La serie What's Next de MIT Technology Review analiza distintos sectores, tendencias y tecnologías para ofrecer una primera visión del futuro. Puedes leer el resto aquí (en inglés).

Cada día, nuestra información digital es rastreada cientos o incluso miles de veces. Las cookies y los rastreadores web siguen todos los enlaces de los sitios en los que hacemos clic, mientras que el código de las aplicaciones móviles sigue nuestros desplazamientos físicos, registrando los lugares que visitamos a través de la geolocalización. Todo esto se recopila, se combina con otros datos (procedentes de registros públicos, programas de socios de supermercados, empresas de servicios públicos, entre otros) y se utiliza para crear perfiles personalizados que luego se comparten o venden sin nuestro consentimiento.  

La necesidad de una mejor protección de la privacidad para los estadounidenses está ganando consenso, y muchos creen que la mejor forma de lograrlo sería con una ley federal integral. Aunque la American Privacy Rights Act de 2024 ganó algo de terreno en comparación con propuestas anteriores, sufrió tantas modificaciones que terminó perdiendo el apoyo de republicanos y demócratas antes de llegar a votación.

Se han logrado algunos avances en materia de privacidad, sobre todo al restringir lo que los intermediarios de datos pueden hacer con la información derivada de la geolocalización. Estos intermediarios, que son las empresas que compran y venden datos personales con fines publicitarios, de mensajería y otros, ahora tienen más limitaciones en su acceso y uso de esos datos.

Sin embargo, estos avances siguen siendo pasos pequeños, y se dan en un contexto donde tecnologías cada vez más omnipresentes y potentes están recopilando más datos que nunca. Mientras tanto, Washington se prepara para una nueva administración presidencial que ha atacado a la prensa y a otros críticos, prometido deportaciones masivas de inmigrantes, amenazado con represalias contra sus enemigos y respaldado leyes estatales restrictivas sobre el aborto. A esto se suma la creciente recopilación de nuestros datos biométricos, especialmente para el reconocimiento facial, y su normalización en una variedad de aplicaciones. En este contexto, no es exagerado decir que nuestros datos personales nunca han sido tan vulnerables y que la necesidad de proteger nuestra privacidad nunca ha sido tan urgente.

¿Qué pueden esperar los estadounidenses respecto a la protección de sus datos personales en 2025? Hemos consultado a expertos en privacidad sobre algunas de las principales preocupaciones relacionadas con cómo se utilizará y protegerá nuestra información.

Controlar un sector problemático

A principios de diciembre de 2024, la Comisión Federal de Comercio (FTC) anunció acuerdos de conciliación con los intermediarios de datos Mobilewalla y Gravy Analytics (y su filial Venntel). Lo hicieron tras descubrir que estas empresas habían rastreado y vendido, sin consentimiento explícito, datos de geolocalización de usuarios en lugares sensibles como iglesias, hospitales y bases militares. Como parte de los acuerdos, la FTC prohibió a estas compañías vender esos datos, excepto en circunstancias específicas. Este caso es solo una parte de un año muy activo en cuanto a la regulación de los intermediarios de datos, que incluyó varias acciones de la FTC contra otras empresas por prácticas similares de recolección y venta de datos de geolocalización, así como una propuesta de ley del Departamento de Justicia para prohibir la venta masiva de datos a entidades extranjeras.

El mismo día en que la FTC anunció estos acuerdos, la Oficina de Protección Financiera del Consumidor propuso una nueva norma que consideraría a los corredores de datos como agencias de información de los consumidores. Esto obligaría a estas empresas a cumplir con requisitos mucho más estrictos en cuanto a la recopilación y protección de datos. En particular, la norma prohibiría la recolección y el intercambio de información sensible, como salarios o números de la Seguridad Social, sin una "justificación legítima". La norma todavía tiene pasar por un proceso de comentarios públicos de 90 días, y no está claro si avanzará con la administración Trump, pero, si se aprueba, podría cambiar por completo el negocio de los corredores de datos.

En la actualidad, hay pocos límites sobre cómo operan estas empresas. Tampoco hay información clara sobre cuántos corredores de datos existen. Se estima que podrían ser entre 4.000 y 5.000 en todo el mundo, muchos de ellos desconocidos y con nombres que cambian constantemente. En California (EE UU), el Registro de Corredores de Datos 2024 incluye 527 compañías que se han registrado voluntariamente, y solo 90 afirman que recogen datos de geolocalización.

Estos datos están al alcance de cualquiera que esté dispuesto a pagar por ellos. Los anunciantes los compran para crear campañas publicitarias, mientras que bancos y compañías de seguros los utilizan para verificar identidades, prevenir fraudes y realizar evaluaciones de riesgo. Las fuerzas de seguridad también adquieren datos de geolocalización para rastrear a individuos sin necesidad de recurrir a órdenes judiciales. En cambio, entidades extranjeras pueden acceder a información sensible sobre militares y funcionarios públicos. En algunos casos, los sitios web permiten que cualquiera pague por obtener datos de contacto y conocer los antecedentes de las personas.

Los intermediarios de datos y sus clientes defienden estas prácticas argumentando que la mayoría de los datos son anónimos. Este punto es controvertido, sobre todo cuando son datos de geolocalización. Además, la fuente puede identificarse con gran facilidad si estos datos, considerados anónimos, se combinan con otras fuentes de información personal.

Los defensores de los derechos digitales llevan años alertando sobre esta industria oculta, especialmente por los posibles daños que podría causar a comunidades ya marginadas. Asimismo, la recopilación de datos ha generado inquietud en todo el espectro político. Por ejemplo, la representante Cathy McMorris Rodgers, presidenta republicana del Comité de Energía y Comercio de la Cámara de Representantes, expresó su preocupación sobre cómo los Centros para el Control y la Prevención de Enfermedades conseguían datos de geolocalización para medir la eficacia de los confinamientos durante la pandemia del covid-19. Un estudio reciente reveló lo fácil (y barato) que resulta comprar datos sensibles sobre miembros del ejército estadounidense. Ante esta situación, la senadora demócrata Elizabeth Warren denunció los riesgos para la seguridad nacional de los intermediarios de datos, mientras que el senador republicano John Cornyn se mostró "escandalizado" al conocer más detalles sobre esta práctica en un reportaje de MIT Technology Review.

Fue la sentencia del Tribunal Supremo de 2022, que anuló la garantía constitucional del aborto legal, la que motivó gran parte de las acciones federales del año pasado. Poco después del caso Dobbs, el presidente Biden emitió una orden ejecutiva para proteger la privacidad en la atención sanitaria reproductiva. Esta orden incluía directrices para que la FTC tomara medidas y evitara que cierta información sensible, como las visitas a consultas médicas o a clínicas de aborto, fuera vendida a agencias de aplicación de la ley o a fiscales estatales.

Los nuevos dirigentes

Con la toma de posesión de Donald Trump en enero y el control republicano de ambas cámaras del Congreso, el futuro de la norma propuesta por la Oficina para la Protección Financiera del Consumidor(CFPB, por sus siglas en inglés) queda en el aire. Los republicanos, los promotores del Proyecto 2025 y Elon Musk (quien dirigirá el recién creado grupo asesor denominado Departamento de Eficiencia Gubernamental) han estado presionando para "eliminar" la CFPB, como Musk expresó en X. Aunque para ello sería necesaria una ley del Congreso, lo que lo hace poco probable, existen otras vías a través de las cuales la Administración podría reducir significativamente las competencias de la agencia. Es probable que Trump destituya al actual director y nombre a un republicano que podría anular las normas vigentes e impedir la implementación de las regulaciones propuestas.

La efectividad de las medidas de la Comisión Federal de Comercio dependerá en gran medida de quiénes sean los encargados de llevarlas a cabo. Según Ben Winters, exfuncionario del Departamento de Justicia y actual director de IA y privacidad de la Federación de Consumidores de América, una red de organizaciones y agencias dedicadas a la protección del consumidor, las decisiones de la FTC no crean precedentes legales, como lo harían los fallos judiciales. En lugar de eso, "requieren una aplicación coherente y constante para que toda la industria se vea obligada a temer la posibilidad de ser objeto de una acción de la FTC". Cabe destacar que estos acuerdos de la FTC se enfocan específicamente en los datos de geolocalización, que es solo uno de los muchos tipos de información sensible que, de manera regular, cedemos al participar en el mundo digital.

De cara al futuro, Tiffany Li, profesora de la Facultad de Derecho de la Universidad de San Francisco (EE UU) especializada en IA y privacidad, manifiesta su preocupación por una "FTC desvirtuada". Según la docente, esto podría llevar a una agencia "menos efectiva a la hora de tomar medidas contra las empresas".

Lina Khan, actual presidenta de la FTC, ha sido clave en las iniciativas de protección de la privacidad en Estados Unidos, pero pronto dejará el cargo. Andrew Ferguson, designado recientemente por Trump como el próximo presidente de la agencia, ha mostrado una postura firme contra los intermediarios de datos. "Este tipo de datos, como los registros sobre la ubicación precisa de una persona, son intrusivos y revelan aspectos privados", señaló en relación con la decisión sobre Mobilewalla. Ferguson, que es comisario de la FTC desde abril de 2021, tampoco aprueba que se utilice a la agencia como sustituta de una legislación federal sobre privacidad. Esto nos lleva a uno de los mayores desafíos: hasta ahora, el Congreso no ha aprobado ninguna ley de privacidad y no está claro si lo hará en el futuro cercano.

Movimientos de los estados en EE UU

A falta de medidas legislativas federales, muchos estados de EE UU se están tomando la justicia por su mano. 

En 2025, entrarán en vigor ocho nuevas leyes estatales sobre privacidad y en total existirán 25 en todo el país. Además, otros estados, como Vermont y Massachusetts, están considerando la posibilidad de aprobar sus propias leyes el próximo año. Esto podría, en teoría, impulsar la necesidad de una legislación federal, según Woodrow Hartzog, académico de derecho tecnológico de la Universidad de Boston (EE UU). "En este momento, todas las leyes son lo suficientemente similares como para que el precio de cumplirlas sea alto, pero manejable", explica el profesor. Sin embargo, si un estado adoptara una legislación muy diferente, una ley nacional podría ser la única solución para resolver el conflicto. Además, cuatro estados -California, Texas, Vermont y Oregón- ya cuentan con regulaciones específicas para los intermediarios de datos, como el requisito de que estén registrados en el estado. 

Las nuevas normativas podrían permitir dar "más fuerza a las leyes actuales", según afirma Justin Brookman, director de tecnología en Consumer Reports. 

Brookman señala a Texas, donde Ken Paxton, fiscal general republicano, ha tomado algunas de las medidas más agresivas para proteger la privacidad de los usuarios. Incluso antes de que entrara en vigor la nueva ley de privacidad de los consumidores, Paxton anunció la creación de un grupo especial para hacer cumplir las leyes de privacidad del estado. Desde entonces, ha apuntado a varios intermediarios de datos, como National Public Data, que expuso millones de registros sensibles de clientes en una filtración de datos en agosto, y a las empresas que les venden, como Sirius XM.

Sin embargo, Paxton también ha actuado para hacer cumplir las estrictas leyes sobre el aborto de una manera que pone en peligro la privacidad de las personas. En diciembre, demandó a un médico de Nueva York por enviar píldoras abortivas a una mujer de Texas. Aunque en teoría el doctor está protegido por las leyes de Nueva York, que lo resguardan de persecuciones fuera del estado, la acción de Paxton subraya la urgencia de que los estados incluyan la protección de la privacidad de los datos en sus legislaciones. "Es fundamental que los estados protejan los datos de sus ciudadanos e impidan que las empresas recopilen y compartan información que luego pueda ser utilizada en su contra por fiscales de otros estados", afirma Albert Fox Cahn, director ejecutivo del Surveillance Technology Oversight Project, un grupo para defender el derecho a la privacidad. 

Recolección de datos en nombre de la "seguridad"

La privacidad se ha convertido en una cuestión política y, según señala Winters, los republicanos están interesados en "abordar el tema de los intermediarios de datos como un asunto seguridad nacional" para proteger a los miembros del ejército o a otros funcionarios gubernamentales. Según el director de IA y privacidad de la FTC, los derechos reproductivos y los inmigrantes son quienes podrían verse más afectados por la falta de privacidad.

De hecho, los intermediarios de datos (como Venntel, la filial de Gravy Analytics mencionada en el reciente acuerdo de la FTC) han vendido datos de teléfonos móviles al Servicio de Inmigración y Control de Aduanas (ICE) y al Servicio de Aduanas y Protección de Fronteras (CBP). Esta información se ha utilizado para rastrear a personas en el marco de procedimientos de deportación, permitiendo a las agencias eludir las normativas que prohíben a las fuerzas de seguridad compartir información para aplicar las leyes de inmigración.

"Cuantos más datos recopilen las empresas, más fácil será para los gobiernos acceder a ellos y utilizarlos para vigilar a la población", advierte Ashley Gorski, abogada de la Unión Americana de Libertades Civiles (ACLU), especializada en seguridad nacional y privacidad.

La ACLU ha impulsado la aprobación de otra norma federal relacionada con la privacidad: la ley "La Cuarta Enmienda No Está en Venta". Esta cerraría la llamada "laguna jurídica de los intermediarios de datos", que permite a las fuerzas del orden y a las agencias de inteligencia comprar información sin una orden de registro. Según Gorski, esto "limitaría la capacidad del Gobierno para comprar datos privados de los estadounidenses". Fue presentada por primera vez en 2021 y aprobada en la Cámara de Representantesen abril de 2024, con el apoyo de 123 republicanos y 93 demócratas, aunque se estancó en el Senado.

Gorski confía en que el proyecto de ley avance en el próximo Congreso. En cambio, otros son menos optimistas y están preocupados por cómo la administración entrante podría "aprovecharse de los sistemas privados con fines de vigilancia", como señala Hartzog. El académico de Boston sostiene que gran parte de nuestra información persona se recoge "con un propósito específico" y podría "ser utilizada fácilmente por el gobierno para rastrearnos". 

Esto es especialmente preocupante, dice Winters, porque el próximo gobierno ha sido "muy claro" en su intención de usar todas las herramientas a su alcance para llevar a cabo políticas como las deportaciones masivas y tomar represalias contra sus enemigos. Para el directivo de la FTC, un posible cambio podría llegar al flexibilizar los procesos de contratación pública para hacerlos más accesibles a tecnologías emergentes, que a menudo cuentan con menos protecciones de privacidad. "Hoy en día, es complicado adquirir cualquier cosa como agencia federal", dice, pero espera un uso "más relajado de las herramientas comerciales".

"Es algo que ya hemos visto muchas veces", añade Winters. Además, señala que "agencias federales, estatales y locales utilizan herramientas como Clearview", en referencia a la controvertida empresa de reconocimiento facial.

El comodín de la IA

En todos estos debates sobre una posible legislación subyace el hecho de que las empresas tecnológicas, especialmente las de IA, necesitan grandes cantidades de datos, incluidos los personales, para entrenar sus modelos de aprendizaje automático. De hecho, se están quedando sin ellos.

Es como una especie de comodín para los datos personales. Lo ideal, según Jennifer King, investigadora en privacidad y política de datos del Stanford Institute for Human-Centered Artificial Intelligence, sería que la escasez permitiera a los consumidores beneficiarse directamente, incluso de manera económica, del valor de sus propios datos. No obstante, como observa la experta, lo más probable es que "la industria se oponga los proyectos de ley federales que buscan una regulación integral sobre privacidad porque las empresas se benefician del statu quo".

La búsqueda constante de más y más datos también podría llevar a las empresas a modificar sus propias políticas de privacidad, observa Whitney Merrill, exfuncionaria de la FTC que trabaja en privacidad de datos en la empresa Asana. Según la especialista, las compañías "se han visto presionadas por la recesión actual, con los tipos de interés elevados" y esto ha llevado a que "cambien sus políticas y traten de monetizar sus datos para la IA", incluso si esto afecta a la privacidad de sus usuarios. Un ejemplo de esto es el acuerdo de 60 millones de dólares anuales que Reddit firmó con Google en 2024, y que permitía a la empresa de tecnología usar el contenido para entrenar a su IA. 

A principios de este año, la FTC advirtió a las empresas que sería "desleal y engañoso" modificar sus políticas de privacidad "de manera oculta" para permitir el uso de los datos de los usuarios en el entrenamiento de la IA. Una vez más, la implementación de esta advertencia dependerá de las autoridades responsables.

¿Cómo será la privacidad en 2025? 

Aunque los recientes acuerdos de la FTC y la norma propuesta por la CFPB suponen avances significativos en la protección de la privacidad, en especial en lo que respecta a los datos de geolocalización, la información personal de los ciudadanos sigue siendo accesible y vulnerable.

Rebecca Williams, experta en privacidad y gobernanza de datos de la ACLU, sostiene que todos nosotros, como individuos y comunidades, debemos hacer más para protegernos y "resistir... no participando" en la recopilación de tantos datos como sea posible. Esto significa comprobar la configuración de privacidad de cuentas y aplicaciones, y utilizar servicios de mensajería cifrados. 

Albert Fox Cahn, por su parte, asegura que se esforzará para proteger a su comunidad local: "Trabajaremos para promulgar salvaguardias que aseguren que cumplimos con nuestros principios y compromisos". Un ejemplo es una ordenanza, propuesta en la ciudad de Nueva York, que prohibiría compartir cualquier dato de localización dentro de los límites de la ciudad. Hartzog afirma que este tipo de activismo local ya ha demostrado ser eficaz para impulsar la prohibición del reconocimiento facial en varias ciudades.

"Los derechos de privacidad están en peligro, pero no han desaparecido, y no es útil adoptar una actitud demasiado pesimista en estos momentos", afirma Li, profesor de Derecho en la USF. "Aún contamos con esos derechos y, cuanto más sigamos luchando por ellos, más seremos capaces de protegerlos", defiende el docente.