Fideicomisos de datos, ¿qué son y cómo funcionan?

Con la proliferación de las redes sociales y el Internet de las cosas, se ha prestado mucha atención a la protección de la información personal. Esto ha sido una gran preocupación para los consumidores desde hace algún tiempo, ya sea que se trate de rastrear las cookies cuando visitan un sitio web, una violación de datos en Equifax o que los corredores de datos recopilen y vendan su información personal.

Gran parte de la atención se ha centrado en la privacidad de los datos en el contexto comercial o del consumidor, pero también hay preocupaciones sobre la protección de los datos de los empleados. Una posible solución es utilizar un fideicomiso de datos.

En este artículo, presento el concepto de fideicomisos de datos como una forma de recuperar algo de control sobre las utilidades digitales de las que dependemos para nuestra vida cotidiana. También hablaré de cómo funcionan estos fideicomisos de datos y por qué son importantes.

¿Qué es un fideicomiso de datos?

Un fideicomiso de datos es un término relativamente nuevo sin una definición universalmente aceptada. Una de las definiciones más simples define un fideicomiso de datos como una organización independiente que tiene el deber fiduciario de administrar los datos en beneficio de otra persona o grupo. Pero para explicar mejor esto, veamos qué es un fideicomiso.

En el mundo legal, un fideicomiso es una relación legal especial en la que alguien tiene el deber fiduciario de administrar o usar la propiedad para beneficiar a otra persona. Un fideicomiso tiene cuatro componentes principales:

  • Fideicomitente: Es la entidad que proporciona la propiedad para el fideicomiso.
  • Corpus: También llamado propiedad fiduciaria, esta es la propiedad que el fideicomitente coloca en el fideicomiso.
  • Fideicomisario: es la persona (o personas, ya que los fideicomisos suelen tener varios fideicomisarios) que administra la propiedad para el beneficiario.
  • Beneficiario: Es la persona (también puede haber múltiples beneficiarios) que recibe el beneficio de la propiedad fiduciaria.

La clave del fideicomiso es que el fideicomisario tiene un deber fiduciario para con los beneficiarios. Este es el estándar de atención más alto en la ley y significa que el fideicomisario debe tener una lealtad casi absoluta hacia el beneficiario y actuar siempre en el mejor interés del beneficiario.

Una confianza de datos en el contexto del empleo probablemente constaría de los siguientes elementos:

  • Los fideicomitentes serían los empleadores o empleados que envían los datos de los empleados al fideicomiso.
  • El corpus consta de datos de empleados.
  • El fideicomisario sería el tercero independiente con el deber fiduciario para con los empleados encargados de administrar la información personal de los empleados.
  • Los beneficiarios serían los empleados.

La parte final de un fideicomiso de datos es el estatuto o los términos del fideicomiso. Esto dictaría cosas como:

  • El propósito del fideicomiso.
  • Los deberes fiduciarios precisos que deben seguir los fideicomisarios.
  • Los derechos de los beneficiarios y fideicomitentes.
  • Cómo los fideicomisarios deben gestionar los datos.

¿Quién tiene el control?

Cualquier consulta sobre la recopilación y el flujo de datos adecuados debe intentar responder estas preguntas:

  • Recolección: ¿quién puede recolectar y quién puede decidir sobre la recolección futura?
  • Acceso: ¿quién puede acceder y quién puede decidir sobre el acceso futuro?
  • Uso: ¿quién puede usar y quién puede decidir sobre el uso futuro?

La primera pregunta reconoce que el mismo acto de registrar datos puede tener consecuencias de gran alcance. Por un lado, es difícil borrar los datos una vez que se recopilan, por lo que la recopilación siempre implica el uso (como mínimo, el almacenamiento de datos). En segundo lugar, el acto de grabarse en sí mismo puede verse como una violación de nuestra autonomía. Los seres humanos se comportan de manera diferente cuando saben que están frente a la cámara o cuando asumimos que nuestras conversaciones cotidianas quedan grabadas.

La segunda y tercera preguntas determinan cómo se usa y distribuye la información, una vez que se recopila. Además de determinar quién tiene acceso y puede usar los datos hoy, necesitamos saber quién puede tomar decisiones futuras aún no especificadas sobre el acceso y uso futuros.

Claramente, el poder de decidir quién puede recopilar, acceder y usar los datos es más importante que simplemente tener derechos de recopilación, acceso y uso en este momento. Lo que plantea la pregunta: ¿quién puede tomar esas decisiones sobre nuestros datos? A menudo, la respuesta de facto a esta pregunta es ‘una corporación’, ya sea Google, Facebook o Amazon. La mayoría de los sensores que recopilan datos están bajo control corporativo y la mayoría de los datos resultantes también están en manos de corporaciones. Especialmente en jurisdicciones sin legislaciones explícitas de protección de datos, esta realidad ha significado que las corporaciones decidan qué datos se recopilan y quién puede acceder y utilizar los datos recopilados, y con qué propósito.

Incluso cuando los datos se recopilan en el contexto de un proyecto público (por ejemplo, ciudades inteligentes), a menudo es la empresa consultora quien decide qué recopilar, quién podría acceder a ellos, cómo se utilizó y quién lo utilizó, con poca supervisión pública. Eso es un problema. El director de una corporación tiene la responsabilidad fiduciaria de actuar en interés de sus accionistas. Su trabajo no es garantizar su privacidad o hacer que los datos estén disponibles para el bien público, sino ganar dinero. De hecho, incluso cuando los accionistas de una empresa deciden que quieren poner esos valores por encima de su necesidad de obtener ganancias, no podemos confiar en que continuarán haciéndolo en el futuro.

Las políticas de privacidad que entran en vigor hoy resuelven parte del problema, al otorgar a las personas el derecho a decidir cómo quieren compartir o no los datos sobre ellos, y qué permiten que se recopile en primer lugar. Sin embargo, nuestra capacidad para ejercer estos derechos depende de si esas decisiones se toman en libertad. Desafortunadamente, nuestra dependencia de un puñado de plataformas de redes sociales y servicios digitales ha resultado en desequilibrios de poder que socavan cualquier noción significativa de consentimiento. Nuestra capacidad para elegir libremente cómo y cuándo compartimos nuestros datos se rompe cuando la elección es entre entregar datos sobre nosotros mismos y la exclusión social, o incluso el desempleo. Sin una forma real de optar por no participar, nuestro consentimiento no tiene sentido.

Mientras tanto, la aplicación de las políticas de privacidad deja mucho que desear. Muchos organismos encargados de hacer cumplir la ley se basan en quejas, en lugar de auditorías preventivas, y carecen de suficiente personal.

En relación con las preguntas planteadas anteriormente, las leyes de protección de datos nos otorgan los derechos que necesitamos para otorgar y revocar el acceso y el uso de los datos. Sin embargo, sin abordar los desequilibrios de poder subyacentes, seguimos mal equipados para ejercer esos derechos.

¿Cómo funcionan los fideicomisos de datos?

Los fideicomisos de datos podrían almacenar tus datos y usarlos con una responsabilidad fiduciaria, lo que significa que el fideicomisario que está a cargo de tus datos solo actúa en sus intereses. Y decide cómo y quién recopila, utiliza y procesa tus datos. Imagina que un grupo de usuarios de Google crea un fideicomiso y los fideicomisarios deciden cuándo y cómo compartir tus datos con el servicio y qué tipo de anuncios se le permite mostrarte. Si el servicio se comporta mal, la confianza puede retirar todos los datos. En ese caso, un fideicomiso o un sindicato es más fuerte que solo un individuo.

Hay ciertas plataformas que intentan crear servicios de donación de datos, como AlgorithmWatch. Este servicio quiere permitir que los usuarios del navegador donen sus datos vinculados a un servicio específico, como Google, Facebook, Instagram, etc. a una plataforma para que pueda analizar más tarde cómo se les dirige y con qué anuncios se les ha servido. Estos servicios podrían ser administrados por fideicomisos de datos en el futuro, por ejemplo.

Al igual que con los almacenes de datos personales, al colocar los datos en un fideicomiso de datos, separamos a los usuarios de los datos de aquellos que controlan los datos. La diferencia es que con un fideicomiso, evitamos colocar toda la carga de la toma de decisiones en el individuo. Además, al agrupar datos de varias fuentes en un fideicomiso de datos, desbloqueamos la capacidad de un administrador de datos para negociar en nombre del colectivo, en lugar de un individuo.

¿Por qué los empleados podrían necesitar un fideicomiso de datos para proteger sus datos?

Actualmente, no existen muchas leyes que regulen cómo los empleadores deben administrar los datos de los empleados. Generalmente requieren que los empleadores mantengan la confidencialidad de cierta información obtenida de los empleados.

La forma precisa en que los fideicomisos de datos podrían aplicarse a los empleados dependerá de las circunstancias, como el tipo de datos, cómo se recopilan y por qué se necesitan. Veamos posibles escenarios y cómo se les podría aplicar una confianza de datos.

El empleador invade la privacidad de un empleado

Un empleador puede obtener información personal sobre un empleado por razones apropiadas. Por ejemplo, un empleador podría querer confirmar que sus empleados no están usando sus cuentas de redes sociales para revelar información confidencial del empleador.

Para obtener la tranquilidad que desea, el empleador puede solicitar información de inicio de sesión en las redes sociales de uno de sus empleados. Aunque el empleado sabe que no hizo nada malo, es posible que no se sienta cómodo con que un jefe vea publicaciones personales en las redes sociales. Entonces, en lugar de darle la información de inicio de sesión al empleador, el empleado se la da al fideicomiso de datos.

Luego, el fideicomisario revisa la cuenta de redes sociales del empleado solo para identificar cualquier violación relevante de la política del empleador. Luego, el fideicomisario puede informar los hallazgos al empleador.

El empleador obtiene la tranquilidad que necesita, mientras que el empleado no tiene que preocuparse de que un jefe invada la vida privada del empleado. Y debido a que el fideicomisario tiene un deber fiduciario legalmente exigible para con el empleado, el empleado no necesita preocuparse de que el fideicomisario divulgue o haga un mal uso de la información sobre el empleado.

Acceso no autorizado a la información

Un empleado puede no tener problemas para dar información personal a una persona en el trabajo, como un gerente de recursos humanos. Pero a pesar de las garantías de que nadie más tendrá acceso a la información, el empleado aún podría preocuparse. Quizás alguien deja accidentalmente el expediente del empleado en la sala de descanso. O tal vez la información está en un ordenador portátil que se pierde.

Si se configura correctamente, un fideicomiso de datos podría reducir las posibilidades de que suceda algo de eso. O si es así, podrá identificar quién tiene la culpa. La confianza de datos podría permitir que solo ciertas personas tengan acceso a la información. Y para ayudar a mantenerlo seguro y rastrear quién ha accedido a él, la información se mantendrá en formato electrónico y en una ubicación central, como un servidor externo.

Para obtener acceso a los datos de los empleados, una persona autorizada utilizará un inicio de sesión de escritorio virtual. Este sistema de acceso remoto no solo reduciría las posibilidades de una violación de datos en caso de que un gerente de recursos humanos pierda un portátil o teléfono inteligente del trabajo, sino que si hay algún uso o acceso inadecuado a la información, habría un rastro electrónico en papel para rastrear quién es el responsable.

La implementación de nueva tecnología informática podría dificultar aún más el acceso no autorizado a la información, especialmente cuando la información tiene que pasar por varias personas. Una forma modificada de tecnología de contabilidad distribuida permite crear un registro de cadena de custodia con datos electrónicos.

El cifrado homomórfico tiene potencial aquí porque permite el uso de información cifrada sin descifrarla. Un empleador puede utilizar esto para buscar información sin tener que ver la información.

Imagina un empleador que desea recopilar datos estadísticos sobre las quejas de acoso sexual de sus empleados. El cifrado homomórfico puede permitirle buscar las quejas y crear un recuento, sin tener que saber quién presentó las quejas o contra quién estaban.

Retos potenciales para el uso de un fideicomiso de datos en el ámbito laboral

Todo esto suena genial, pero ¿qué tan práctico es? Bueno, habrá desafíos. La mayoría de ellos probablemente se puedan superar, aunque está la cuestión del coste, ya sea económico o en términos de buena voluntad.

Uno de los mayores desafíos será aprender a confiar en el fideicomiso de los datos. Un empleador podría pensar que el fideicomisario es básicamente un defensor del empleado, por lo que la confianza de datos no será de ninguna utilidad para el empleador. Los empleados podrían pensar que permitir que el fideicomiso de datos tenga su información personal no evitará que se produzcan violaciones de privacidad o de datos, sino que solo cambiará quién es responsable. Pero con el tiempo, la gente suele acostumbrarse a la nueva tecnología y, asumiendo que realmente funciona, aprende a aceptarla y a confiar en ella.

Un segundo desafío potencial es averiguar los términos de la confianza de datos. Es probable que los empleadores y los empleados tengan desacuerdos sobre cómo debería funcionar la confianza de datos. Por ejemplo, es posible que los empleados solo deseen que el director de recursos humanos tenga acceso ilimitado a la información que posee el fideicomiso de datos, pero el empleador también quiere que su director ejecutivo, director financiero y vicepresidentes tengan acceso.

En tercer lugar, ¿cómo se respaldaría la confianza de datos? Se necesita dinero y esfuerzo de las personas para operar un fideicomiso de datos. ¿Quién va a pagar estos salarios y facturas de electricidad y mantenimiento de servidores?

Si el empleador paga, existe un posible conflicto de intereses. Recuerda, el fideicomisario debe tener total lealtad hacia los empleados. Esto puede no ser fácil de hacer cuando las facturas del fideicomiso de datos las paga el empleador, no el empleado.

¿Pagarán los empleados? Es posible, pero eso es pedirles a los empleados que tomen lo que equivale a un recorte salarial para asegurarse de que sus empleadores estén usando la información correctamente.

En un fideicomiso típico, el fideicomisario recibiría el pago de la propiedad en el fideicomiso. El equivalente aquí sería permitir que la confianza de datos se pague al beneficiarse de los datos que tiene la tarea de proteger. Pero, ¿no es el objetivo de un fideicomiso de datos evitar la explotación de datos?

Quizás, aunque puede ser posible permitir que los datos de los empleados se despersonalicen con todas las partes de identificación eliminadas para que aún puedan tener valor económico en conjunto. Esto permitiría que el fideicomiso de datos se respalde a sí mismo y, al mismo tiempo, proteja los intereses de sus beneficiarios (empleados).

Un cuarto desafío sería establecer el marco legal donde opera el fideicomiso de datos. Dado el número de empleadores que operan en varios estados, se necesitaría una ley uniforme que pudiera aplicarse para proteger los derechos de los empleados.

El fideicomiso de datos en sí mismo podría tener disposiciones que describan los derechos de sus beneficiarios. Pero los empleados pueden tener varios fideicomisos de datos con los que lidiar, como uno para información médica, uno para vigilancia en el lugar de trabajo y otro para cuentas de redes sociales. Pedir a los empleados que aprendan los «términos de servicio» para cada uno de sus fideicomisos de datos no es realista. También ayuda tener un «respaldo» legal en caso de que haya una violación de los términos de la oxidación de datos.

Importancia del fideicomiso de datos

Veamos ahora cómo los fideicomisos de datos mejoran la recopilación y distribución de datos, protegen la privacidad e involucran el control de datos de terceros.

Mejorar la recopilación y distribución de datos

A medida que las empresas de tecnología han crecido en tamaño y alcance, han determinado cómo se recopilan, mantienen y distribuyen los datos. En muchos casos, nadie les dice cómo hacer estas cosas. Sin embargo, es posible que sus políticas no redunden en el mejor interés de las personas que utilizan sus servicios.

Facebook, Google y otros proveedores, por ejemplo, permiten a los anunciantes orientar sus anuncios con precisión a los usuarios que se ajustan a sus perfiles. Pero esas empresas no pagan nada a las personas que proporcionan esos datos. ¿Es eso justo? Quizás sí y quizás no, pero el punto es que ni siquiera es una opción. Un fideicomiso de datos establecería reglas sobre qué datos se pueden recopilar, quién puede acceder a ellos y por qué.

Los fideicomisos de datos pueden ayudar tanto a las empresas como a las personas. La Comisión Europea ha emitido una guía que enmarca el intercambio de datos para proyectos valiosos como un deber cívico. Esta estrategia incluye la creación de un mercado de datos multinacional para ser administrado por un fideicomiso de datos. Las empresas de tecnología deben acceder a los datos a través del fideicomiso y los ciudadanos recibirán «dividendos de datos». Canadá ha introducido el concepto de confianza en los datos en su debate sobre la modernización de la ley de privacidad.

A principios de 2021, los detalles del acuerdo de la UE aún se están resolviendo, incluidos algunos de sus desafíos. Pero al menos el desacoplamiento de la administración de datos del uso de datos parece ser un movimiento positivo. Los posibles usos del intercambio de datos incluyen la detección de fraudes, la visibilidad de la cadena de suministro, el desarrollo de productos, la investigación médica, el desarrollo de políticas y la innovación.

Proteger la privacidad

Las empresas de tecnología han demostrado ser malos administradores de nuestros datos personales. Nuestra información se ha filtrado, pirateado y vendido y revendido más veces de las que la mayoría de nosotros podemos contar. Con este descuido, la privacidad se convierte en un gran problema.

Incluso en situaciones en las que la recopilación y el uso de datos son para el bien público, puede que no sea para el bien de cada individuo. Un proyecto de ciudad inteligente es un buen ejemplo. Si bien la recopilación y el uso de datos ayudarán a las personas a disfrutar de una experiencia más conveniente y personalizada, es probable que el proyecto sea supervisado por una empresa que, en última instancia, debe responder a sus accionistas, no al público, y la empresa no tiene la obligación de proteger la privacidad del usuario.

Las políticas de privacidad pueden ayudar pero, en situaciones como un entorno de trabajo en el que los empleados están sujetos a vigilancia, las personas realmente tienen pocas opciones al respecto. Incluso las políticas más estrictas pueden no ser capaces de competir contra desequilibrios de poder masivos, como los que existen entre las grandes corporaciones y sus trabajadores.

Involucrar el control de datos de terceros

Los expertos han luchado con la mejor manera de hacer que los datos vuelvan a estar bajo el control de quienes los generan. Algunas de las soluciones que se han propuesto incluyen dividir las empresas de Big Tech, nacionalizar las Big Tech o usar almacenes de datos personales para almacenar datos personales. Sin embargo, cada una de estas soluciones tiene su propio conjunto de problemas. Por ejemplo, ¿es mejor el control de los datos personales por parte de los gobiernos que su control por parte de las empresas?

Los fideicomisos de datos le quitan el control a corporaciones y gobiernos. También alivian a las personas de los desafíos de tomar decisiones sobre cómo se debe usar, decisiones que requerirían una enorme inversión de tiempo para comprender todos sus matices.

De manera similar a la cantidad de personas que dejan las decisiones de inversión en manos de un experto en inversiones, podrían dejar las decisiones de datos en manos de los expertos en datos que forman los fideicomisos de datos. La obligación de quienes administran el fideicomiso es para con esas personas, no con ninguna otra entidad.

Otro beneficio de un fideicomiso de datos es que puede tomar decisiones en nombre de numerosas personas, lo que le otorga poder colectivo. Sin un defensor de este tipo, las personas tienen pocos recursos en caso de desafíos con los gigantes de la tecnología. Probablemente, su única opción es dejar de usar el servicio. Como representante de un gran grupo de personas, el defensor puede amenazar al gigante de la tecnología con la interrupción del servicio de ese gran grupo, lo que tendría un impacto mucho mayor.

Futuro de los fideicomisos de datos

Debido a que los fideicomisos de datos son todavía una idea relativamente nueva, quedan muchas preguntas sobre cómo deberían funcionar realmente en la práctica. Por ejemplo, ¿cuál es el marco apropiado para compartir datos ? ¿Qué consideraciones legales deben incluirse? ¿Cuáles son las implicaciones éticas de este uso de datos? ¿Cuál es la mejor forma de distribuir los datos? ¿Cómo se pueden utilizar tecnologías emergentes como blockchain para mejorar el proceso?

A medida que los individuos, las empresas, los gobiernos y las comunidades avancen hacia una mayor madurez en la recopilación, el mantenimiento y el uso de datos, aquellos que elijan formar fideicomisos de datos deberán considerar estas preguntas y, finalmente, llegar a las respuestas adecuadas.

Algunas entidades, incluidas las nuevas empresas médicas, las instituciones financieras e incluso las empresas de redes sociales, ya están experimentando con este modelo. Por ahora, el concepto aún se encuentra en la etapa inicial y muchos observadores estarán interesados ​​en ver cómo evoluciona.