COMENTARIO
Por: Oscar J. Bezares Lamboy*
Introducción
La conexión de objetos a la Internet parece vislumbrar un futuro en el que la privacidad dejará de existir. Hay automóviles que registran hábitos de manejo,[1] refrigeradores que saben qué hace falta para la compra,[2] aspiradoras que trazan planos del hogar,[3] y televisores que graban conversaciones.[4] La “Internet de las cosas” —Internet of Things, en inglés—, es el término utilizado para describir la red de objetos conectados a la Internet que permiten recopilar, convertir y transmitir fenómenos físicos digitalmente.[5] Para el 2020 se pronostica que existirán 50,000,000 de estos dispositivos; por tanto, resulta imperativo que la comunidad jurídica establezca los parámetros necesarios para salvaguardar la privacidad de quienes utilizan tales dispositivos en su diario vivir.[6]
I. El derecho a la intimidad en Puerto Rico y Estados Unidos
En el contexto de la Internet de las cosas, no hay un marco legal que exija buenas políticas de privacidad, seguridad y transparencia en el manejo de la información de sus usuarios.[7] La carencia de legislación dirigida a pautar cómo manejar la Internet de las cosas es un problema ya que a través de la Internet se facilita la cosecha de información (“data mining”) que puede ser agregada para crear perfiles que facilitan predicciones de consumo y comportamiento (“data profiling”).[8] Aunque algunas compañías prometen quedarse solo con la data que necesiten, la mayoría no explica a los consumidores cómo será utilizada o quién será el tercero que tendrá acceso a su información una vez sea vendida. Esta data podría ser utilizada por patronos, bancos y compañías de seguros para hacer inferencias sobre el potencial de empleo, la solvencia y el estado de salud de individuos.[9]
Un ejemplo de una compañía que ha implementado medidas para recopilar datos sobre sus empleados lo es Target. Target implementó una “iniciativa de bienestar” mediante la cual distribuyó —gratuitamente o con descuento— relojes inteligentes FitBit.[10] Según esta empresa, el propósito de la iniciativa era que sus empleados participaran de un reto sobre el mayor promedio de pasos realizados diariamente. El desempeño de los empleados sería analizado por una división de FitBit dedicada a monitorear programas similares en otras compañías a través de los Estados Unidos. La transmisión de la información relacionada al desempeño de los empleados usando los relojes presenta serios problemas puesto que las compañías pueden utilizar la data recopilada para vigilar la productividad de sus empleados, así como recolectar información fuera de horas laborables como sus patrones de sueño o hábitos alimenticios, información que pudiera ser crucial a la hora de determinar si conceder beneficios.[11]
Otro ejemplo del Internet de las cosas lo es el de la recopilación de datos que hace LexisNexis Risk Solutions. Esta compañía ha acumulado una base de datos con 78,000,000 récords[12] y ha contratado con, al menos, treinta y cinco agencias federales.[13] El que agencias como el Federal Bureau of Investigation (F.B.I.) y el Internal Revenue Service (I.R.S.) puedan comprar información de este tipo de entidad es sumamente alarmante, considerando que esta práctica ha permitido que el gobierno compre información que de otra manera estaría protegida por la cuarta enmienda.[14]
Ante este panorama casi orwelliano, es necesario atemperar el derecho a la intimidad a las nuevas tecnologías, sobre todo en vista de que en Puerto Rico el derecho a la intimidad, aunque no es un derecho absoluto, sí es de la más alta jerarquía.[15] A diferencia de la esfera federal, el derecho a la intimidad en Puerto Rico es de rango constitucional, lo que ha desarrollado un cuerpo jurisprudencial que le ha concedido mayor valorización. En Arroyo v. Rattan Specialties Inc., por ejemplo, el Tribunal Supremo de Puerto Rico decidió que el derecho a la intimidad opera ex proprio vigore, lo cual significa que no tiene que promulgarse legislación para que proceda una causa de acción frente a personas privadas.[16] Por tanto, una vez se determine que la información recopilada por estas compañías está cobijada por la cláusula de intimidad de la Constitución local, no es necesario la aprobación de leyes sobre el asunto para reclamar su protección.[17] En esa línea, la garantía de privacidad sobre la interceptación de llamadas telefónicas ha sido expresamente prohibida en nuestra Constitución,[18] mas no se ha extendido este derecho al ámbito cibernético. Como resultado, el criterio que los tribunales deben utilizar para determinar si el derecho a la intimidad cobija la información recopilada por la Internet de las cosas es si existe una expectativa razonable de intimidad.
Fue en una opinión concurrente emitida por el juez Harlan en Katz v. United States, donde se introdujo por primera vez el término de expectativa de intimidad en el contexto de los registros.[19] En ese caso, agentes federales colocaron una grabadora en la parte exterior de una cabina telefónica, desde la cual el acusado realizó una apuesta clandestina. En su opinión concurrente, el juez Harlan entendió que independientemente de que este mecanismo arrojara luz sobre actividades ilícitas, al encerrarse en la cabina, el individuo tenía una expectativa de intimidad vis-à-vis el contenido de la conversación. El juez Harlan instauró el reasonable expectation of privacy test, estándar compuesto por dos requisitos: (1) que el individuo exhiba una expectativa de intimidad —subjetiva— y (2) que la sociedad reconozca dicha expectativa como razonable —aspecto objetivo.[20] Más adelante, en Smith v. Maryland, el Tribunal Supremo de los Estados Unidos adoptó la opinión concurrente de Harlan como la mayoritaria.[21] Sin embargo, este criterio es inadecuado para atender los avances tecnológicos.
Dejar el estándar de expectativa razonable de intimidad tal y como está, representa una de las amenazas más grandes al derecho a la privacidad en la actualidad. Al evaluar el uso de nuevas tecnologías como el Internet of Things no podemos limitarnos a concebir que el derecho a la intimidad consiste únicamente en la idea de soledad, total confidencialidad o la no divulgación para salvaguardar la privacidad de sus usuarios ya que “[n]ociones de intimidad que no reconocen la importancia de estos valores expresivos más amplios, suelen ignorar problemas causados por tecnologías capaces de recopilar información personal sin interferir con la soledad o secretividad”.[22] El principio de la expectativa razonable de intimidad falla en considerar que, según la sociedad se acostumbre a la intromisión de lo que antes se categorizaba como íntimo, la expectativa social sobre lo que es privado irá languideciendo.[23] Mientras más normal nos parezca que estas compañías recolecten y compartan nuestra información con otros entes privados o públicos, menos razonable parecerá nuestra expectativa de intimidad.[24]
II. La factura más ancha y sus virtudes en cuanto a la Internet de las cosas
Agraciadamente, la jurisprudencia local contiene la base adecuada que permite atemperar estas nuevas tecnologías a nuestro entendido de lo que debe cobijar el derecho a la intimidad. En Weber Carrillo v. ELA, el Tribunal Supremo de Puerto Rico repudió un requerimiento del Negociado de Investigaciones Especiales a la compañía de celulares, Cingular, para que le proveyera un registro de todas las llamada hechas y recibidas por el demandante Weber Carrillo; ello, sin orden judicial ni notificación al acusado.[25] De esta forma, nuestro más alto foro rechazó el third-party doctrine expuesto en U.S. v. Miller[26] y Smith v. Maryland,[27] doctrina que establece que no existe expectativa de intimidad para información otorgada voluntariamente a terceros.[28] Al repudiar esta doctrina, el Tribunal Supremo de Puerto Rico divisó en Weber Carrillo las posibles implicaciones de la divulgación de información que por sí sola podría parecer inocua por su alegada falta de contenido, pero que agregada representa una seria invasión a la intimidad:
Por vía de los registros de llamadas se puede conseguir la misma información que a través de las transacciones bancarias, entiéndase, los lugares que la persona frecuenta, los bienes que adquiere, el partido al que contribuye, los periódicos y revistas que lee, la iglesia a la cual hace donaciones, las asociaciones a las cuales pertenece, las tiendas y establecimientos donde compra, los médicos que visita y otra información de naturaleza íntima. Todo ello nos lleva a concluir que, al amparo de nuestra Constitución, una persona tiene una expectativa razonable de intimidad sobre el registro de llamadas que realiza desde su teléfono.[29]
Sin mencionarlo directamente, la mayoría alertó sobre el problema que representa la agregación de metadatos, es decir, aquellos “datos que describen cómo y cuándo se crearon o modificaron otros datos, o información de cómo la data se conecta a otra data”.[30] En el contexto de la telefonía, tal como lo describe el Tribunal Supremo de Puerto Rico en Weber Carrillo, los metadatos podrían contener información sobre la persona a quien se llama y la localización tanto del emisor como del receptor. Asimismo, en el ámbito de la Internet, los metadatos incluyen páginas web visitadas, correos electrónicos, transacciones financieras realizadas en línea, entre otros.[31]
Resulta aun más preocupante la recolección y agregación de metadatos en el contexto de la Internet de las cosas. Máxime si se toma en consideración que la mayoría de la información recopilada por la Internet de las cosas constituyen metadatos que, por definición, son carentes de contenido y, por tanto, desprotegidos de la expectativa razonable de intimidad. El mayor peligro resulta, precisamente, en que la ubicuidad de billones de objetos colectando perpetuamente información que tradicionalmente no se considera de contenido puede crear una agrupación de data que revele igual cantidad de información que aquella que sí se considera de contenido.[32] Los metadatos acumulados por dispositivos que monitoreen la salud de sus usuarios, como FitBit —o cualquier otro tipo de reloj o pulsera inteligente de esta índole—, podrían ayudar a entidades financieras a determinar, por ejemplo, si el potencial deudor está lo suficientemente saludable como para que valga la pena extenderle un préstamo.[33] Más aun, si tomamos en cuenta que prácticamente todos los aparatos con los que interactuamos a diario podrían estar conectados compartiendo este tipo de información, no resultaría muy difícil que compañías que se dediquen al data mining y al data profiling vendieran una biografía digital que transgrede el derecho a la privacidad.[34]
Si bien fue un paso esencial el haber rechazado el third-party doctrine, es evidente que resulta problemático el criterio de expectativa razonable de intimidad en el caso de la Internet de las cosas. Aunque Weber Carrillo sugiere protección a la intimidad en el uso de aparatos electrónicos, es necesario que se extienda al ámbito de la Internet. El hecho de que objetos con los cuales interactuamos cotidianamente tengan la capacidad de compartir dónde estamos, qué hacemos, hablamos y sentimos, en tiempo real, presenta una intromisión aun mayor que la contemplada anteriormente; de ahí la importancia de analizar críticamente cómo la información compartida digitalmente debería figurar dentro de la expectativa de intimidad.
Conclusión
Es apremiante, pues, que el derecho a la intimidad no solo envuelva poder decidir quién o qué está inmiscuyéndose en áreas donde existe una expectativa razonable de intimidad, sino que el usuario de estas tecnologías pueda tener control de la información divulgada. Al hacerlo, decidimos “cómo formamos y proyectamos . . . quiénes somos y cómo queremos que otros nos perciban”,[35] lo cual constituye, en últimas instancias, un imperativo del derecho constitucional a la dignidad humana.[36] Atar este derecho con la privacidad es una necesidad fundamental en un mundo donde todo lo que nos rodea nos está observando. Según se va desarrollando la Internet de las cosas, se espera que no solo se trate de objetos muebles, sino que este tipo de tecnologías esté engranada en la infraestructura misma; casas, edificios y hasta ciudades inteligentes son proyectos que están realizándose en la actualidad.[37] Ante este panorama, resulta evidente la urgencia de actualizar el alcance de nuestro derecho a la intimidad y de reconocer la existencia de una expectativa razonable en ciertos escenarios contemporáneos contemplados en este escrito.
La transgresión a la intimidad descrita no tiene por qué ser un vaticinio de un futuro distópico; no se trata de un destino fatalista. Nuestro ordenamiento jurídico ha comenzado a dar los pasos afirmativos necesarios para frenar estas prácticas y evitar que se conviertan en un slippery slope para el subsiguiente desarrollo de esta tecnología. De igual forma, no queremos que se entienda lo dicho anteriormente como un tratado en contra de este tipo de tecnologías, por el contrario, es imposible negar la inmensa cantidad de beneficios que la Internet de las cosas nos concede. Sin embargo, también es cierto que no deberíamos vernos obligados a vivir rudimentariamente prescindiendo de los beneficios que acarrean estas tecnologías para poder asegurar nuestra privacidad.
* El autor es Redactor Digital de In Rev y estudiante de segundo año en la Escuela de Derecho de la Universidad de Puerto Rico.
[1] Melissa W. Bailey, Seduction by Technology: Why Consumers Opt out of Privacy by Buying into the Internet of Things, 94 TEX. L. REV. 1023, 1028 (2016).
[2] Jamie L. Williams, Privacy in the Age of the Internet of Things, 41 HUM. RTS. 14 (2015).
[3] Rhett Jones, Roomba’s Next Big Step is Selling Maps of your Home to the Highest Bidder, GIZMODO (24 de julio de 2017) https://gizmodo.com/roombas-next-big-step-is-selling-maps-of-your-home-to-t-1797187829.
[4] Williams, supra nota 2, en la pág. 15.
[5] Alexander H. Tran, The Internet of Things and Potential Remedies in Privacy Tort Law, 50 COLUM. J.L. & SOC. PROBS. 263, 264 (2017).
[6] Id. en la pág. 265.
[7] Williams, supra nota 2, en la pág. 15.
[8] Hiram A. Meléndez Juarbe, La Constitución en ceros y unos: un acercamiento digital al derecho a la intimidad y la seguridad pública, 77 REV. JUR. UPR 45, 60 (2008).
[9] Williams, supra nota 2, en la pág. 16.
[10] Tran, supra nota 5, en la pág. 272-73
[11] Id.
[12] Our Technology, LEXISNEXIS RISK SOLUTIONS, https://risk.lexisnexis.com/our-technology (última visita 24 de mayo de 2018).
[13] Meléndez, supra nota 8, en la pág. 61 (citando a DANIEL J. SOLOVE, THE DIGITAL PERSON: TECHNOLOGY AND PRIVACY IN THE INFORMATION AGE 169 (2004)).
[14] Véase generalmente Andrew G. Ferguson, The Internet of Things and the Fourth Amendment of Effects, 104 CALIF. L. REV. 805 (2016) (proponiendo y explicando con detalle un digital curtilage para la Internet de las cosas)).”
[15] López Tristani v. Maldonado, 168 DPR 838, 851 (2006).
[16] Arroyo v. Rattan Specialties, Inc., 117 DPR 35 (1986).
[17] Id.
[18] CONST. PR art II, § 10.
[19] Katz v. U.S., 389 U.S. 347, 360 (1967) (Harlan J., concurring).
[20] Id.
[21] Smith v. Maryland, 442 U.S. 735 (1979).
[22] Meléndez, supra nota 8, en la pág. 51.
[23] Véase Smith, 442 U.S. at 740 n.5.
[24] Hiram Meléndez Juarbe, El derecho a la intimidad, nuevas tecnologías y la jurisprudencia de Hernández Denton: Lo público de lo público, 74 REV. JUR. UPR 1067, 1074 (2014). Véase también U.S. v. Jones, 565 U.S. 400, 413 (2012) (Sotomayor J., concurring).
[25] Weber Carrillo v. ELA, 190 DPR 688 (2014).
[26] United States v. Miller, 425 U.S. 435 (1976).
[27] Smith, 442 U.S. 735.
[28] En Smith v. Maryland, por un lado, la Corte Suprema Federal decidió que no hay expectativa razonable de intimidad para con la implantación de un aparato —llamado pen register— diseñado para identificar y guardar los números marcados, pues de antemano la compañía telefónica revelaba al consumidor que utilizaban dicho instrumento para propósitos de facturación. La mayoría entendió que, como no se trataba del contenido de la conversación per se y que como el cliente era consciente de que la compañía accedería dichos datos, no se transgredía la expectativa de intimidad. Por otro lado, en U.S. v. Miller, el tribunal resolvió que no hay expectativa razonable de intimidad sobre la información concerniente a las transacciones bancarias, ya que los individuos proveían esta información voluntariamente para el manejo de sus cuentas. De esta manera, la mayoría entendió que los clientes asumían el riesgo de que los bancos revelaran la información al Estado en caso de que la solicitara.
[29] Weber Carrillo, 190 DPR en la pág. 712.
[30] Ferguson, supra nota 14, en la pág. 873 n.384 (traducción suplida).
[31] Sheheryar Khan, Metadata Retention Laws and the Internet of Things, PUREVPN, (27 de abril de 2017), https://www.purevpn.com/blog/iot-metadata-retention/.
[32] Ferguson, supra nota 14, en la pág. 873.
[33] Tran, supra nota 5, en la pág. 270.
[34] Id.
[35] Meléndez, supra nota 8, en la pág. 48 (notas omitidas).
[36] Id. en la pag. 75.
[37] Eric A. Fischer, CONG. RESEARSH SERV., R44227, THE INTERNET OF THINGS: FREQUENTLY ASKED QUESTIONS 7 (2015), https://fas.org/sgp/crs/misc/R44227.pdf.