Privacidad y Comercio Electrónico en los Estados Unidos

Por Joel R. Reidenberg

** Joel R. Reidenberg es Profesor de Derecho y Director del Programa de Grado y Asuntos Académicos de Fordham University School of Law (New York). Este trabajo fue presentado en el seminario realizado en la Universidad de California - Berkeley titulado “The Legal and Policy Framework for Global Electronic Commerce: A Progress Report”, realizado en Marzo 4-6, 1999. El artículo fue originariamente publicado bajo el título de Restoring Americans' Privacy in Electronic Commerce en el Berkeley Technology Law Journal, Spring, 1999 (14 Berkeley Tech. L.J. 771). El autor ha escrito varios trabajos y dos libros relativos al derecho a la privacidad.

* Traducción del Dr. Pablo A. Palazzi.

SUMARIO: Introducción I.La filosofía y la sofistica de la política de privacidad en Estados Unidos. II. El desafío de crear estándares de protección de la privacidad. III. Protegiendo la privacidad de los ciudadanos con una combinación de Derecho y Tecnología. IV. Conclusión

Introducción

La protección de la privacidad es una cuestión crítica para el crecimiento del comercio electrónico. En los últimos años, una abrumadora mayoría de americanos reconoció haber perdido el control de su información personal y que las leyes vigentes no son lo suficientemente eficaces para proteger su privacidad[1]. En 1998, la revista Business Week concluyó que la preocupación de los consumidores en proteger su privacidad en Internet se ubicaba como “la razón más importante por la cual la gente no accede a Internet, muy por encima del costo, la facilidad de uso y los mensajes molestos del marketing directo”[2].

El tratamiento adecuado de información personal y la confianza de los ciudadanos en dichos tratamientos son condiciones necesarias para el desarrollo del comercio electrónico en la próxima década. Lamentablemente, el nacimiento político del comercio electrónico en 1997 con el Informe de la Casa Blanca titulado A Framework for Global Electronic Commerce[3], conocido también como el Informe Magaziner (asesor del Presidente en temas de Internet), perdió una oportunidad única de asegurar la privacidad de los ciudadanos en Internet.

Por muchos años, los Estados Unidos fue legislando normas de privacidad en forma limitada, otorgando solamente ciertos derechos específicos en respuesta a situaciones escandalosas de uso abusivo de información[4]. Este enfoque llevó a una incoherencia y a importantes vacíos legislativos en la protección de la privacidad de los ciudadanos americanos[5]. Por ejemplo, en los Estados Unidos los individuos sometidos a programas de tratamiento por abuso de alcohol o drogas tienen mayor privacidad que los usuarios de Internet[6]. En vez de hacer una revisión del sistema de protección de la privacidad americano, el Informe Magaziner adoptó una posición de respeto hacia ese status quo.

Este trabajo examina la filosofía y la sofística basada en la propuesta de autorregulación impulsada por la industria. Luego analiza las leyes genéricas aprobadas por distintos países alrededor del mundo, liderados por el modelo Europeo. Si bien el tratamiento por sectores de los datos personales parece mas adecuado para el comercio electrónico, la experiencia extranjera ilustra numerosos desafíos para la efectiva protección de los ciudadanos. La conclusión argumenta a favor de una política mas deseable que combine medios tecnológicos y legales en orden a proteger la privacidad de los ciudadanos en Internet.

I.- La filosofía y la sofistica de la política de privacidad en Estados Unidos.

Existe un amplio consenso internacional acerca de cuáles son los estándares básicos de protección de la intimidad en una sociedad democrática[7]. En junio de 1998 el gobierno americano dijo que “las directivas de la O.C.D.E. han servido como base a virtualmente todas las legislaciones y códigos de conducta que se han desarrollado a través de los años”[8]. Desde la elaboración del primer informe sobre políticas de privacidad en 1973 por el Ministerio de Salud y Educación[9] y la aprobación de las directivas de la O.C.D.E. en 1980, Estados Unidos han reconocido importantes estándares para el tratamiento de datos personales. Estas normas incluyen el establecimiento de una finalidad en la recolección de datos personales, el consentimiento del individuo para el procesamiento de información, la transparencia en el uso de esa información incluyendo la notificación al registrado y el acceso a sus datos personales, tratamientos especiales para datos sensible tales como información médica y la existencia de mecanismos de cumplimiento, ejecución y remedios legales.

Los Estados Unidos, sin embargo, ha rechazado todo intento de legislar un set completo de estándares de privacidad[10]. Mas aún, el Congreso y las legislaturas estaduales han aprobado leyes aisladas y con alcance limitado tales como la Fair Credit Reporting Act[11] y la Video Privacy Protection Act[12], promovidas en parte por el descubrimiento de ciertas prácticas escandalosas. Este tipo de protección legal sólo cubre ciertas y específicas conductas realizadas por determinadas personas tales como las agencias que proveen informes crediticios o las tiendas de alquiler de videos. Esta política reactiva de creación de normas de privacidad fue predicada sobre la base de entender que la autorregulación permitiría lograr la mayor protección de la privacidad sin un interferencia o intrusión del gobierno y con flexibilidad para adoptar tecnologías que se desarrollan dinámicamente. Esta teoría sostiene que el mercado va a proteger la privacidad porque un estándar adecuado de tratamiento de datos personales favorece al consumidor; en otras palabras, la industria tratará de proteger los datos personales con el fin de ganar la confianza del consumidor y maximizar sus ingresos[13].

Por más de veinte años los grupos de trabajo e investigación formados en el gobierno regularmente llamaron la atención sobre la falta de estándares para el tratamiento de datos personales en la sociedad americana, pero en sus conclusiones siempre sostuvieron que “la industria requería mas tiempo para autorregularse”[14]. Con la revolución de Internet el gobierno americano tenía la posibilidad de concebir una nueva visión sobre la privacidad en Estados Unidos. Desafortunadamente el Informe Magaziner buscó preservar el status quo:

“La Administración considera que la protección de datos es sumamente importante. Se considera que los esfuerzos privados de la industria trabajando en cooperación con las asociaciones de consumidores son preferibles a la regulación por parte del gobierno, pero si no resulta posible alcanzar una efectiva protección de la privacidad mediante este método, será necesario reevaluar esta política”[15].

En efecto, el Informe Magaziner respondió mas a la industria de datos personales que a los consumidores permitiendo que los primeros sigan manejando los datos personales de los consumidores y no que éstos últimos puedan participar en las decisiones sobre su información personal. Por cierto, elmercado de los datos personales es un gran negocio en los Estados Unidos.En 1998, las ganancias anuales de las compañías dedicadas a la venta de información personal y perfiles de consumidores sin consentimiento de los individuos superaba los 1.5 billones de dólares[16].

A pesar de la afirmaciones de los representantes de la industria, existan fallas muy importantes en la teoría de la autorregulación. Primero, la autorregulación asume que la apreciación de todos los valores y conflictos relativos a la privacidad pueden ser resueltos por el mercado. Pero los intereses subyacentes en el derecho a la vida privada son centrales a un gobierno democrático[17], y la preservación de la intimidad es una condición necesaria para una sociedad participativa[18]. Los gobiernos totalitarios prefieren un estado de vigilancia[19]. De hecho un gobierno democrático no va a traficar con los derechos básicos fundamentales. Aunque se rechace esta posición, un mercado sólo funcionará en forma eficiente si existe transparencia; esto es si los ciudadanos son capaces de identificar a los colectores y usuarios de su información personal. Sin embargo, para el caso de los datos personales la tendencia natural del mercado es hacia una menor transparencia en los tratamientos de datos personales.

Este es un clásico caso de “market failure”. Mientras las empresas no revelen qué informaciones recopilan, los ciudadanos no van a poder evaluar cómo son usados sus datos personales. En el sector privado el modelo económico actual no va a permitir que exista transparencia[20]. Estas empresas obtienen pingues ganancias en base a la recolección secreta y la posterior venta de esta información; el mercado de cerca de 1.5 billones de dólares en información personal esta oculto a la opinión pública. Muy pocas personas han oído hablar de compañías tales como Acxiom o First Data. Estas empresas poseen “data warehouses” con la información mas detallada e intima de millones de americanos. Por ejemplo, Acxiom vende datos tal como la pertenecia étnica y religiosa, el tipo de auto que una persona posee e incluso qué clase de ropa compra, incluyendo ropa interior[21].

Debido a la falta de transparencia, un abundante tráfico de información ha surgido en los Estados Unidos sin obligación de cumplir normas legales y con un riesgo mínimo de perjudicar intereses corporativos por eventuales abusos de datos personales. No sorprende entonces que un análisis de los Códigos de la industria sobre prácticas de privacidad revele políticas que no respetan los mas básicos y fundamentales principios de protección de la privacidad[22].

En efecto, la experiencia americana de las últimas dos décadas demuestra que la teoría de la autorregulación es un mero sofisma. Una y otra vez, el gobierno de los Estados Unidos reconoció que la autorregulación es sólo una hipótesis para las empresas americanas. El Departamento de Comercio realizó la tan esperada Audiencia pública sobre Privacidad en Internet en Junio de 1998, inicialmente designada para dar una oportunidad a la industria de demostrar sus logros en la autorregulación[23]. Desafortunadamente, la industria tenía muy poco que mostrar en términos de implementación de políticas efectivas de privacidad y el Secretario de Comercio tuvo que admitir que la industria estaba fallando en sus objetivos[24]. El titular de la Comisión Federal de Comercio (Federal Trade Commission), en su testimonio ante el Congreso en el verano de 1998 afirmó que “a pesar de los esfuerzos de la Comisión para impulsar y facilitar un sistema de autorregulación efectiva, todavía no habían obtenidos resultados positivos”[25]. Varios meses después, la primera revisión del gobierno al Framework for Global Electronic Commerce admitía tristemente que la industria había solo respondido tentativamente a las preocupaciones de la privacidad frente a las presiones del gobierno[26].

Vale la pena notar, sin embargo que la industria ha mejorado sus conversaciones sobre privacidad en los últimos tiempos. Las asociaciones industriales en los últimos años comenzaron a tratar cuestiones de privacidad (y a hacer lobby en el Congreso en contra de una regulación). El Secretario de Comercio ha tratado de resaltar las iniciativas de autorregulación tales como TRUSTe y BBBOnLine como un evidente signo de progreso[27].

Pero irónicamente son estos ejemplos los que demuestran las deficiencias estructurales del esquema de autorregulación de la industria. TRUSTe, por ejemplo, es un programa a través del cual las páginas de Internet acuerdan revelar sus políticas de privacidad y son licenciados para usar un logo que indica que ese sitio protege la privacidad[28]. TRUSTepuede auditar a los licenciados para verificar el cumplimiento de la política de privacidad. Sin embargo el programa ha tenido varios problemas. Cerca de 450 empresas están licenciadas para usar el logo, pero este es un número trivial comparado con el número de sitios de Internet en Estados Unidos. De hecho, una de las empresas amparadas por este logo, Geocities tiene la distinción de haber sido la primera compañía sometida a un sumario de la Comisión Federal de Comercio por haber traficado información personal[29] y cerca de un cincuenta por ciento de los sponsors de TRUSTe no se han molestado en suscribirse al programa y licenciar el uso del logo[30].

TRUSTe incluso tiene en su web un hipervínculo a un servicio de búsqueda de información en Internet que no revela ninguna política de privacidad y pertenece a una compañía que ni siquiera está listada como licenciante de TRUSTe[31].

Una situación similar encontramos respecto a BBBOnLine un proyecto que forma parte del Better Business Bureau propuesto mas de un año atrás en respuesta a la presión del gobierno a la industria para que demuestre la efectividad de la autorregulación[32].

BBBOnLine espera proveer un mecanismo de decisión para disputas sobre privacidad online. Pero por ahora este mecanismo resulta sólo hipotético. El programa comenzó oficialmente el 17 de marzo de 1999[33]. Pero ignora la cuestión de que el consentimiento no puede ser la base adecuada para el procesamiento de cierta información personal, tal como datos sobre la salud y sólo requiere a las páginas web revelar ciertas prácticas, carece de remedios legales para las víctimas de violación a la privacidad y no tiene el requisito de proveer acceso completo a los datos personales[34]. Asimismo BBBOnLine usa una definición muy vaga: “información personal de individuos" sin circunscribir el ámbito de las obligaciones de sus participantes. Esta por verse si la industria en general participará activamente en este programa.

Asimismo, existe otra importante iniciativa de privacidad que por ahora no está disponible, a pesar de haberse iniciado hace tres años y tener impulso del gobierno. La tecnologías de Internet que permiten el etiquetado (labeling) y el filtrado basados en el protocolo Platform for
Internet Content Selection ("PICS,") están bajo desarrollo para una aplicación de privacidad, la “Platform for Privacy Preferences” (conocida como "P3P") desde 1996[35]. El World Wide Web Consortium ("W3C")[36], la organización dedicada a la creación de estándares en Internet ha impulsado el desarrollo de la tecnología P3P. Pero después de tres años el W3C no ha logrado obtener consenso en la industria para concluir la fase de desarrollo ni compañías interesadas en implementar esta tecnología. Además P3P enfrenta problemas de licenciamiento de derechos de patentes que amenazan la posible adopción de este estándar por parte de la industria[37].

La piedra angular de estos esfuerzos por la autorregulación y de esta política americana parece resumirse en la creencia que los conceptos de notificación y consentimiento van a resolver la cuestión de la privacidad. Al describir el concepto de notificación, el Informe Magaziner, en tal sentido, señala que “quienes recopilan datos personales deberán informar a los consumidores qué información han recolectado y como planear usar esos datos”[38]. El mismo informe describe el principio del consentimiento afirmando que “quienes recopilan información debe proveer a los consumidores una forma adecuada para limitar el uso y la reutilización de información personal”[39]. El Informe Magaziner incluso argumenta que “los estándares básicos para el tratamiento de información personal [...] descansan en los preceptos fundamentales de tomar transparencia y opción”[40]. Esta posición es enfatizada en el documento del Departamento de Comercio denominado “Elementos de una efectiva autorregulación”[41].

Pero estos documentos parten de una errónea concepción de los estándares básicos para el tratamiento de información personal. Estos principios incluyen preceptos básicos tales como limitaciones en el uso de la información, minimizar la recolección de datos a lo necesario, y el derecho al olvido; preceptos que no están incluidos dentro de la notificación y el consentimiento. En realidad, Estados Unidos ha reconocido que la privacidad informacional incluye algo mas que estos principios al aprobar las Directrices de la O.C.D.E.[42]. En el caso aislado de una agencia del gobierno, la Comisión Federal de Comunicaciones (FCC) analizó la efectividad del consentimiento como una base legítima para la venta de información personal a empresas dedicadas al marketing directo. La FCC concluyó que el opt-out era un fundamento deficiente para el procesamiento de información personal bajo la Ley de Telecomunicaciones del año 1996 que establecía proteger la privacidad del suscriptor de servicios de comunicaciones[43].

Por eso, fundarse solo en los principios de “notificación” y “consentimiento” ignora los otros principios básicos de tratamiento de datos personales y demuestra cómo la autorregulación no ha funcionado. Por supuesto, en el mundo online, las prácticas establecidas por defecto rutinariamente favorecen las invasiones a la privacidad sobre la implementación de estándares para la protección de la privacidad de los ciudadanos. Ejemplos recientes como la inclusión por parte de Intel de un número de serie único en sus procesadores Pentium III[44] y la función denominada "smart browsing" en Netscape Communicator e Internet Explorer, que envía al fabricante un archivo oculto de las direcciones de Internet visitadas por el usuario[45], ilustran técnicas que facilitan la vigilancia subrepticia del ciudadano.

Estos ejemplos demuestran que el conjunto de los principios de protección de datos personales son “marginalizados” por el esquema de autorregulación definido solamente por los elementos de notificación y consentimiento. La función “Smart browsing”, por ejemplo viola los principios de limitación de la finalidad y limitación del almacenamiento temporal pues las direcciones de Internet visitadas son almacenadas mas allá de la comunicación y “subidas” a un sitio remoto para procesar perfiles personales.

Estos defectos en al teoría y la práctica de la autorregulación presentan un problema para las empresas dedicadas al comercio electrónico. El Comercio Electrónico es un fenómeno global, y la política de protección de la vida privada americana es contraria al movimiento mundial que está estableciendo estándares claros y horizontales. Irónicamente, las empresas americanas dedicadas al comercio electrónico enfrentan una elección muy difícil: o proveen mejor protección para la privacidad de sus clientes, en orden a tener un set único de principios para sus operaciones globales (porque les leyes extranjeras donde operan requieren esos recaudos) o mantienen un estándar doble, tratando a los ciudadanos extranjeros en forma mas cuidadosa respecto a su privacidad que a los americanos. El Informe Magaziner ignora ampliamente esta incongruencia y asume que el resto del mundo simplemente aceptará el status quo americano[46].

La consecuencia internacional de este enfoque basado en la autorregulación es una situación muy incómoda para el gobierno americano. Al no poder demostrar la existencia de una efectiva protección de la privacidad en Estados Unidos, los europeos amenazan con bloquear el flujo de datos personales a los Estados Unidos[47]. El Departamento de Comercio americano ha intentado negociar con la Comisión Europea un “puerto seguro” que aseguraría la privacidad de las transmisiones internacionales de datos a los Estados Unidos y evitaría la prohibición de exportaciones[48].

Pero la propuesta americana fue criticada y ridiculizada por su falta de contenido[49]. El Departamento de Comercio no pudo proponer un estándar significativo que incluyera mecanismos de implementación y soluciones jurídicas a las víctimas, sin erosionar su apoyo a la autorregulación, y tampoco pudo responder adecuadamente a esas críticas. Pero sin un estándar significativo, los Estados Unidos se aíslan del resto del mundo en materia de privacidad. Ha llegado el momento de reevaluar y cambiar la política que favorece la vigilancia y el tráfico de información sobre ciudadanos.

II. El desafío de crear estándares de protección de la privacidad.

El constante reciclaje de viejas e inútiles políticas de privacidad en los Estados Unidos que no protegen al ciudadano está en directa oposición con el movimiento de protección de datos personales alrededor del mundo. En l Derecho comparado, liderado por los quince países de la Unión Europea (“los países miembros”)[50] se adoptó un enfoque mas general y comprensivo. Irónicamente, Europa aprendió sus lecciones de privacidad de la información del movimiento que se gestó en los Estados Unidos en la década del sesenta y del setenta[51]. Pero a diferencia de los Estados Unidos, cuando los países europeos comenzaron a enfrentar la recopilación y procesamiento de datos personales en la década del setenta y ochenta, decidieron adoptar una posición respecto de la protección de datos mas amplia, basada en el reconocimiento de varios derechos en vez de un enfoque basado en las leyes de mercado. De hecho, la Convención del Consejo de Europa abierta para su firma y ratificación en 1981 tenía por objeto y finalidad “asegurar en el territorio de cada estado parte para cada individuo, cualquiera sea su nacionalidad o residencia, el respeto por sus derechos y libertades fundamentales, y en particular el derecho a la privacidad en relación al procesamiento automatizado de datos personales”[52].

Bajo el modelo europeo, legislaciones marco garantizan un conjunto de principios que aseguran el tratamiento adecuado de datos personales y la protección de los ciudadanos. En general, la protección de datos europea define cada uno de los derechos de los ciudadanos en base al derecho a la autodeterminación informativa[53].

Esta premisa europea del derecho a la autodeterminación informativa pone al ciudadano en control de la recolección y uso de su información personal. El enfoque impone obligaciones sobre quienes adquieren, almacenan, usan, difunden y en general procesan datos personales y al mismo tiempo otorga a los ciudadanos el derecho a consentir ese tratamiento de datos personales y el derecho a acceder a la información almacenada y corregir errores o inexactitudes. En vez de otorgar preeminencia a los intereses económicos, el enfoque europeo busca otorgar un mayor nivel de protección a los ciudadanos[54].

Si bien el enfoque comprensivo de derechos tiene un atractivo conceptual para el comercio electrónico, esta teoría posee ciertos problemas legales para la estructura de los emprendimientos del comercio electrónico y la efectiva protección de los ciudadanos. Una legislación basada en el otorgamiento de derechos genéricos cubre el procesamiento electrónico de datos conindependencia del contexto en que estos sean realizados[55]. Estas legislaciones aplican los mismos estándares para el tratamiento de datos personales a través de diversos sectores. En teoría, este enfoque multisectorial estáa de acuerdo con la Sociedad de la información, donde los límites de las industrias se diluyen y la categorización de datos no es tan clara como en otros sectores.

Sin embargo con la proliferación de leyes de protección de datos personales durante las últimas dos décadas, las leyes nacionales evolucionaron[56] y la existencia de estándares diferentes en varios países de la Unión Europea amenazaron el libre flujo de información dentro de la Unión Europea. Por ejemplo, el ámbito de aplicación de las leyes de protección de datos y los recaudos de transparencia varían a través de las distintas leyes, produciendo conflictos para un procesamiento de datos personales pan europeo[57]. En respuesta a ello los estados miembros de la Unión Europea buscaron armonizar la protección de datos y lanzaron un proceso de negociación que duró cinco años que dió como resultado la aprobación de la Directiva Europea de protección de datos[58].

La Directiva Europea confirmó el enfoque basado en derechos y contenía normas generales y también ciertas normas provenientes de las legislaciones de sus países miembros[59]. Tal como lo hacían las normas nacionales vigentes, la Directiva incluye una serie de principios reconocidos internacionalmente. Cada país miembro debe aprobar una norma implementando estos estándares tal como son definidos por la Directiva[60], y también deben mantener una autoridad nacional independiente encargada de vigilar y aplicar la ley[61]. Asimismo se requiere que cada persona que procese datos personales debe notificar a esta autoridad de supervisión y ésta última

debe poseer un registro público de quienes procesan datos personales[62].

Aunque la armonización de estos principios de protección de datos parece adecuada al comercio electrónico, en la práctica la complejidad de los recaudos para el procesamiento de datos personales en la sociedad de la información hace la aplicación de estos principios a ciertos sectores difícil. De hecho, el mecanismo de registro diseñado para asegurar transparencia en el procesamiento de datos personales puede resultar caro y problemático. Dentro de Europa los críticos han argumentado que el cumplimiento de estas obligaciones de registro es deficiente[63].

En cualquier otro lugar del mundo, la necesidad de notificar a una agencia del gobierno el hecho de recoger datos personales sería visto como una intrusión del gobierno en la esfera privada. En Estados Unidos, por ejemplo, el compromiso europeo de registrar a quienes procesan datos personales choca con los valores de la Cuarta Enmienda a Constitución Federal que resguarda de la intrusión del gobierno en las actividades de los ciudadanos.

Mas aun, la aplicación de la Directiva Europea no remueve todas las diferencias y ambigüedades en las leyes nacionales[64]. Estas pequeñas divergencias necesariamente existirán pues los principios deben ser interpretados por distintas autoridades regulatorias de cada país miembro de la Unión Europea. Estas diferencias en los estándares pueden transformarse en obstáculos importantes para los complejos procesamientos de datos personales que requiere el comercio electrónico. Por ejemplo, la Directiva Europea requiere que los derechos de privacidad se apliquen a cualquier información que identifique a una persona[65]. Pero el ámbito de esta definición no es el mismo en las leyes de cada estado miembro; lo que algunos países consideran “identificable” otros no lo contemplan en sus leyes[66]. Igualmente, las notificaciones que deben ser realizadas a los individuos previamente a la recogida de sus datos personales varia en Europa[67]. Estas diferencias distorsionan la habilidad de realizar procesamientos de datos en varios estados pues es seguro que recaudos conflictivos se aplicaran a los flujos de datos transfronteras.

La dificultad de crear estándares compresivos es, sin embargo, mitigada por la creación de consenso dentro de la Unión Europea e instrumentos extra legales de política disponibles bajo el modelo europeo. La Directiva Europea crea un Grupo de Trabajo formado por los comisionados de protección de datos de los países miembros[68].

Este grupo de trabajo constituye un canal de consultas para los comisionados de datos sobre como interpretar la Directiva. Pero estas pautas del Grupo de Trabajo no son suficientes para asegurar la privacidad del comercio electrónico. Estas pautas no serían significativas en un mundo de redes tan dinámico sin una infraestructura técnica que también promueva la protección de datos. Esto ha sido reconocido a nivel internacional por los comisionados de protección de datos que sostuvieron:

"es necesario desarrollar principios de diseño para la información y la tecnologías de las telecomunicaciones... que permitirán a los individuos controlar ... sus datos personales”[69].

El modelo Europeo tiene una norma relativa al consenso, referida a códigos de conducta que podría facilitar la implementación de tecnologías protectoras de la privacidad[70]. La Directiva Europea, basándose en la ley holandesa de protección de datos, establece la posibilidad de aprobar códigos de conducta basados en sus estándares de privacidad. Esta norma podría ser usada para certificar códigos técnicos y configuraciones que aseguren la privacidad[71]. El uso de esas medidas técnicas podría ser diseñado para evitar problemas en las diferencias existentes tales como la necesidad de notificaciones[72].

Para las redes globales de información y el comercio electrónico, el enfoque europeo significa una tensión. Sin la autoridad regulatoria para restringir transferencias de datos personales, el equilibrio de derechos de los ciudadanos en Europa puede verse fácilmente comprometido con la circunvención de Europa para el procesamiento de datos. Por ello la Directiva incluye dos artículos que aseguran que la información personal originada en Europa será tratada de acuerdo a los estándares europeos. Una norma relativa al derecho aplicable (choice of law clause) asegura que los estándares del estado local se aplican a las actividades dentro de su jurisdicción y una norma relativa al flujo de datos transfronterizos prohíbe la transferencia de datos personales a países que no tengan una protección de la privacidad “adecuada”[73]. Algunos autores anuncian que cualquier acción europea creara una guerra comercial que Europa perdería ante la OMC[74]. Mientras que en teoría dicha posibilidad es factible, la situación planteada es también muy remota[75].

Incluso con las dificultades del enfoque europeo, otros países se están basando en la Directiva Europa como el modelo básico de privacidad informativa, e importantes movimientos legislativos basados en el estilo europeo de protección de datos existen en Canadá, América Latina y el Este de Europa[76]

Este movimiento puede ser atribuido en parte a la presión ejercida desde Europa, examinando la adecuación de las leyes extranjeras de privacidad pero en parte se debe también al atractivo de un conjunto de reglas sobre protección de datos. En efecto, Europa ha desplazado a los Estados Unidos en establecer la agenda global de la privacidad con la aprobación de la Directiva Europea.

Pero como ilustra la experiencia europea, la resolución de estos problemas no puede provenir solo de una reforma legal. En pocas palabras, el enfoque basado en principios generales de privacidad tiene dos serios problemas. Primero, la existencia de principios generales dejan siempre la puerta abierta a distintas interpretaciones, especialmente tratándose de países con diferentes regímenes legales. Para el comercio electrónico, cualquier diferencia, por mínima que sea en su implementación o interpretación, puede generar distorsiones que afecten la aplicación de estas leyes y los incentivos para protección de compañías[77].En segundo lugar el proceso de adopción de leyes de protección de datos es excesivamente lento. La Directiva europea vigente se aprobó hace cinco años y su transposición en el derecho local estaba prevista para tres años mas[78]. En tiempos de Internet, esto es una eternidad.

III. Protegiendo la privacidad de los ciudadanos con una combinación de Derecho y Tecnología.

Las lecciones de la experiencia americana basadas en la autorregulación enseñan que el gobierno no puede abdicar su responsabilidad para la protección de la privacidad de los ciudadanos a un mercado incentivado solo por la venta de datos personales. Al mismo tiempo, la experiencia proveniente de Europa basada en regímenes de protección de datos ilustran que una efectiva protección de la privacidad no termina solo con la aprobación de una ley. Garantizar la privacidad de los ciudadanos requiere una combinación de ley y tecnología que permite utilizar sus mecanismos para asegurar el tratamiento adecuado de datos personales.

En un estado democrático la privacidad es un derecho fundamental de los ciudadanos[79].
A diferencia de otros aspectos del derecho a la vida privada, la privacidad informacional es única desde el punto de vista que los individuos no pueden determinar cómo su información personal es usada sin acceder a las actividades internas de aquellos que procesan los datos. Parafraseando al Juez Stewart, “No lo conozco cuando no puedo verlo” ("I do not know it when I cannot see it.")[80]. Como consecuencia de ello, la confianza de los ciudadanos en el tratamiento de datos personales que no son necesarios para el comercio electrónico no se desarrollará sin una clara definición de sus derechos.

Para restablecer la privacidad de los ciudadanos americanos, los Estados Unidos necesitan un marco que provea prácticas para el tratamiento de información en los diferentes sectores que usan datos personales. El gobierno norteamericano no necesita sin embargo reinventar estos principios. Las directrices de la OCDE ofrecen un set completo de principios que ya han sido reconocidos por los Estados Unidos[81]. El contenido de estas directrices proveen una clara base para la privacidad de los ciudadanos, y las guías en si mismas han sido aprobadas como coherentes por el mundo de los negocios[82] Estos principios deberían ser adoptados por los americanos como ley.

A pesar de todo, tal como la experiencia americana y la europea demuestran, las capacidades tecnológicas y las configuraciones mantienen un equilibrio entre una efectiva protección de los datos personales y una privacidad defectuosa. Las opciones tecnológicas incluyen un conjunto de reglas de política para flujos de información en sistemas de procesamiento de datos personales. Este código[83]o"lex informatica"[84] contenido en la infraestructura tiene como efecto crear ciertas normas en relación a la privacidad. Por ejemplo, el protocolo P3P[85] esta diseñado para facultar a los usuarios de Internet para que obtengan información acerca de las prácticas de privacidad de un sitio web permitiéndoles optar en la provisión de sus datos personales. Sin embargo P3P solo puede ser efectivo si está escrito de manera honesta y es implementado apropiadamente. La forma técnica en la cual el protocolo P3P permite la expresión de políticas de privacidad y elecciones a los usuarios son decisiones basadas en valores[86]. Mas aun, la forma en que P3P se incorpora en los navegadores de Internet, incluyendo seteos por defecto y la manera en que los sitios web actualmente describen sus políticas de privacidad son críticas para el tratamiento adecuado de datos personales. El desarrollo de “cookies” y su habilidad para rastrear usuarios a través de Internet es otro ejemplo de reglas de privacidad basado en estándares técnicos[87]. La configuración inicial que por defecto traían los navegadores de Internet alentaban la transferencia secreta de datos de los usuarios, y sólo cuando se vieron frente a un escándalo los desarrolladores de software decidieron incrementar el control del usuario sobre la información que revelaban[88]. Estos casos demuestran cómo la tecnología puede “ir para ambos lados”. La disponibilidad de tecnologías protectoras de la privacidad y tecnologías que posibilitan la privacidad debe existir. Pero la industria ha demostrado su letargo en el desarrollo e implementación de estas tecnologías. Por ejemplo, el protocolo P3P ha estado en desarrollo a lo largo de tres años pero la diseminación de este estándar tiene un largo camino por andar.

El gobierno debe actuar de una forma que asegure el desarrollo de tecnologías de la información para asegurar la privacidad y no para que contribuyan a las intromisiones de la vida privada. Durante el debate sobre la autorregulación, la industria estadounidense tomó a la privacidad de una forma mas seria solo cuando el gobierno amenazó con regular en forma creíble. Por ejemplo las amenazas y amagues de la Comisión Federal de Comercio (Federal Trade Commission) fueron un hecho clave para el desarrollo de los programas de BBBOnLine, la Online Privacy Alliance, y TRUSTe. Pero a pesar de la extensión de las fechas límites impuestas por la Comisión, ninguno de estos programas ha logrado demostrar que sus miembros protegen la privacidad de los individuos[89]. Por el contrario, la industria creo políticas de privacidad miopes y las aplicó al desarrollo de productos informáticos. Así, Intel pareció realmente sorprendido por el descontento ocasionado por su plan de usar un numero de identificación único en su chip Pentium III[90].

Con la aprobación de un conjunto de reglas básicas sobre privacidad, el incentivo para la industria consistirá en el desarrollo de una efectiva política de protección de privacidad de los ciudadanos, en vez de vagas políticas sin fundamento. La existencia de derechos fundamentales forzará a la industria a establecer claras prácticas para el tratamiento de datos personales a favor de los ciudadanos. Para estimular el desarrollo de tecnologías protectoras de la privacidad, estos derechos fundamentales deberían establecer la responsabilidad de las compañías que no desarrollen o apliquen en sus sistemas este tipo de tecnología[91]. Al hacer esto, estos estándares legales crearán nuevos mercados y oportunidades para el desarrollo de productos que protejan la privacidad.

De cualquier forma, la promoción de tecnologías que favorecen la privacidad y la implementación de prácticas adecuadas para el tratamiento de datos personales en ciertos contextos, en especial en el ámbito del comercio electrónico requerirá constante atención.

Por mas que sea algo que los americanos rechazan en forma instantanea, una agencia o comisión para la protección de datos personales es necesaria en forma urgente. Una política adecuada de privacidad requiere un foro con un claro mandato y criterio independiente para crear consenso en las soluciones necesarias en estos temas y para actuar de árbitro en las disputas entre los distintos actores. Asimismo, los negocios americanos necesitan un representante en las negociaciones de las transmisiones de datos personales. Por muchos años, los Estados Unidos ha estado fuera de las reuniones anuales de los comisionados de protección de datos personales pues carece de una autoridad de protección de datos.

Actualmente no existe una agencia o departamento en los Estados Unidos que esté equipada para llevar adelante el rol tripartito de creador de consenso, árbitro de privacidad y representante internacional. El Departamento de Comercio, donde la política internacional de privacidad es elaborada, es políticamente expeditivo pero inapropiado para la gran variedad de temas que abarca la privacidad en la Sociedad de la Información. El Departamento de Comercio no tiene, por ejemplo, experiencia en cuestiones de privacidad médica o flujos transfronterizos de datos sobre recursos humanos, y, mas importante aun, ha sido capturado por los intereses de las empresas y no por los de los ciudadanos[92]. El Departamento de Estado seria mas apropiado por su rol en política exterior, pero carece de conocimientos expertos en la miríada de temas domésticos sobre privacidad. En forma similar, existen agencias independientes como la Comisión Federal de Comunicaciones que serían opciones pobres para centralizar los temas de privacidad. La competencia de estas agencias es limitada siempre a un solo sector y por ello inadecuada para tratar temas que abarcan varios sectores. La reciente creación de una nueva posición en la Oficina de Administración y Presupuesto de la Casa Blanca es un paso positivo pero insuficiente[93]. Desafortunadamente, este nuevo cargo esta ubicado dentro de esferas de la burocracia administrativa y no cumple con todos los roles requeridos. En vez, el puesto tiene solo un rol de coordinación y no tiene facultades de toma de decisiones o negociación con Europa.

Si los Estados Unidos espera proteger en forma efectiva la privacidad de sus ciudadanos en el comercio electrónico, una comisión independiente ofrece una serie de beneficios tanto para los ciudadanos como para las empresas. La aplicación de varios principios de protección de datos en el campo dinámico y cada vez mas complejo del comercio electrónico requerirá inevitablemente la interpretación de las normas establecidas por la ley y la tecnología. Una perspectiva del ciudadano sobrestimaría los intereses de la industria y de la sociedad en relación a la libre circulación de la información, mientras que un punto de vista de la industria subestimaría la privacidad. En cambio una Comisión independiente puede ofrecer guías adecuadas. En particular esa comisión debería recibir autoridad para autorizar ciertas prácticas elaboradas por la industria[94]. Tal como sucede con las cartas interpretativas (no-action letter) de la Securities and Exchange Commission, una empresa que busque orientación y certidumbre sobre la adecuación de sus políticas de privacidad solicitaría aprobación a la Comisión de Privacidad. Tal aprobación implicará que la práctica se conforma con las obligaciones legales establecidas para el tratamiento de datos personales. Este enfoque, creador de un “puerto seguro” fue recientemente apoyado por la Comisión Federal de Comercio[95].

En el contexto del comercio electrónico, el concepto de un “puerto seguro” es especialmente importante como guía para las decisiones relativas a infraestructuras técnicas. Los protocolos técnicos, las reglas técnicas establecidas por defecto y las implementaciones pueden ser tratadas de la misma manera que lo serían las políticas de privacidad de las empresas a los fines de un “puerto seguro”[96]. La existencia de un mecanismo voluntario de aprobación otorgará a las empresas una importante herramienta para evitar políticas miopes de privacidad, protección contra escándalos por violación a la privacidad, insular a la empresa contra una eventual juicio por invasión a laprivacidad y satisfacer a las autoridades de protección de datos europeas.

Al mismo tiempo, este proceso de “puerto seguro” otorgara a los ciudadanos la oportunidad para realizar comentarios públicos sobre la conformidad de esas prácticas con el ordenamiento legal y no inmunizará las prácticas fuera de la ley o aquellas que cambien. Con el tiempo, estas decisiones crearán un bloque de normas que incrementarán la transparencia para todos los ciudadanos. Además, la comisión, por ser independiente, asegurará que la interpretación de las practicas del tratamiento de información para el comercio electrónico continuaran elaborándose.

IV. Conclusión.

Ha llegado el momento para el gobierno americano de adoptar una postura seria acerca de privacidad y restaurar la protección a los ciudadanos. El Informe Magaziner se equivocó claramente al intentar encuadrar el problema en un enfoque tradicional para un ambiente como el del comercio electrónico que no es tradicional. Los ciudadanos que deseen participar en el mundo digital necesitan la seguridad de que su información personal será tratada adecuadamente. Las empresas embarcadas en el comercio electrónico no pueden ser fallar en el uso adecuado de datos personales. Muchos valores fundamentales están en juego y recurrir a políticas y soluciones unilaterales afecta la construcción de una sociedad democrática.

Abstract

Este artículo argumenta que la teoría de la autorregulación tiene falencias y que la experiencia pública demuestra las fallas de la industria en implementar reglas para el tratamiento de la información personal. Tanto las fallas de la teoría de la autorregulación como los escándalos relacionados con el tratamiento de datos personales demuestran la sofística de la política americana. Este trabajo también examina el enfoque comprensivo de protección de datos adoptado por diversos gobiernos alrededor del mundo, en especial en la Unión Europea, pero reconoce que las dificultades para implementar estas leyes en los servicios de información on line plantean importantes desafíos para la efectiva protección de la privacidad. Estas lecciones demuestran que proteger los derechos de los ciudadanos requiere una combinación de reglas y tecnología, y que una estructura legal de incentivos es necesaria para estimular el rápido desarrollo e implementación de las tecnologías protectoras de la privacidad. Este trabajo concluye con una recomendación para una ley de privacidad para los Estados Unidos basado en las Directivas de la Organización para la Cooperación y el Desarrollo Económicos que incluya un “safe harbor provision” para políticas y tecnologías y que crea una Comisión de Privacidad de la Información (U.S. Information Privacy Commission) para asegurar el balance entre la privacidad de los ciudadanos, las necesidades de la industria y la competitividad global.

[1] Ver Privacy Exchange.org, 1998 Privacy Concerns & Consumer Choice Survey, Executive Summary, P&AB Survey, Privacy & Am. Bus., Jan./Feb. 1999, pág.1

<http://www.privacyexchange.org/iss/surveys/1298exec-sum.html > (informando que el 82% de los encuestados coincidían en que los consumidores han perdido el control sobre cómo las empresas recolectan y usan información personal); American Am. AssocAss'n. of Retired Persons, AARP Members' Concerns about Information Privacy, (Dic. 1998 ) (informando que el 78% de los encuestados consideraban que las normas legales vigentes eran inadecuadas para proteger su privacidad).

[2] Ver BW/Harris Poll: Online Insecurity, Bus. Wk., Marzo 16, 1998, pág. 102. <http://www.businessweek.com/1998/11/b3569107.htmhm>.

[3] Ver William J. Clinton & Albert Gore, Jr., A Framework for Global Electronic Commerce (Julio 1, 1997), (visitado Sept. 19, 1998) en<http://www.iitf.nist.gov/eleccomm/ecomm.htm> (visitado Sept. 19, 1998).

[4] Ver Paul M. Schwartz & Joel R. Reidenberg, Data Privacy Law: A Study of United States Data Protection, pág. 10 (1996).

[5] Ver en general Fred H. Cate, Privacy in the Information Age (1997); Schwartz & Reidenberg, Data Privacy Law, nota 4.

[6] Una ley federal protege adecuadamente la información personal de individuos sometidos a programas de tratamiento por abuso de alcohol o drogas que reciben fondos federales o están sujetos a regulación federal. Ver 42 U.S.C. 290dd - 1, 290dd-2 (1994)ee-3 y Schwartz & Reidenberg, Data Privacy Law, cita en nota4, págs. 177-78 (1996). Pero al mismo tiempo la ley ofrece una limitada privacidad está disponible para los usurios de Internet. La ley de telecomunicaciones sólo se aplica a la información de transacciones en comunicaciones electrónicas cuando son almacenadas por proveedores de servicios de telecomunicaciones (47 U.S.C. 222). Sin emabrgo, si esa misma información es recolectada por sitios de Internet en vez de proveedores de telecomunicaciones, la ley no tiene aplicación.

[7] Ver al respecto Consejo de Europa, Convention for the protection of individuals with regard to automatic processing of personal data, Jan. 28, 1981, Eur. T.S. No. 108, reprinted in 20 I.L.M. 377 (1981), available at(visitado Marzo 28, 1999) <http://www.coe.fr/eng/legaltxt/108e.htm> [en adelante Convención Europea]; Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, publicada en Diario Oficial n° L 281 de 23/11/1995pág. 31, y ss. [en adelante Directiva Europea]; O.E.C.D., Recommendations of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, O.E.C.D. Doc. C58 (final) (Oct. 1, 1980), en 20 I.L.M. 422 (1981), en <http://www.oecd.org/dsti/sti/it/secur/prod/PRIV-EN.htm> [Directrices de la OCDE].

[8] U.S. Dept. of Commerce, Privacy and Electronic Commerce (Junio 1998).

<http://www.doc.gov/ecommerce/privacy.htm>.

[9] Ver U.S. Dep't of Health, Educ. & Welfare, Secretary's Advisory Comm. On Automated Personal Data Systems, Records, Computers and the Rights of Citizens (1973), reprinted in U.S. Privacy Protection Study Commission, Personal Privacy in an Information Society, pág. 15 n.7 (1977).

[10] Ver Robert M. Gellman, Fragmented, Incomplete, and Discontinuous: The Failure of Federal Privacy Regulatory Proposals and Institutions, 6 Software L.J. 199 (1993).

[11] 15 U.S.C.C. 1681 (Supp. 3).

[12] 18 U.S.C. 2710-2711 (1994).

[13] Ver por ejemplo: U.S. Dept. of Commerce, Nat'l Telecomm. and Info. Adm., Privacy and Self-Regulation in the Information Age, Ch. I.A. (visitado Marzo 23, 1999) <http://www.ntia.doc.gov/reports/privacy/privacy rpt.htm>.

[14] Ver por ejemplo U.S. Privacy Protection Study Commission, Personal Privacy in an Information Society (1977); Federal Trade Commission, Privacy Online: A Report to Congress (Junio 1998) (visitado Marzo 28, 1999)

<http://www.ftc.gov/reports/privacy3/toc.htm>; Information Policy Committee, National Information Infrastructure Task Force, Options for Promoting Privacy on the NatioanalNational Information Infrastructure (Abril 1997) (visitado Marzo 26, 1999) <http://www.iitf.nist.gov/ipc/privacy.htm>; Federal Trade Commission, Staff Report: Public Workshop on Consumer Privacy on the Global Information Infrastructure (Dic. 1996)(visitado Marzo 28, 1999) <http://www.ftc.gov/reports/privacy/privacy1.htm>; Nat'l Telecomm. and Info. Adm., U.S. Dept. of Commerce, Privacy and the NII: Safeguarding Telecommunications-Related Personal Information (Oct. 1995)
<http://www.ntia.doc.gov/ntiahome/privwhitepaper.html>; U.S. Advisory Council, National Information Infrastructure, Common Ground: Fundamental Principles for the National Information Infrastructure (Marzo 1995); U.S. Information Infrastructure Task Force Working Group on Privacy, Privacy and the National Information Infrastructure: Principles for Providing and Using Personal Information (Oct. 1995) (visitado Marzo 28, 1999)
<http://www.iitf.nist.gov/ipc/ipc/ipc-pubs/niiprivprin final.html>.; Nat'l Telecomm. and Info. Adm., U.S. Dept. of Commerce, Privacy and the NII: Safeguarding Telecommunications-Related Personal Information (Oct. 1995)
(visitado Marzo 28, 1999)<http://www.ntia.doc.gov/ntiahome/privwhitepaper.html>; U.S. Privacy Protection Study Commission, Personal Privacy in an Information Society (1977).

[15] Framework, supra nota 3, pág. 14 (cuestión 5).

[16] Ver el caso In re Trans Union, FTC Docket No. 9255, pág. 53 (July 31, 1998) , pág. 53 (visitado Marzo 28, 1999) <http://www.ftc.gov/os/1998/9808/d9255pub.id.pdf>.

[17] Ver Alan F. Westin, Privacy and Freedom, págs. 23-26 (1967).

[18] Ver Paul Schwartz, Privacy and Participation: Personal Information and Public Sector Regulation in the United States, 80 Iowa L. Rev. 553 (1995); Spiros Simitis, Reviewing Privacy in an Information Society, 135 U. Pa. L. Rev.

707, pág. 732 (1987).

[19] Ver Westin, supra nota 17, pág. 23.

[20] Ver Jerry Kang, Information Privacy in Cyberspace Transactions, 50 Stan. L. Rev. 1193, pág. 1248 (1998) (observando que los costos transnacionales son ignorados en las soluciones basadas en el mercado); Paul Schwartz, Privacy and the Economics of Personal Health Care Information, 76 Tex. L. Rev. 1 (1997).

[21] Ver Acxiom Catalog, pág. 9 (ethnic data), 11 (specialty apparel data), 12-13 (car data) (1999) (visitado Marzo 30, 1999) <http://www.acxiom.com/infobase/catalog/catalog99.pdf>.

[22] VerJoel R. Reidenberg & Paul M. Schwartz, Legal Perspectives on Privacy, in Information Privacy: Looking Forward, Looking Backward (Mary Culnan & Robert Bies, eds., (1999) (remarcando los defectos de los códigos elaborados por la industria y la no inclusión de remedios para las víctimas).

[23] Ver U.S. Dept. Of Commerce, Agenda for Public Meeting on Internet Privacy (June 23-24, 1998) (visitado on Marzo 30, 1999) <http://www.ntia.doc.gov/ntiahome/privacy/confinfo/agenda.htm>.

[24] Ver Commerce Secretary William H. Daley, Remarks to Privacy Summit (Junio 23, 1998), (visitado Marzo 28, 1999) (transcript en <http://www.doc.gov/opa/Speeches/980623.html> (visitado Marzo 28, 1999)).

[25] Ver Electronic Commerce: Privacy in Cyberspace, Hearings on H.R. 2368 before the Subcomm. on Telecommunications, Trade and Consumer Protection of the House Comm. on Commerce, 105 Cong., 2nd Sess., July 21, 1998 (testimony of Robert Pitofsky, Chairman of the FTC), en (visitado Marzo 31, 1999)

<http://www.ftc.gov/os/1998/9807/privac98.htm#N 3 >.

[26] U.S. Gov't Working Group on Elec. Commerce, First Annual Report 16 (November Nov. 1998), (visitado Marzo 28, 1999) <http://www.doc.gov/ecommerce/E-comm.pdf>.

[27] Ver Commerce Secretary William H. Daley, Remarks at Press Conference on E-Commerce (Feb. 5, 1999) (visitado Marzo 28, 1999)(transcripción en <http://www.doc.gov/opa/Speeches/ecommerceremarks.html>).

[28] Ver TRUSTe, TRUSTe Program Principles (visitado Marzo 30, 1999)

<http://www.truste.org/webpublishers/pub principles.html>.

[29] Ver In re GeoCities Decision and Order, F.T.C. Docket No. C-3850 (visitado Marzo 29, 1999) <http://www.ftc.gov/os/1999/9902/9823015d&o.htm>.

[30] En Marzo de 1999, TRUSTe tenía 51 sponsors; sólo 26 estaban registrados como licenciados y con el logo de TRUSTe para demostrar su interés por respetar la privacidad online. Comparar TRUSTe, TRUSTe Sponsors (visitado Marzo 30, 1999) <http://www.truste.org/about/about sponsors.html>, with TRUSTe, Look Up A Company (visitado Marzo 30, 1999) <http://www.truste.org/users/users lookup.html>.

[31] TRUSTe requiere a sus afiliados que "los sitios...deben revelar la recolección de datos que realizan y sus prácticas de privacidad". Ver TRUSTe, The TRUSTe Program: How it Protects Your Privacy (visitado Marzo 30, 1999) <http://www.truste.org/users/users how.html>. Sin embargo, desde la página de miembros de TRUSTe [TRUSTe, Member Directory (visitado Marzo 30, 1999) http://www.truste.com],hay un link al sitio

<http://www.worldpages.com/whitepages>. Este último sitio utiliza cookies para recolectar información de los usuarios y permite al usuario realizar búsquedas de números telefónicos y direcciones de cualquier persona en lo Estados Unidos. El sitio no muestra el logo de TRUSTe, ni revela su política de privacidad. Existe un hipervínculo en letra muy chica denominado "About Worldpages" a otro sitio en Internet:

<http://www.worldpages.com/docs/about.whtml> (visitado Marzo Mar. 30, 1999). Esta última página no dice nada acerca de privacidad, pero identifica al dueño del sitio web que es: Web YP, Inc. Web YP, Inc. no tiene una licencia de TRUSTe, aunque una compania identifiecada como "World Pages, Inc." esta listada.

[32] Ver BBBOnLine, Homepage (visitado Marzo 31, 1999) <http://www.bbbonline.com>.

[33] Ver Robert O'Harrow, Better Business Bureaus Offer Online Privacy Seal, Wash. Post, March. 17, 1999, pág. E1.

[34] BBBOnLine, Eligibility Criteria for BBBOnLine Privacy Seal (visitado Marzo 31, 1999) <http://www.bbbonline.com/businesses/privacy/eligibility.html.>.

[35] Ver Federal Trade Commission, Transcript: Public Workshop on Consumer Privacy on the Global Information Infrastructure, F.T.C. ProjectP954807, págs. 79-90 (June 4, 1996) (presentación de Paul Resnick, AT&T Research) (transcripción en <http://www.ftc.gov/bcp/privacy/wkshp96/pw960604.pdf>).

[36] W3C, About the World Wide Web Consortium (visitado Marzo 31, 1999) <http://www.w3.org/Consortium/>.

[37] Chris Oakes, Patent May Threaten E-Privacy, Wired, Nov. 11, 1998, (visitado Marzo 31, 1999) available at

<http://www.wired.com/news/news/technology/story/16180.html>; Intermind, About Intermind Communication's Patents (visitado Marzo 31, 1999) (visitado Apr. 20, 1999) <http://www.intermind.com/materials/patent desc.html>.

[38] Ver Framework, supra note 3, pág. 12 (Issue #5).

[39] Idem.

[40] Idem.

[41] U.S. Dept. Of Commerce, N.T.I.A., Elements of Effective Self-Regulation for Protection of Privacy (Enero 1998) (visitado Marzo 31, 1999) <http://www.ntia.doc.gov/reportsElements/privacydraft/198dftprin.htm>.

[42] Ver cita en nota8; Gellman, cita en nota 10, pág. 200.

[43] FCC Second Report and Order and Further Notice of Proposed Rulemaking, FCC Docket No. 96-149, P 91 (Feb. 19, 1998) (visitado Marzo 31, 1999) <http://www.fcc.gov/Bureaus/Common Carrier/Orders/1998/fcc98027.txt>.

[44] Jeri Clausing, After Intel Chip's Debut, Critics Step Up Attack, N.Y. Times on the Web (Feb. 19, 1999 1999)(visitado Marzo 31, 1999)

<http://www.nytimes.com/library/tech/99/02/cyber/articles/19intel.html>.

[45] Netscape Corp., What's Related FAQ (visitado Apr. 20, 1999) (visitado Marzo 31, 1999) <http://home.netscape.com/escapes/related/faq.html#06>.

[46] Framework, citado en nota 3, pág. 14 (Issue #5) ("The United States will continue policy discussions ... to increase understanding about the U.S. approach to privacy and to assure that the criteria [Europeans] use for evaluating adequacy are sufficiently flexible to accommodate our approach.").

[47] Ver Directiva Europea, nota 7, art. 25.

[48] Ver U.S. Dept. of Commerce, Draft International Safe Harbor Privacy Principles (Nov. 4, 1998) <http://www.ita.doc.gov/ecom/menu.htm>.

[49] Ver International Trade Administration, U.S. Dept. Of Commerce, Public Comments filed on "Draft International Safe Harbor Privacy Principles" <http://www.ita.doc.gov/ecom/com.htm>; Working Party of European Data Protection Supervisory Authorities, Opinion 1/99 concerning the level of data protection in

the United States and the ongoing discussion between the European Commission and
the United States Government, DG XV 5092/98/WP15 (Jan. 26, 1999) (visitado March
31, 1999) <http://europa.eu.int/comm/dg15/en/media/dataprot/wpdocs/wp15en.htm>
http://www.privacyexchange.org/news/990129wpdoc.html>; Working Party of European Data Protection Supervisory Authorities, Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive, DG
XV D/5025/98/WP12 (July 24, 1998) (visitado Marzo 31, 1999)
<http://europa.ue.int/comm/dg15/en/media/dataprot/wpdocs/wp12en.htm>.

[50] Estos paises son Austria, Belgica, Dinamarca, Finlandia, Francia, Alemania, Grecia, Irlanda, Italia, Luxemburgo, Holanda, Portugal, Espania, Suecia y el Reino Unido.

[51] Ver Colin Bennett, Regulating Privacy: Data Protection and Public Policy In Europe and the United States (1992); David Flaherty, Protecting Privacy In Surveillance Societies (1989); Fred H. Cate, The EU Data Protection Directive, Information Privacy, and the Public Interest 80 Iowa L. Rev. 431 (1995); David Flaherty, Protecting Privacy In Surveillance Societies (1989).

[52] Ver Convención Europea, nota 7, art. 1.

[53] El término “derecho a la autodeterminación informativa fue acuñado en 1983 por un tribunal alemán. Ver Judgment of the First Senate [Bverfge, Karlsruhe], Dec. 15, 1983], traducido al ingés en 5 Hum. Rts. L.J. 94 (1984).

[54]Ver Directiva Europea, nota 7, considerando 10 (donde se explica que el objetivo de la directiva consiste en asegurar un alto nivel de protección en la Comunidad).

[55] Veridem, considerando 12, art. 3.

[56] Ver Viktor Mayer-Schonberger, Generational Development of Data Protection in Europe, en la obra colectiva Technology And Privacy: The New Landscape, pag. 220(Philip E. Agre & Marc Rotenberg eds., 1998).

[57] Ver Directiva Europea , supra note 7, at Recital 7; Joel R. Reidenberg & Paul M. Schwartz, Data Protection Law and On-line Services: Regulatory Responses (Eur. Comm. 1998),, (visitado Marzo 31, 1999) versión original

(visitado Marzo 31, 1999) <http://europa.eu.int/comm/dg15/en/media/dataprot/studies/regul.pdf>.

[58] Ver Directiva Europea , supra note 7.

[59] Spiros Simitis, From the Market to the Polis: The EU Directive on the Protection of Personal Data, 80 Iowa L. Rev. Pág. 445 (1995).

[60] La "transposición” de la Directiva Eurpea al derecho nacional de cada país debía ocurrir en Octubre de 1998. Ver Directiva Europea, cita en nota 7, art. 32. Sin embargo, como suele suceder en la Unión Europea, no todos los países miembros han cumplido con la Directiva.

[61] Ver Directiva Europea , nota 7, art. 28.

[62] Ver id., arts. 18-19.

[63] Ver Douwe Korff (ed.), Existing case-law on compliance with data protection laws and principles in the Member States of the European Union, Annex to the Annual Report 1998 of the Working Party Established by Article 29 of Directive 95/46/EC (Douwe Korff ed., Eur. Comm: 1998).

[64] Ver Joel R. Reidenberg & Paul M. Schwartz, Data Protection Law, ONLINE SERVICES AND DATA PROTECTION AND PRIVACY: REGULATORY RESPONSES (Off. Publ. Of the Eur. Comm: 1998, nota 57); Peter Swire & Robert Litan, None of your Business: World Data Flows, Electronic Commerce, and the European Privacy

Directive, págs. 188-196 (1998).

[65] Directiva Europea , nota 7, art. 2(a).

[66] Ver Reidenberg & Schwartz, Data Protection Law, nota 57, págs. 124-126.

[67] Reidenberg & Schwartz, nota 57; id., págs. 133-34.

[68] Ver Directiva Europea , nota 7,art. 29.

[69] Ver International Working Group on Data Protection and Telecommunications, Data Protection and Privacy on the Internet: Report and Guidance (Berlin,: Nov. 18, 1996) (visitado Marzo 31, 1999) <http://www.datenschutz-berlin.de/diskus/13 15.htm>.

[70] Ver Directiva Europea , nota 7, art. 27.

[71] Reidenberg & Schwartz, Data Protection Law, nota 57, pág.147.

[72] Ver id. págs. 153-54; Working Party of European Data Protection Supervisory Authorities, Opinion 1/98: Platform for Privacy Preferences (P3P) and the Open Profiling Standard (OPS), DG XV D/5032/98/WP11 (June 16, 1998) (visitado Marzo 31, 1999) <http://europa.eu.int/comm/dg15/en/media/dataprot/wpdocs/wp11en.htm>; Joel R. Reidenberg, International Data Flows and Methods to Strengthen International Co-operation. (Paper presented at the 20th International Conference of Data Protection Authorities, Santiago de Compostela, Spain)

(Sept.ember 17, 1998) (visitado Marzo 31, 1999) <http://reidenberg.home.sprynet.com/idt.htm>.

[73] Ver Directiva Europea , nota 7, art. 4 (choice of law) y art. 25 ( prohibiciones a la exportacion de datos).

[74] Ver Swire & Litan, nota 64, págs. 188-196.

[75] Ver Joel R. Reidenberg, The Movement toward Obligatory Standards for Fair Information Practices in the United States, in Visions For Privacy: Policy Choices For The Digital Age (Colin Bennet & Rebecca Grant eds., 1999).

[76] Ver por ejemplo Hungarian Republic, The First Three Years of the Parliamentary Commissioner for Data Protection and Freedom of Information, págs. 68-72 (1998) (donde se discute la influencia de la Directiva Europea en la ley hungara de protección de datos personales); Council of Europe, Chart of Signatories and Ratifications (visitado Abril 20, 1999) http://www.coe.fr/tablconv/108t.htm(listado de paísese que aprobarton la Convención); Industry Canada, Task Force on Electronic Commerce: The International Evolution of Data Protection (Oct. 1, 1998) (visitado on Marzo 31, 1999) <http://e-com.ic.gc.ca/english/fastfacts/43d10.htm> (justificando el proyecto de ley canadiense en referencia a la Directive Europea); Office of the Privacy Commissioner for Personal Data, Hong Kong, Personal Data (Privacy) Ordinance, Chap. 486 (visitado Abril 20, 1999) <http://www.pco.org.hk/ord/section 00.html> (con referencia a la ley de protección de datos de Hong Kong que sigue el modelo europe).

[77] Ver Reidenberg & Schwartz, Data Protection Law, nota 57, págs. 142-146.

[78] Ver Directiva Europea , nota 7, art. 32.

[79] Jeb Rubenfeld, The Right of Privacy, 102 Harv. L. Rev. 737 (1989); OECD Guidelines, nota 7, Preambulo; Schwartz, nota 18; Simitis, nota 18; Westin, nota 17.

[80] La cita es del caso Jacobellis v. Ohio, 378 U.S. 184, 197 (1964) (describiendo intentos de categorizar material pornográfico como "I know it when I see it").

[81] Ver O.E.C.D. Guidelines, nota 7; U.S. Dept. of Commerce, Privacy and Electronic Commerce (June 1998) (visitado Marzo 31, 1999) <http://www.doc.gov/ecommerce/privacy.htm> (donde se hace alusión a los principios de la OCDE); U.S. Dept. of Commerce, Nat'l Telecomm. and Info. Adm., The Global Information Infrastructure: Agenda for Cooperation, 60 Fed. Reg. 10359, 10367 (Feb. 24, 1995) (con referencia a la aceptación americana de los principios de la OCDE).

[82] Después que la O.C.D.E. aprobó sus principios, numerosas empresas americanas adoptaron sus directrices. Ver General Accounting Office, Privacy Policy Activities of the National Telecommunications and Information Agency (Agosto 31, 1984) cited in Gellman, nota 10, pág. 227 n.60; H.P. Gassman, Vers un cadre juridique internationale pour l'informatique et autres nouvelles techniques de l'information, Annuaire Francais de Droit International 747, 750 (1985) (de acuerdo al autor, que fue miembro de la OCDE, cerca de 180 empresas americanas han suscripto las directrices de la OCDE).

[83] Ver Lawrence Lessig, Reading the Constitution in Cyberspace, 45 Emory L. J. 869, 898 (1996).

[84] Ver Joel R. Reidenberg, Lex Informatica: The Formulation of Information Policy Rules through Technology, 76 Tex. L. Rev. 553 (1998) [en adelante Lex Informatica]; Joel R. Reidenberg, Governing Networks and Rule Making in Cyberspace, 45 Emory L. J. 911, 917-919, 929 (1996).

[85] P3P es un protocolo que permite notificar y negociar la protección de la privacidad del consumidor entre un usuario de un sitio web y el sitio en Internet que colecta datos personales. Ver W3C, Platform for Privacy Preferences P3P Project (visitado Mar.ch 31, 1999) <http://www.w3.org/P3P>.

[86] Ver Joel R. Reidenberg, The Use of Technology to Assure Internet Privacy : Adapting Labels and Filters for Data Protection, Lex Electronica (Fall 1997) (visitado Marzo 31, 1999) <http://www.lex-electronica.org/reidenbe.html>.

[87] Ver Mark Slayton, An Introduction to Cookies, Hot Wired, Nov. 7, 1996 (visitado Marzo 31, 1999) <http://www.hotwired.com/webmonkey/webmonkey/geektalk/96/45/index3a.html.>.

[88] Ver James Glave, Next Netscape Will Chew Cookies on Command, Wired News, Feb. 22, 1997 (visitado Marzo 31, 1999) , en <http://www.wired.com/news/news/technology/story/2196.html>.

[89] Ninguno de los programas ofrece resarcir los daños provocados a los individuos cuando los licenciados no cumplen con las reglas de privacidad previamente establecidas.

[90] Ver Polly Sprenger, Intel on Privacy: "Whoops!', Wired News, Jan. 25, 1999 (visitado Marzo 31, 1999) <http://www.wired.com/news/news/politics/story/17513.html>.

[91] Ver Lex Informatica, 86, pág. 584 (discutiendo el efecto de la responsabilidad y la estructura de Internet.).

[92] Por ejemplo en vez de publicar una noticia en el Boletín Oficial (Federal Register) para recibir comentarios del público como en relación a los principios internacionales de privacidad, el subsecretario de Comercio envió una carta, fechada el 4 de noviembre de 1998 dirigida a "Dear Industry Representative" y se publicó en un sitio de internet que no tenía acceso público. Ver Letter from David Aaron, Undersecretary of Commerce to Industry Representatives (Nov. 4, 1998), en <http://www.ita.doc.gov/ecom/aaron114.html>.

[93] Declan McCullagh & James Glave, Clinton Tabs Privacy Point Man, Wired News, Mar. 3, 1999 (visitado Marzo 31, 1999), en <http://www.wired.com/news/news/politics/story/18249.html>.

[94] Ver Joel R. Reidenberg, Privacy in an Information Economy: A Fortress or Frontier for Individual Rights?, 44 Fed. Comm. L.J. 195, pág. 242 (1992) (donde se propone un modelo legislativo con un mecanismo de “puerto seguro” para la industria).

[95] Ver Electronic Commerce: Privacy in Cyberspace, Hearings on H.R. 2368 Bearings before the Subcomm. on Telecommunications, Trade and Consumer Protection of the House Comm. on Commerce, 105th Cong., 2nd Sess., July 21, 1998 (Testimony of Robert Pitofsky, Chairman of the FTC) (visitado Marzo 31, 1999) , en <http://www.ftc.gov/os/1998/9807/privac98.htm#N 3>.

[96] Ver Reidenberg & Schwartz, Data Protection Law, nota 57, págs. 153-54.