Proyecto de ley de Colorado tiene como objetivo proteger los datos cerebrales de los consumidores
Los consumidores se han acostumbrado a la perspectiva de que sus datos personales, como direcciones de correo electrónico, contactos sociales, historial de navegación y ascendencia genética, sean recopilados y, a menudo, revendidos por las aplicaciones y los servicios digitales que utilizan.
Con la llegada de las neurotecnologías de consumo, los datos que se recopilan se vuelven cada vez más íntimos. Una diadema sirve como entrenador personal de meditación al monitorear la actividad cerebral del usuario. Otro pretende ayudar a tratar la ansiedad y los síntomas de la depresión. Otro lee e interpreta señales cerebrales. mientras el usuario se desplaza por las aplicaciones de citaspresumiblemente para proporcionar mejores coincidencias. (“’Escuchar a tu corazón’ no es suficiente”, dice el fabricante en su sitio web).
Las empresas detrás de estas tecnologías tienen acceso a los registros de la actividad cerebral de los usuarios: las señales eléctricas que subyacen a nuestros pensamientos, sentimientos e intenciones.
El miércoles, el gobernador Jared Polis de Colorado firmó un proyecto de ley que, por primera vez en Estados Unidos, intenta garantizar que dichos datos sigan siendo verdaderamente privados. La nueva ley, que fue aprobada por 61 votos a 1 en la Cámara de Representantes de Colorado y 34 a 0 en el Senado, amplía la definición de «datos sensibles» en la actual ley de privacidad personal del estado para incluir datos biológicos y » datos neuronales” generados por el cerebro, la médula espinal y la red de nervios que transmite mensajes por todo el cuerpo.
«Todo lo que somos está en nuestra mente», dijo Jared Genser, abogado general y cofundador de la Neurorights Foundation, un grupo científico que abogó por la aprobación del proyecto de ley. «Lo que pensamos y sentimos, y la capacidad de decodificarlo desde el cerebro humano, no podría ser más intrusivo o personal para nosotros».
«Estamos muy entusiasmados de tener un proyecto de ley promulgado que protegerá los datos biológicos y neurológicos de las personas», dijo la representante Cathy Kipp, demócrata de Colorado, quien presentó el proyecto de ley.
El senador Mark Baisley, republicano de Colorado, que patrocinó el proyecto de ley en la cámara alta, dijo: “Me siento muy bien de que Colorado lidere el camino para abordar este problema y brindarle la debida protección a la singularidad de las personas en su privacidad. Estoy muy contento con este fichaje”.
La ley apunta a las tecnologías cerebrales a nivel del consumidor. A diferencia de los datos confidenciales de los pacientes obtenidos de dispositivos médicos en entornos clínicos, que están protegidos por la ley federal de salud, los datos que rodean a las neurotecnologías de consumo no están regulados en gran medida, dijo Genser. Esa laguna jurídica significa que las empresas pueden recolectar grandes cantidades de datos cerebrales altamente sensibles, a veces durante un número indeterminado de años, y compartir o vender la información a terceros.
Los partidarios del proyecto de ley expresaron su preocupación de que los datos neuronales pudieran usarse para decodificar los pensamientos y sentimientos de una persona o para conocer datos sensibles sobre la salud mental de un individuo, como por ejemplo si alguien tiene epilepsia.
«Nunca antes habíamos visto algo con este poder: identificar, codificar personas y sesgarlas en función de sus ondas cerebrales y otra información neuronal», dijo Sean Pauzauskie, miembro de la junta directiva de la Sociedad Médica de Colorado, quien primero llamó la atención sobre el tema a la Sra. Kipp. El Sr. Pauzauskie fue contratado recientemente por la Fundación Neurorights como director médico.
La nueva ley extiende a los datos biológicos y neuronales las mismas protecciones otorgadas bajo la Ley de Privacidad de Colorado a huellas dactilares, imágenes faciales y otros datos biométricos sensibles.
Entre otras protecciones, los consumidores tienen derecho a acceder, eliminar y corregir sus datos, así como a optar por no vender o utilizar los datos para publicidad dirigida. Las empresas, a su vez, enfrentan regulaciones estrictas sobre cómo manejan dichos datos y deben revelar los tipos de datos que recopilan y sus planes al respecto.
“Las personas deberían poder controlar adónde va esa información, esa información personalmente identificable y tal vez incluso personalmente predictiva”, dijo Baisley.
Los expertos dicen que la industria de la neurotecnología está lista para expandirse a medida que grandes empresas tecnológicas como Meta, Apple y Snapchat se involucren.
«Está avanzando rápidamente, pero está a punto de crecer exponencialmente», dijo Nita Farahany, profesora de derecho y filosofía en Duke.
De 2019 a 2020, las inversiones en empresas de neurotecnología aumentaron alrededor del 60 por ciento a nivel mundial, y en 2021 ascendieron a unos 30 mil millones de dólares, según un análisis de mercado. La industria llamó la atención en enero, cuando Elon Musk anunciado en X que por primera vez se había implantado en una persona una interfaz cerebro-computadora fabricada por Neuralink, una de sus empresas. Desde entonces, Musk ha dicho que el paciente se había recuperado por completo y ahora podía controlar un ratón únicamente con sus pensamientos y jugar ajedrez en línea.
Si bien son inquietantemente distópicas, algunas tecnologías cerebrales han dado lugar a tratamientos innovadores. En 2022, un hombre completamente paralizado pudo comunicarse usando una computadora simplemente imaginando sus ojos moviéndose. Y el año pasado, los científicos pudieron traducir la actividad cerebral de una mujer paralizada y transmitir su habla y expresiones faciales a través de un avatar en la pantalla de una computadora.
“Las cosas que la gente puede hacer con esta tecnología son fantásticas”, afirmó Kipp. «Pero simplemente pensamos que deberían existir algunas barreras de seguridad para las personas que no tienen la intención de que se lean sus pensamientos y se utilicen sus datos biológicos».
Eso ya está sucediendo, según un informe de 100 páginas publicado el miércoles por la Fundación Neurorights. El informe analizó 30 empresas de neurotecnología de consumo para ver cómo sus políticas de privacidad y acuerdos de usuario cuadraban con los estándares internacionales de privacidad. Descubrió que sólo una empresa restringía el acceso a los datos neuronales de una persona de forma significativa y que casi dos tercios podían, bajo determinadas circunstancias, compartir datos con terceros. Dos empresas dieron a entender que ya vendieron dichos datos.
«La necesidad de proteger los datos neuronales no es un problema de mañana, es un problema de hoy», afirmó Genser, uno de los autores del informe.
El nuevo proyecto de ley de Colorado obtuvo un rotundo apoyo bipartidista, pero enfrentó una feroz oposición externa, dijo Baisley, especialmente de las universidades privadas.
Al testificar ante un comité del Senado, John Seward, oficial de cumplimiento de investigaciones de la Universidad de Denver, una universidad de investigación privada, señaló que las universidades públicas estaban exentas de la Ley de Privacidad de Colorado de 2021. La nueva ley pone a las instituciones privadas en desventaja, Sr. Seward testificó, porque tendrán una capacidad limitada para capacitar a estudiantes que utilicen “las herramientas del oficio de diagnóstico e investigación neuronal” únicamente con fines de investigación y enseñanza.
“El campo de juego no es igualitario”, testificó Seward.
El proyecto de ley de Colorado es el primero de su tipo que se convierte en ley en Estados Unidos, pero Minnesota y California están impulsando una legislación similar. El martes, el Comité Judicial del Senado de California aprobó por unanimidad un proyecto de ley que define los datos neuronales como “información personal sensible.” Varios países, incluidos Chile, Brasil, España, México y Uruguay, ya han consagrado protecciones de datos relacionados con el cerebro en sus constituciones estatales o nacionales o han tomado medidas para hacerlo.
“A largo plazo”, dijo Genser, “nos gustaría que se desarrollaran estándares globales”, por ejemplo ampliando los tratados internacionales de derechos humanos existentes para proteger los datos neuronales.
En Estados Unidos, los defensores de la nueva ley de Colorado esperan que siente un precedente para otros estados e incluso genere impulso para la legislación federal. Pero la ley tiene limitaciones, señalaron los expertos, y podría aplicarse sólo a las empresas de neurotecnología de consumo que recopilan datos neuronales específicamente para determinar la identidad de una persona, como especifica la nueva ley. La mayoría de estas empresas recopilan datos neuronales por otras razones, como para inferir lo que una persona podría estar pensando o sintiendo, dijo Farahany.
«No te vas a preocupar por este proyecto de ley de Colorado si eres alguna de esas empresas en este momento, porque ninguna de ellas las utiliza con fines de identificación», añadió.
Pero Genser dijo que la Ley de Privacidad de Colorado protege cualquier dato que califique como personal. Dado que los consumidores deben proporcionar sus nombres para comprar un producto y aceptar las políticas de privacidad de la empresa, este uso se incluye en la categoría de datos personales, afirmó.
“Dado que anteriormente los datos neuronales de los consumidores no estaban protegidos en absoluto bajo la Ley de Privacidad de Colorado”, escribió Genser en un correo electrónico, “tener ahora etiquetada información personal sensible con protecciones equivalentes a los datos biométricos es un gran paso adelante. «
En un proyecto de ley paralelo de ColoradoLa Unión Estadounidense por las Libertades Civiles y otras organizaciones de derechos humanos están presionando para que se adopten políticas más estrictas en torno a la recopilación, retención, almacenamiento y uso de todos los datos biométricos, ya sea con fines de identificación o no. Si el proyecto de ley se aprueba, sus implicaciones legales se aplicarían a los datos neuronales.
Las grandes empresas tecnológicas desempeñaron un papel en la configuración de la nueva ley, argumentando que era demasiado amplia y corría el riesgo de perjudicar su capacidad de recopilar datos no estrictamente relacionados con la actividad cerebral.
TechNet, una red de políticas que representa a empresas como Apple, Meta y Open AI, presionó con éxito para incluir un lenguaje que centrara la ley en la regulación de los datos cerebrales utilizados para identificar a las personas. Pero el grupo no logró eliminar el lenguaje que rige los datos generados por «el cuerpo o las funciones corporales de un individuo».
«Sentimos que esto podría abarcar una serie de cosas que hacen todos nuestros miembros», dijo Ruthie Barko, directora ejecutiva de TechNet para Colorado y el centro de Estados Unidos.