El trabajo de la Comisión Federal del Comercio de Estados Unidos (FTC, por sus siglas en inglés) es proteger a los consumidores de prácticas engañosas e injustas. Y últimamente 'engañoso e injusto' empieza a ser una buena descripción del trato con el que los consumidores se encuentran en Internet.

Las redes sociales y los anunciantes recogen grandes cantidades de información sobre la gente mientras navegan por la Web. Sin embargo, pocos consumidores entienden –o leen siquiera- los complejos acuerdos sobre privacidad que firman. Es más, algunas empresas de internet también los ignoran.

Desde hace poco la FTC, que cuenta con 1.100 empleados, intentan controlar el comportamiento de las empresas respecto a la información personal en línea. Durante los dos últimos años, ha impuesto multas contra vendedores de datos como Spokeo y ha llevado a los tribunales tanto a Facebook como a Google por violar promesas de privacidad hechas por estas empresas a cientos de millones de consumidores.

La Comisión se ha puesto dura, pero en última instancia su autoridad es bastante limitada. Trabaja a partir de leyes –como la ley de 1970 que regula la información sobre el crédito de los consumidores- que se aprobaron antes de que los anunciantes pudieran rastrear lo que vemos estando en línea, y antes de que los teléfonos inteligentes pudieran ofrecer nuestra situación exacta. La FTC cree que hace falta un nuevo sistema más amplio para la protección del consumidor.

La agencia ha estado negociando con empresas de Internet sobre un estándar voluntario conocido como 'No rastrear'. La idea es dar a los consumidores la posibilidad de negarse a que los rastreen en la Web mientras navegan (y que las empresas hagan una promesa de privacidad que la FTC pueda hacer cumplir). En marzo, los cinco comisarios de la FTC fueron aún más lejos al pedir al Congreso que aprobara una nueva legislación 'base' sobre privacidad y seguridad de los datos que planteara las responsabilidades de las empresas que recogen datos personales tanto en línea como fuera de ella.

David Vladeck, antiguo profesor de derecho y abogado desde hace tiempo para el grupo de defensa de los consumidores Public Citizen, se convirtió en el director de la Oficina de Protección del Consumidor de la FTC en 2009. La semana pasada habló con Technology Review.

TR: ¿Qué riesgos existen para los consumidores en línea?

Vladeck: Existen varios. Hemos asistido a una migración de los fraudes tradicionales a Internet. Solo en los últimos 18 meses hemos acabado con tres timos por Internet que habían conseguido estafar a los consumidores casi mil millones de dólares (unos 790 millones de euros). Otro tema es la privacidad. La FCT quiere asegurarse de que los consumidores tengan control sobre su información personal y tengan formas fáciles, eficaces y persistentes de ejercer ese control. En tercer lugar nos preocupan los ataques malintencionados -programas maliciosos, programas espía, spam- que amenazan con perjudicar la utilidad y seguridad de Internet.

Ha iniciado acciones importantes contra Facebook y Google, y las ha obligado a someterse a auditorías cada dos años hasta 2032. ¿Cuál es la importancia de estos casos?

Son dos ejemplos de las acciones que llevamos a cabo para asegurarnos de que las empresas se pliegan a las promesas sobre seguridad que hacen a los consumidores. Creo que el compromiso que han aceptado Google y Facebook es muy importante. Los auditores van a ir a asegurarse de que realmente cumplen con los compromisos que figuran en sus políticas de privacidad. Las auditorías están diseñadas para asegurarse de que las empresas incluyen la privacidad en cada paso a la hora de ofrecer un producto o servicio. Esto requerirá que las empresas que no hicieron las cosas así desde el principio tengan que gastarse mucho dinero y tiempo. Y no creo que se pueda decir que Facebook y Google lo hicieran bien desde el principio.

Tienen que retroceder y reconstruir su negocio de tal forma que tengan en cuenta la privacidad. Creo que con esto lanzamos señales muy importantes para la industria. Son los actores más importantes en escena.

Llegó a la FTC con la intención de cambiar su enfoque respecto a la privacidad. ¿Cuál era el problema?

Nuestro marco sobre privacidad se había desarrollado principalmente antes de la llegada de Internet. Ese marco empezó a desgastarse cuando Internet se convirtió en el medio de comunicación principal. Las empresas establecían políticas de privacidad que eran difíciles de encontrar en Internet. Estaban redactadas por abogados como yo que se sirven de las políticas de privacidad no solo para hablar sobre cómo se usarán y recogerán los datos, sino también para eximir de responsabilidades y tratar cualquier minucia que la empresa desee.

Cuando llegué aquí creo que había un sentimiento compartido de que el paradigma que había servido en el mundo de los medios de papel no estaba sirviendo para el mundo digital. Hemos intentado cambiar ese paradigma para depender menos de avisos de privacidad incomprensibles y para dar a los consumidores un control sobre sus datos.

¿Es ese el motivo por el que la FTC ha pedido al Congreso que apruebe nuevas leyes sobre privacidad?

Hemos solicitado la actuación del Congreso en dos campos. Uno es la seguridad de los datos. Parte de la privacidad consiste en tener los datos a buen recaudo. Hemos visto, una y otra vez, a empresas que poseen información muy sensible y que no toman precauciones razonables para proteger esos datos. Queremos que el Congreso nos dé la autoridad para imponer penas civiles a las empresas que no respetan su obligación de salvaguardar la información de los consumidores. Más recientemente hemos pedido al Congreso que apruebe una legislación base sobre la privacidad. Podemos lograr una protección básica de la privacidad a través de la educación pública, la legislación y persiguiendo el cumplimento de la misma. Pero una legislación base sobre privacidad nos daría una herramienta más amplia. También serviría para igualar el terreno de juego y que las empresas que respetan la privacidad no tengan una desventaja en el mercado.

Mientras tanto, su agencia ha recomendado que las empresas de Internet adopten, voluntariamente, una política de 'No rastrear'. ¿Qué pasa si no lo hacen?

Esperamos que la industria, los fabricantes de navegadores y los anunciantes se sienten y acaben aprobando unos estándares de no rastrear que se adapten a los puntos que hemos presentado. Creo que si no lo hacen existen muchas posibilidades de que el Congreso lo imponga por su cuenta.

¿Cómo podemos fiarnos de que las empresas se acogerán a la política de No rastrear si es algo voluntario?

Creemos que si una empresa se compromete a ello y no lo cumple, podremos detectarlo y eso dará lugar a que podamos llevarla ante los tribunales. Tenemos la autoridad para hacer que la gente se atenga a sus promesas sobre privacidad. Tenemos tecnólogos entre nuestro personal que nos aseguran que hay formas que ya están disponibles para que nosotros y otros detectemos el rastreo, independientemente de lo sofisticado que sea.

¿Por eso han aumentado su plantilla de expertos en tecnología?

No creo que podamos ser una agencia eficaz si no contamos con la capacidad tecnológica de detectar y demostrar en un tribunal que se están produciendo violaciones. Hace dos años empezamos a construir el primer laboratorio forense móvil, para examinar aparatos móviles. Estamos viendo cómo las violaciones de la privacidad y los fraudes se están trasladando a los teléfonos inteligentes, y queríamos tener la capacidad no solo de saber que se estaban produciendo, sino también de conseguir pruebas en tiempo real que pudiéramos usar en procedimientos judiciales. Pudimos demostrar, por ejemplo, que una aplicación para niños estaba recogiendo información sobre geolocalización sin pedir permiso paterno.

Pero hay montones de retos. Existe un software comercial listo para usar que se puede usar para recoger pruebas en ordenadores normales. Pero por ahora no hay nada para aparatos móviles que haga el tipo de captura de pruebas generales que necesitamos. Así que hemos tenido que ser ingeniosos a la hora de montar nuestro laboratorio.

¿El laboratorio forense vigila las aplicaciones en general, o se centra en investigaciones en curso?

Hacemos investigaciones de las que no vamos a hablar aquí ahora. Un ejemplo para que os hagáis una idea del trabajo: hace unos tres meses elaboramos un informe sobre aplicaciones para niños. Probamos entre 500 y 600 aplicaciones.

¿Cuáles cree que serán los temas más importantes respecto a la privacidad móvil a medio plazo?

Como sabe, en el extranjero la gente usa sus teléfonos móviles como medio de pago. Esa tecnología llegará a Estados Unidos muy pronto. Evidentemente es muy cómodo para los consumidores, pero hay cuestiones de privacidad y seguridad muy graves relacionadas con esta tecnología. También hicimos un gran congreso en mayo sobre lo que nosotros denominamos 'aviso punto com'. Es decir, ¿cómo puedes hacer avisos sobre privacidad efectivos en tu teléfono inteligente dado el tamaño que tiene?