintos para una interoperabilidad efectiva:
Asimismo, los investigadores europeos subrayan que existen lagunas tanto prácticas como jurídicas que la UE debería colmar. [55]
La lista de estos derechos ha crecido. [56]
El derecho a la portabilidad de los datos es ligeramente diferente al Derecho de acceso a los datos personales ; consulte GDPR y el séptimo elemento de la lista citada inmediatamente arriba. El derecho de acceso únicamente exige que el interesado pueda ver sus datos personales. La antigua Directiva de protección de datos de la UE exigía explícitamente en tales casos que los datos se proporcionaran en forma "inteligible", lo que hasta ahora se ha interpretado como "legible por humanos". Este requisito todavía está presente en cierta medida en el Reglamento general de protección de datos de la UE, pero sólo implícitamente en conjunto con el considerando (ley) . Dado que el derecho a la portabilidad se refiere principalmente a la reutilización por otros servicios (es decir, muy probablemente automatizados), podría ser que tanto el "legible por humanos" como el "formato sin formato" fueran inapropiados para una portabilidad efectiva de los datos. Quizás sea necesario buscar algún nivel intermedio.
Además, el RGPD limita el alcance de la portabilidad de datos a los casos en que el procesamiento se realiza sobre la base del consentimiento del interesado o de la ejecución de un contrato.
El derecho a la portabilidad de los datos está relacionado con el " derecho a la explicación ", es decir, cuando se toman decisiones automatizadas que tienen efectos jurídicos o un impacto significativo en los interesados individuales. ¿Cómo mostrar un algoritmo? Una forma es a través de un árbol de decisiones . Sin embargo, en un estudio empírico se demostró que este derecho no era muy útil. [57] El derecho a una explicación está relacionado con el "Derecho a no ser evaluado sobre la base de un procesamiento automatizado" que aparece como el último elemento de la lista que aparece en Gabel/Hickman. [58] Esto incluye decisiones basadas en la elaboración de perfiles . Este derecho se incluyó en la Directiva de Protección de Datos de la UE de 1995, pero no se hizo mucho cumplimiento. Un artículo en Wired enfatizó la intensidad de la discusión. [59] El tema ha sido discutido por Bygrave, [60] y por Hildebrandt, [61] quienes afirmaron que este es uno de los derechos de transparencia más importantes en la era del aprendizaje automático y los grandes datos . Contrariamente a las grandes expectativas de Hildebrandt en 2012, cuatro años después, después de muchas revisiones del RGPD, cuando el texto ya estaba finalizado, otros tres autores conocidos cuestionan si todavía existe un derecho a una explicación en el RGPD (ver más abajo).
En los Estados Unidos hubo una descripción de acontecimientos relacionados en un libro fundamental del profesor de derecho Frank Pasquale; [62] los pasajes relevantes fueron revisados por el Centro de Información de Privacidad Electrónica (EPIC). [63] Incluso la Agencia de Proyectos de Investigación Avanzada de Defensa de EE. UU., DARPA, tiene un programa de IA explicable (XAI) [64] citado críticamente por el blogger Artur Kiulian. [sesenta y cinco]
En 2016 se publicaron varios artículos sobre estos temas, el primero de los cuales, de Goodman/Flaxman, describe el desarrollo del derecho a la explicación. [66] Pasquale no cree que el enfoque vaya lo suficientemente lejos, como afirmó en una entrada de blog en la London School of Economics (LSE). [67] De hecho, en la LSE hay una serie completa sobre Responsabilidad algorítmica, de la cual esa fue una entrada en febrero de 2016, y otras notables fueron de Joshua Kroll y Mireille Hildebrandt . [68]
Otro artículo de 2016, publicado por Katarinou et al., incluye comentarios sobre un derecho de apelación tal que "los individuos tendrían derecho a apelar ante una máquina contra una decisión tomada por un humano". [69]
Un tercer artículo de 2016, del que son coautores Mittelstadt et al., mapea la literatura y la relaciona con el RGPD en sus páginas 13 y 14. [70]
Un cuarto artículo, del que son coautores Wachter, Mittelstadt y Floridi, refuta la idea de que tal derecho pueda incluirse en el RGPD, propone en su lugar un "derecho a ser informado" limitado y pide la creación de una agencia para implementar el requisito de transparencia. [71] Otro artículo de Edwards y Veale afirma que es poco probable que tal derecho se aplique en los casos de "daños algorítmicos" que atraen recientemente la atención de los medios, y que se ha prestado atención insuficiente tanto a la literatura informática sobre la explicación como a cómo otros Las disposiciones del RGPD, como las evaluaciones de impacto de la protección de datos y la portabilidad de los datos, podrían ayudar. [72] Casi dos años después apareció un artículo que cuestiona artículos anteriores, especialmente Wachter / Mittelstadt / Floridi. [73]
En ambos lados del Atlántico ha habido actividad reciente relacionada con este debate en curso. A principios de 2016, expertos en inteligencia artificial y funcionarios del gobierno del Reino Unido se reunieron durante una serie de reuniones [74] y desarrollaron un marco ético de ciencia de datos. [75] El 7 de noviembre de 2016 se celebró un evento en Bruselas, organizado por la eurodiputada Marietje Schaake en el Parlamento Europeo y descrito por Danah Boyd. [76] Sólo once días después en la Universidad de Nueva York hubo una conferencia sobre "Equidad, Responsabilidad y Transparencia en el Aprendizaje Automático" donde se articularon Principios para Algoritmos Responsables y una Declaración de Impacto Social para Algoritmos y se publicaron en línea para su discusión. [77] A mediados de diciembre, el IEEE publicó un documento cuya edición fue respaldada por comentarios públicos que fueron invitados en marzo de 2017 sobre "Diseño éticamente alineado". [78] Más tarde, en 2017, la portabilidad de datos fue analizada por profesores de protección de datos como una innovación central del nuevo RGPD. [79]