La ley de Colorado tiene como objetivo proteger los datos cerebrales de los consumidores
Los consumidores se han acostumbrado a la posibilidad de que sus datos personales, como direcciones de correo electrónico, contactos sociales, historial de navegación y ascendencia genética, sean recopilados y, a menudo, revendidos por las aplicaciones y servicios digitales que utilizan.
Con la llegada de la neurotecnología de consumo, los datos recopilados se vuelven cada vez más íntimos. Una diadema actúa como un entrenador personal de meditación al monitorear la actividad cerebral del usuario. Otro afirma ayudar a tratar la ansiedad y los síntomas de la depresión. Otro lee e interpreta las señales cerebrales a medida que el usuario navega por las aplicaciones de citas, presumiblemente para ofrecer mejores coincidencias. (“’Escuchar a tu corazón’ no es suficiente”, afirma el fabricante en su sitio web).
Las empresas detrás de estas tecnologías tienen acceso a grabaciones de la actividad cerebral de los usuarios: las señales eléctricas subyacentes a nuestros pensamientos, sentimientos e intenciones.
El miércoles, el gobernador Jared Polis de Colorado firmó un proyecto de ley que, por primera vez en Estados Unidos, busca garantizar que dichos datos sigan siendo verdaderamente privados. La nueva ley, aprobada por 61 votos a 1 en la Cámara de Representantes de Colorado y 34 a 0 en el Senado, amplía la definición de «datos sensibles» en la actual ley de privacidad personal del estado para incluir datos biológicos y «datos sensibles». datos neuronales” generados por el cerebro, la médula espinal y la red de nervios que transmiten mensajes por todo el cuerpo.
“Todo lo que somos está en nuestras mentes”, dijo Jared Genser, abogado general y cofundador de la Neurorights Foundation, un grupo científico que apoyó la aprobación del proyecto de ley. «Lo que pensamos y sentimos, y la capacidad del cerebro humano para decodificarlo, no podría ser más intrusivo o personal para nosotros».
«Estamos muy emocionados de ver un proyecto de ley real promulgado que protegerá los datos biológicos y neurológicos de las personas», dijo la representante Cathy Kipp, demócrata de Colorado, quien presentó el proyecto de ley.
El senador Mark Baisley, republicano de Colorado, que patrocinó el proyecto de ley en la cámara alta, dijo: “Me siento muy bien de que Colorado haya liderado el camino al abordar este problema y brindar protecciones adecuadas para la privacidad única de las personas. Estoy muy contento con este fichaje».
La ley apunta a las tecnologías cerebrales a nivel del consumidor. A diferencia de los datos confidenciales de los pacientes obtenidos de dispositivos médicos en entornos clínicos, que están protegidos por la ley federal de salud, los datos relacionados con las neurotecnologías de consumo no están en gran medida regulados, dijo Genser. Esta laguna jurídica significa que las empresas pueden recopilar grandes cantidades de datos cerebrales altamente sensibles, a veces durante un número desconocido de años, y compartir o vender la información a terceros.
Los partidarios del proyecto de ley han expresado su preocupación de que los datos neuronales puedan usarse para decodificar los pensamientos y sentimientos de una persona o para conocer datos sensibles sobre la salud mental de un individuo, como si alguien tiene epilepsia.
«Nunca antes habíamos visto algo con este poder: identificar, codificar y discriminar personas en función de sus ondas cerebrales y otra información neuronal», dijo Sean Pauzauskie, miembro de la junta directiva de la Sociedad Médica de Colorado, quien fue el primero en presentar el asunto a la atención de la Sra. Kipp. El Sr. Pauzauskie fue contratado recientemente por la Fundación Neurorights como director médico.
La nueva ley extiende a los datos biológicos y neuronales las mismas protecciones que brinda la Ley de Privacidad de Colorado a las huellas dactilares, imágenes faciales y otros datos biométricos sensibles.
Entre otras protecciones, los consumidores tienen derecho a acceder, eliminar y corregir sus datos, así como a optar por no vender o utilizar sus datos para publicidad dirigida. Las empresas, a su vez, enfrentan regulaciones estrictas sobre cómo manejan esos datos y deben revelar el tipo de datos que recopilan y sus planes al respecto.
“Las personas deberían poder controlar adónde va esa información, esa información de identificación personal y tal vez incluso predictiva personalmente”, dijo Baisley.
Los expertos dicen que la industria de la neurotecnología está preparada para expandirse con la participación de importantes empresas tecnológicas como Meta, Apple y Snapchat.
«Está avanzando rápidamente, pero está a punto de crecer exponencialmente», dijo Nita Farahany, profesora de derecho y filosofía en Duke.
De 2019 a 2020, las inversiones en empresas de neurotecnología aumentaron alrededor de un 60 % a nivel mundial y ascendieron a alrededor de 30 mil millones de dólares en 2021, según un análisis de mercado. La industria llamó la atención en enero, cuando Elon Musk anunció en X que una interfaz cerebro-computadora fabricada por Neuralink, una de sus empresas, había sido implantada en una persona por primera vez. Desde entonces, Musk ha dicho que el paciente se había recuperado por completo y ahora podía controlar un ratón únicamente con el pensamiento y jugar ajedrez en línea.
Si bien son extrañamente distópicas, algunas tecnologías cerebrales han dado lugar a tratamientos revolucionarios. En 2022, un hombre completamente paralizado pudo comunicarse mediante una computadora simplemente imaginando sus ojos en movimiento. Y el año pasado, los científicos lograron traducir la actividad cerebral de una mujer paralizada y transmitir su habla y expresiones faciales a través de un avatar en la pantalla de una computadora.
«Las cosas que la gente puede hacer con esta tecnología son asombrosas», afirmó la Sra. Kipp. «Pero simplemente pensamos que debería haber barreras de seguridad para las personas que no quieren leer sus pensamientos y utilizar sus datos biológicos».
Esto ya está sucediendo, según un informe de 100 páginas publicado el miércoles por la Fundación Neurorights. El informe analizó 30 empresas de neurotecnología de consumo para ver cómo sus políticas de privacidad y acuerdos de usuario se alineaban con los estándares internacionales de privacidad. Descubrió que sólo una empresa restringía significativamente el acceso a los datos neuronales de una persona y que casi dos tercios podían, bajo determinadas circunstancias, compartir los datos con terceros. Dos empresas han insinuado que ya han vendido dichos datos.
«La necesidad de proteger los datos neuronales no es un problema de mañana, sino de hoy», afirmó Genser, uno de los autores del informe.
El nuevo proyecto de ley de Colorado obtuvo un rotundo apoyo bipartidista, pero enfrentó una feroz oposición externa, dijo Baisley, especialmente de las universidades privadas.
Al testificar ante un comité del Senado, John Seward, oficial de cumplimiento de investigaciones de la Universidad de Denver, una universidad de investigación privada, señaló que las universidades públicas estaban exentas de la Ley de Privacidad de Colorado de 2021. La nueva ley pone a las instituciones privadas en desventaja, dijo el Sr. Seward. presenciado, porque tendrán una capacidad limitada para capacitar a estudiantes que utilicen “las herramientas del oficio de diagnóstico e investigación neuronal” únicamente con fines de investigación y enseñanza.
“El campo de juego no está nivelado”, testificó el Sr. Seward.
El proyecto de ley de Colorado es el primero de su tipo que se convierte en ley en los Estados Unidos, pero Minnesota y California están impulsando una legislación similar. El martes, el Comité Judicial del Senado de California aprobó por unanimidad un proyecto de ley que define los datos neuronales como «información personal sensible». Varios países, incluidos Chile, Brasil, España, México y Uruguay, ya han consagrado la protección de los datos cerebrales en sus constituciones a nivel estatal o nacional o han tomado medidas para hacerlo.
“A largo plazo”, dijo Genser, “nos gustaría ver que se desarrollen estándares globales”, por ejemplo ampliando los tratados internacionales de derechos humanos existentes para proteger los datos neuronales.
En Estados Unidos, los partidarios de la nueva ley de Colorado esperan que siente un precedente para otros estados e incluso dé impulso a la legislación federal. Pero la ley tiene limitaciones, señalaron los expertos, y puede que sólo se aplique a las empresas de neurotecnología de consumo que recopilan datos neuronales específicamente para determinar la identidad de una persona, como especifica la nueva ley. La mayoría de estas empresas recopilan datos neuronales por otras razones, como para inferir lo que una persona podría estar pensando o sintiendo, dijo Farahany.
«No te preocuparás por esta ley de Colorado si eres una de esas empresas en este momento, porque ninguna de ellas las utiliza con fines de identificación», añadió.
Pero Genser dijo que la Ley de Privacidad de Colorado protege todos los datos que califican como personales. Dado que los consumidores deben proporcionar su nombre para comprar un producto y aceptar las políticas de privacidad de la empresa, este uso se incluye en la categoría de datos personales, dijo.
«Dado que los datos neuronales de los consumidores anteriormente no estaban protegidos en absoluto bajo la Ley de Privacidad de Colorado», escribió Genser en un correo electrónico, «etiquetarlos ahora como información personal sensible con protecciones equivalentes a las de los datos biométricos es un importante paso adelante».
En un proyecto de ley paralelo de Colorado, la Unión Estadounidense por las Libertades Civiles y otras organizaciones de derechos humanos están presionando para que se adopten políticas más estrictas con respecto a la recopilación, retención, almacenamiento y uso de todos los datos biométricos, con fines de identificación o no. Si el proyecto de ley se aprueba, sus implicaciones legales se aplicarían a los datos neuronales.
Las grandes empresas tecnológicas desempeñaron un papel en la configuración de la nueva ley, argumentando que era demasiado amplia y corría el riesgo de perjudicar su capacidad de recopilar datos no estrictamente relacionados con la actividad cerebral.
TechNet, una red de políticas que representa a empresas como Apple, Meta y Open AI, ha presionado con éxito para incluir un lenguaje centrado en la ley en la regulación de los datos cerebrales utilizados para identificar a las personas. Pero el grupo no logró eliminar el lenguaje que rige los datos generados por «el cuerpo o las funciones corporales de un individuo».
«Sentimos que esto podría abordar una serie de cosas que hacen todos nuestros miembros», dijo Ruthie Barko, directora ejecutiva de TechNet para Colorado y el centro de Estados Unidos.