Portabilidad de datos - Data portability
La portabilidad de datos es un concepto para proteger a los usuarios de que sus datos se almacenen en "silos" o "jardines amurallados" que son incompatibles entre sí, es decir , plataformas cerradas , lo que los somete al bloqueo del proveedor y dificulta la creación de copias de seguridad de datos .
La portabilidad de datos requiere estándares técnicos comunes para facilitar la transferencia de un controlador de datos a otro, como la capacidad de exportar datos del usuario a un archivo local accesible para el usuario, promoviendo así la interoperabilidad , así como facilitar la búsqueda con herramientas sofisticadas como grep.
La portabilidad de datos se aplica a los datos personales. Implica el acceso a los datos personales sin implicar la propiedad de los datos per se.
Desarrollo
A nivel mundial, hay defensores que ven la protección de los datos digitales como un derecho humano. Así, en un borrador de declaración de la sociedad civil emergente, se mencionan los siguientes conceptos y estatutos: Derecho a la Privacidad en Internet, Derecho a la Protección de Datos Digitales, Derechos a la Protección del Consumidor en Internet - Directrices de las Naciones Unidas para la Protección del Consumidor.
A nivel regional, existen al menos tres jurisdicciones principales donde los derechos de datos se ven de manera diferente: China e India, Estados Unidos y la Unión Europea. En este último, los datos personales recibieron una protección especial en virtud del Reglamento general de protección de datos (GDPR) de 2018 .
El RGPD se convirtió así en el quinto de los 24 tipos de legislación enumerados en el Cuadro del Anexo 1 de Directivas y Reglamentos Europeos existentes y propuestos en relación con los datos.
Los datos personales son la base de la publicidad comportamental y, a principios del siglo XXI, su valor comenzó a crecer exponencialmente, al menos en la medida en la capitalización de mercado de las principales plataformas que tienen datos personales de sus respectivos usuarios. Los reguladores de la Unión Europea reaccionaron a este desequilibrio de poder percibido entre las plataformas y los usuarios, aunque mucho aún depende de los términos del consentimiento otorgado por los usuarios a las plataformas. El concepto de portabilidad de datos comprende un intento de corregir el desequilibrio de poder percibido mediante la introducción de un elemento de competencia que permite a los usuarios elegir entre plataformas.
Plataformas online
Con la llegada del Reglamento General de Protección de Datos (GDPR), las plataformas de redes sociales como Twitter e Instagram han adaptado ampliamente la capacidad de exportar y descargar datos de usuario en un archivo ZIP . Otras plataformas como Google y Facebook ya estaban equipadas con opciones de exportación anteriormente.
Sin embargo, algunas plataformas restringen las exportaciones con retrasos de tiempo entre cada una, como una vez cada 30 días en Twitter, y muchas plataformas carecen de opciones de exportación parciales.
Otros sitios como Quora no ofrecen un formulario de solicitud automatizado, lo que requiere que el usuario solicite una copia de sus datos a través de un correo electrónico de soporte personal .
En electrónica de consumo
Dispositivos móviles
Algunas aplicaciones móviles restringen la portabilidad de los datos al almacenar los datos del usuario en directorios bloqueados sin tener opciones de exportación . Esto puede incluir archivos de configuración , marcadores digitales , historial de navegación y sesiones (por ejemplo, lista de pestañas abiertas e historiales de navegación), historiales de búsqueda y visualización en aplicaciones de transmisión multimedia , listas de reproducción personalizadas en software de reproducción multimedia , entradas en software de toma de notas y memorandos , teléfono digital libros ( listas de contactos ), registros de llamadas desde la aplicación de teléfono y conversaciones a través de SMS y software de mensajería instantánea .
Los directorios bloqueados son inaccesibles para un usuario final sin medidas extraordinarias como el llamado rooting (Android) o jailbreak (iOS) .
El primero requiere que el llamado cargador de arranque del dispositivo esté en un estado desbloqueado de antemano, lo que generalmente no es el predeterminado. Cambiar ese estado implica un borrado completo de todos los datos del usuario, conocido como borrado , lo que lo convierte en un círculo vicioso si el objetivo del usuario fuera acceder a sus datos bloqueados.
Otras aplicaciones móviles solo permiten la creación de copias de seguridad de los datos del usuario utilizando software propietario proporcionado por el proveedor, sin la capacidad de exportar directamente los datos a un archivo local en el directorio de datos de usuario común del dispositivo móvil. Dicho software requiere una computadora host externa para ejecutarse.
Algunos proveedores de dispositivos ofrecen servicios de sincronización y almacenamiento en la nube para realizar copias de seguridad de los datos. Sin embargo, dichos servicios requieren registro y dependen de la conexión a Internet y, preferiblemente, altas velocidades de Internet y límites del plan de datos si se usan con regularidad. Es posible que algunos servicios solo permitan mover partes de los datos, como mensajes de texto y guías telefónicas, entre directorios bloqueados en dispositivos del mismo proveedor ( bloqueo de proveedor ), sin la capacidad de exportar la información a archivos locales directamente accesibles por el usuario final.
Las restricciones agregadas en versiones más recientes de los sistemas operativos , como el almacenamiento de alcance , que se dice que se implementó con el objetivo de mejorar la privacidad del usuario, comprometen la compatibilidad con versiones anteriores del software existente establecido, como administradores de archivos y aplicaciones de servidor FTP , así como usos legítimos como la comunicación entre aplicaciones y facilitar la transferencia de archivos grandes y la creación de copias de seguridad .
Otras posibles limitaciones a la portabilidad de datos son la baja fiabilidad, estabilidad y rendimiento de los medios existentes de transferencia de datos, como se describe en el Protocolo de transferencia de medios § Rendimiento .
Grabadores de video digitales
Algunas grabadoras de video digital (DVR) que almacenan grabaciones en un disco duro interno carecen de la capacidad de realizar copias de seguridad de las grabaciones, lo que obliga al usuario a eliminar las grabaciones existentes cuando se agota el espacio en el disco, lo cual es un ejemplo de poca portabilidad de datos.
Algunos DVR tienen un sistema operativo que depende de la conexión a Internet para arrancar y operar, lo que significa que las grabaciones almacenadas localmente son inaccesibles si no hay conexión a Internet disponible. Si el proveedor de servicios de televisión desaprueba el servicio para el dispositivo, las grabaciones existentes se vuelven inaccesibles y, por lo tanto, se pierden considerablemente.
Otros electrodomésticos
Las unidades telefónicas de línea fija inalámbrica , así como sus estaciones base asociadas, que tienen firmwares con directorio telefónico y funcionalidad de mensajería SMS , comúnmente carecen de una interfaz para conectarse a una computadora para realizar copias de seguridad de los datos.
En software
Algunos programas, como el de foro Discourse , ofrecen a los usuarios la posibilidad de descargar sus publicaciones en un archivo de almacenamiento.
Otro software puede operar localmente, pero almacena los datos del usuario en un formato propietario , lo que provoca el bloqueo del proveedor hasta que los desarrolladores externos lo realicen con ingeniería inversa .
Por país
unión Europea
El derecho a la portabilidad de datos se estableció en el Reglamento general de protección de datos (GDPR) de la Unión Europea aprobado en abril de 2016. El reglamento se aplica a los procesadores de datos, ya sea dentro o fuera de la UE, si procesan datos sobre personas que se encuentran físicamente dentro de un Estado miembro de la UE.
Los responsables del tratamiento deben hacer que los datos estén disponibles en un formato estructurado, de uso común, legible por máquina e interoperable que permita a la persona transferir los datos a otro responsable del tratamiento.
Anteriormente, el Supervisor Europeo de Protección de Datos había declarado que la portabilidad de los datos podría "permitir que las personas se beneficien del valor creado por el uso de sus datos personales".
El Grupo de trabajo sobre protección de datos del artículo 29 a nivel europeo celebró una consulta al respecto en inglés que se prolongó hasta finales de enero de 2017.
Sus pautas y preguntas frecuentes sobre el derecho a la portabilidad de datos contienen este llamado a la acción:
WP29 alienta fuertemente la cooperación entre las partes interesadas de la industria y las asociaciones comerciales para trabajar juntos en un conjunto común de estándares y formatos interoperables para cumplir con los requisitos del derecho a la portabilidad de datos. Este desafío también ha sido abordado por el Marco Europeo de Interoperabilidad (EIF).
En abril de 2017, se publicaron nuevas directrices en el sitio web del Grupo de Trabajo del artículo 29.
En 2021, investigadores, muchos de ellos franceses y finlandeses, publicaron un informe de 46 páginas que cubría el estado de la técnica.
El supervisor de datos nacional francés CNIL organizó un debate en francés. Los participantes actuales opinan sobre cómo la legislación aporta pocos beneficios a las empresas, pero muchos a los usuarios.
Aunque el Reino Unido votó a favor de retirarse de la UE , tiene la intención de incorporar gran parte del GDPR en su propia legislación, que incluirá la portabilidad de datos, ya que "... el GDPR en sí contiene algunas innovaciones notables, por ejemplo ... la introducción de un nuevo derecho a la portabilidad de datos ". En noviembre, en el Foro de Gobernanza de Internet 2019 en Berlín, los panelistas informaron que el artículo 20 del RGPD no es procesable, ni legal ni técnicamente. En el Reino Unido, irónicamente después del Brexit, los investigadores están monitoreando los desarrollos.
Alemania ha pedido que se fortalezca el derecho de la Unión Europea a la portabilidad de datos utilizando la ley de competencia. Se creó una comisión con el propósito de proponer mejoras.
Suiza
Asimismo, en Suiza, un estado-nación que está relacionado con la UE solo de forma bilateral y como estado miembro de la AELC , ha habido una tendencia que se mueve en la misma dirección. La vista suiza se publicó oficialmente en marzo de 2018 (como documento en PDF).
Una asociación propuso tener un derecho a la portabilidad de datos anclado en la constitución de la Confederación Suiza. Se aprobó una ley que incluye la portabilidad de datos; como se describe aquí en alemán y aquí en francés. La asociación se asocia con una cooperativa llamada MIDATA.coop, que ofrecerá a los usuarios un lugar para almacenar sus datos.
Una segunda asociación ha emitido su directriz sobre el tema.
A largo plazo, los suizos pueden tener que considerar que la portabilidad de datos está en el RGPD. Dado que el RGPD aumentará los costos de cumplimiento para las empresas con sede en la UE, es poco probable que la UE tolere una situación con terceros países en la que las empresas suizas no estarían sujetas al mismo estándar para mantener la competencia justa. Los términos legales involucrados son adecuación y reciprocidad.
Estados Unidos, California
California tiene una Ley de Privacidad del Consumidor (CCPA) de 2018, que introduce la portabilidad de datos a los EE. UU.
Canadá
Canadá anticipa una ley en el sentido de que muestra la transparencia, la portabilidad y la interoperabilidad como Principio No. 4 de su Carta Digital.
India
La portabilidad de datos está incluida en el Proyecto de Ley de Protección de Datos Personales 2019 a punto de convertirse en ley como el artículo 26 del capítulo VI.
Brasil
La portabilidad de datos está incluida en la Privacy_law # Brasil como su Artículo 18.
Australia
En Australia se ha propuesto un derecho de datos del consumidor.
Tailandia
La portabilidad de datos está incluida en la nueva ley.
Kenia
El derecho a la portabilidad de datos está consagrado en la nueva ley de protección de datos en la cláusula 34. Sin embargo, las intenciones detrás de la nueva ley, su aplicación y la relación con el nuevo sistema de gestión de identidad del gobierno ya han sido cuestionadas.
Requisitos para una interoperabilidad de datos efectiva
Siempre es complicado para los legisladores regular con el nivel correcto de precisión, ya que todos entienden que la tecnología evolucionará más rápido que la ley. Hasta ahora, solo la Unión Europea ha formalizado las expectativas en torno a la portabilidad de datos, requiriendo los datos "en un formato estructurado, de uso común, legible por máquina e interoperable".
Esto toca al menos dos requisitos técnicos distintos para una interoperabilidad efectiva:
- la necesidad de utilizar estándares de archivos que permitan una fácil reutilización (por ejemplo, CSV o JSON en lugar de PDF o incluso papel impreso), englobado en un formato "estructurado, de uso común y legible por máquina".
- la necesidad (dependiente de "interoperable") de no solo considerar la publicación de datos de un individuo por sí misma, sino también en conjunto con otros sistemas y las publicaciones de datos de otras personas de la misma compañía. Esto apunta a los requisitos relacionados con los esquemas de datos, el control de versiones y la especificación de esos esquemas en caso de cambios frecuentes y, en general, la ausencia de esfuerzos por parte del controlador de datos de origen para complicar la interoperabilidad efectiva en sentido descendente.
Asimismo, los investigadores europeos subrayan que existen lagunas prácticas y legales que la UE debería llenar.
Derechos de los interesados según el nuevo RGPD de la Unión Europea
La lista de estos derechos ha crecido.
Portabilidad de datos en relación con el derecho de acceso
El derecho de portabilidad de datos es ligeramente diferente del derecho de acceso a los datos personales ; consulte el RGPD y el séptimo elemento de la lista citada inmediatamente arriba. El derecho de acceso solo exige que el interesado pueda ver sus datos personales. La antigua Directiva de protección de datos de la UE solía exigir explícitamente en tales casos que los datos se proporcionaran en forma "inteligible", lo que hasta ahora se ha interpretado como "legible por humanos". Este requisito todavía está algo presente en el Reglamento general de protección de datos de la UE, pero solo implícitamente junto con el considerando (ley) . Dado que el derecho a la portabilidad se refiere principalmente a la reutilización por otros servicios (es decir, probablemente automatizados), es posible que tanto el "formato legible por humanos" como el "formato sin procesar" sean inapropiados para una portabilidad de datos eficaz. Puede ser necesario buscar algún nivel intermedio.
Además, el RGPD limita el alcance de la portabilidad de los datos a los casos en los que el procesamiento se realiza sobre la base del consentimiento del interesado o de la ejecución de un contrato.
Portabilidad de datos en relación con el derecho de explicación
El derecho de portabilidad de datos está relacionado con el " derecho a explicación ", es decir, cuando se toman decisiones automatizadas que tienen efectos legales o un impacto significativo en los interesados individuales. ¿Cómo mostrar un algoritmo? Una forma es a través de un árbol de decisiones . Sin embargo, se encontró que este derecho no era muy útil en un estudio empírico. El derecho a una explicación está relacionado con el "Derecho a no ser evaluado sobre la base del procesamiento automatizado" que se muestra como el último elemento de la lista que se muestra en Gabel / Hickman. Esto incluye decisiones basadas en la elaboración de perfiles . Este derecho se incluyó en la Directiva de protección de datos de la UE de 1995, pero no se siguió mucha aplicación. Un artículo en Wired enfatizó la intensidad de la discusión. El tema ha sido discutido por Bygrave y por Hildebrandt, quien afirmó que este es uno de los derechos de transparencia más importantes en la era del aprendizaje automático y el big data . Contrariamente a las altas expectativas de Hildebrandt en 2012, cuatro años después, después de muchas revisiones del GDPR, cuando el texto ha sido finalizado, otros tres autores conocidos cuestionan si todavía existe el derecho a una explicación en el GDPR (ver más abajo).
En los Estados Unidos hubo una descripción de desarrollos relacionados en un libro seminal del profesor de derecho Frank Pasquale; los pasajes relevantes fueron revisados por el Centro de Información de Privacidad Electrónica (EPIC). Incluso la Agencia de Proyectos de Investigación Avanzada de Defensa de EE. UU., DARPA, tiene un programa de IA explicable (XAI) citado críticamente por el bloguero Artur Kiulian.
En 2016 se han publicado varios artículos sobre estos temas, el primero de los cuales, de Goodman / Flaxman, describe el desarrollo del derecho a la explicación. Pasquale no cree que el enfoque vaya lo suficientemente lejos, como ha afirmado en una entrada de blog de la London School of Economics (LSE). De hecho, en LSE hay una serie completa sobre Responsabilidad algorítmica de la cual fue una entrada en febrero de 2016, y otras notables fueron de Joshua Kroll y Mireille Hildebrandt .
Otro artículo de 2016, este publicado por Katarinou et al., Incluye comentarios sobre el derecho de apelación de tal manera que "los individuos tendrían derecho a apelar a una máquina contra una decisión tomada por un humano".
Un tercer artículo de 2016, uno de los cuales es coautor de Mittelstadt et al., Mapea la literatura y la relaciona con el GDPR en sus páginas 13–14.
Un cuarto documento, en coautoría de Wachter, Mittelstadt y Floridi, refuta la idea de que tal derecho podría incluirse en el GDPR, propone un 'derecho a ser informado' limitado en su lugar y pide la creación de una agencia para implementar el requisito de transparencia. Un documento adicional de Edwards y Veale afirma que es poco probable que dicho derecho se aplique en los casos de 'daños algorítmicos' que atraen la atención de los medios recientes, y que no se ha prestado suficiente atención tanto a la literatura informática sobre la explicación como a cómo otras disposiciones del RGPD, como las evaluaciones de impacto de la protección de datos y la portabilidad de datos, podrían ayudar. Casi dos años después, apareció un artículo que desafía los artículos anteriores, especialmente Wachter / Mittelstadt / Floridi.
A ambos lados del Atlántico ha habido actividad reciente relacionada con este debate en curso. A principios de 2016, expertos en inteligencia artificial y funcionarios del gobierno del Reino Unido se reunieron durante una serie de reuniones y desarrollaron un marco ético de ciencia de datos. El 7 de noviembre de 2016 se celebró un evento en Bruselas, organizado por la eurodiputada Marietje Schaake en el Parlamento Europeo y descrito por danah Boyd. Solo once días después, en la Universidad de Nueva York, hubo una conferencia sobre "Equidad, responsabilidad y transparencia en el aprendizaje automático", donde se articularon los principios para los algoritmos responsables y una declaración de impacto social para los algoritmos y se colocaron en línea para su discusión. A mediados de diciembre, el IEEE publicó un documento cuya edición estaba respaldada por comentarios públicos que fueron invitados en marzo de 2017 sobre "Diseño éticamente alineado". Posteriormente, en 2017, la portabilidad de datos fue analizada por profesores de protección de datos como una innovación central del nuevo GDPR.
Ver también
- Wiki externo GDPR Hub mantenido por Max Schrems et al.
- Proyecto de transferencia de datos
- Ética de la inteligencia artificial
- Reglamento general de protección de datos