Cómo las grandes tecnologías influyen en las leyes de privacidad

A fines de 2019, el senador del estado de Utah, Kirk Cullimore, recibió una llamada telefónica de uno de sus electores, un abogado que representaba a empresas de tecnología en California.

“Él dijo: 'Creo que a las empresas que represento les gustaría tener algunas líneas claras sobre lo que pueden hacer en Utah'”, dijo Cullimore a The Markup.

En ese momento, las empresas tecnológicas de California luchaban por saber cómo podían cumplir con una nueva ley estatal que otorgaba a los californianos individuales el control sobre los datos que las empresas recopilan y venden de forma rutinaria sobre sus actividades en línea.

El abogado, a quien Cullimore y su oficina no quisieron identificar, contó lo onerosas que sus clientes corporativos encontraban las reglas, recordó Cullimore, y sugirió que Utah aprobara proactivamente su propia ley de privacidad del consumidor favorable a las empresas.

“Él dijo: 'Quiero que esto sea fácil para que los consumidores puedan hacer uso de sus derechos y el cumplimiento también sea fácil para las empresas. De hecho, me envió un lenguaje sugerido [para un proyecto de ley] que no era muy complejo”, dijo Cullimore a The Markup. “Presenté el proyecto de ley así”.

Lo que siguió durante los siguientes dos años fue una campaña de influencia de varios frentes sacada directamente de un libro de jugadas que Big Tech está implementando en todo el país en respuesta a la legislación de privacidad del consumidor.

Es común que las industrias presionen a los legisladores sobre temas que afectan sus negocios. Pero existe una gran disparidad en la batalla estado por estado sobre la legislación de privacidad entre cabilderos tecnológicos bien organizados y bien financiados y su oposición de defensores de los consumidores relativamente dispersos y políticos preocupados por la privacidad, según ha descubierto The Markup.

Durante las sesiones legislativas de Utah de 2021 y 2022, cuando el proyecto de ley de Cullimore se abrió paso en la legislatura, Amazon, Apple, Facebook, Google y Microsoft registraron colectivamente a 23 cabilderos activos en el estado, según sus divulgaciones de cabildeo.

Trece de esos cabilderos nunca antes se habían registrado para trabajar en el estado, y algunos de ellos fueron influyentes en la elaboración de la legislación de Cullimore.

Por ejemplo, cuando Cullimore introdujo un lenguaje sustituto en su proyecto de ley durante una audiencia en febrero, lo hizo con la ayuda de Anton van Seventer, un cabildero de la State Privacy and Security Coalition, una organización sin fines de lucro creada por un puñado de las empresas minoristas y tecnológicas más importantes del país. y empresas de publicidad.

El único grupo de defensa que pidió mayores protecciones al consumidor durante las audiencias públicas de la ley de privacidad de Utah fue Consumer Reports.

En marzo, el gobernador de Utah, Spencer Cox, promulgó el proyecto de ley de Cullimore, una clara victoria para Big Tech y la estrategia que la industria ha desarrollado para enfrentar una amenaza creciente a su modelo de negocios.

Revisamos testimonios de audiencias públicas, comentarios públicos y registros de cabildeo en los 31 estados que han considerado la legislación de privacidad de datos del consumidor desde 2021 y encontramos una campaña nacional coordinada de Big Tech para moldear las reglas a su voluntad, una demostración de cuán poderosas son las empresas tecnológicas. puede ser cuando se unen en torno a una agenda común .

No solo en Utah, sino también en Virginia y Washington, y Minnesota, las empresas de tecnología han proporcionado un borrador que condujo a la introducción de proyectos de ley de privacidad favorables a la industria, según legisladores entrevistados por The Markup e informes anteriores de Protocol .

Las organizaciones sin fines de lucro financiadas por Big Tech como TechNet, la State Privacy and Security Coalition y la Internet Association han viajado de un estado a otro alentando a los legisladores a "reflejar" esos proyectos de ley creados por la industria.

Los representantes de TechNet, por ejemplo, han testificado o proporcionado comentarios escritos sobre proyectos de ley de privacidad en al menos 10 estados desde 2021, más que cualquier otra organización, según nuestro análisis de registros legislativos estatales.

Cabilderos y empresas de cabildeo en 31 estados que representan a empresas y organizaciones tecnológicas, ya que esos estados consideraron la legislación sobre privacidad.

Y los cabilderos han venido en masa: contamos 445 cabilderos y firmas de cabildeo que representaron activamente a Amazon, Apple, Google, Meta, Microsoft, TechNet y la State Privacy and Security Coalition en los 31 estados que examinamos, durante el tiempo en que las legislaturas de esos estados estaban considerando la legislación de privacidad.

Muchos de ellos se registraron como cabilderos por primera vez en las semanas inmediatamente anteriores o posteriores a la presentación de un proyecto de ley de privacidad.

La información actualizada sobre cabildeo no estaba disponible en varios estados, por lo que es probable que la cuenta sea insuficiente.

Las empresas no solo emplean tácticas similares, sino que emplean a las mismas personas: 75 de los cabilderos que identificamos están afiliados a una sola firma con sede en Sausalito, California, Politicom Law.

Encontramos cabilderos afiliados a Politicom trabajando en nombre de Apple, Google, Meta y Microsoft en 21 estados que han considerado la legislación de privacidad.

“Durante un tiempo, muchas empresas esperaban una ley federal que se adelantara a todo”, dijo Justin Brookman, director de política de privacidad y tecnología de Consumer Reports, que ha cabildeado a favor de protecciones más estrictas de la privacidad del consumidor en muchos estados.

“Pero dado que las cosas no se mueven a nivel federal, los hemos visto desplegarse y promover de manera más proactiva una legislación débil”.

Si bien las tácticas varían según el estado, el mensaje y las preguntas son claros: Big Tech quiere leyes que prohíban a los consumidores presentar demandas privadas contra empresas que infrinjan las reglas, que definan de manera estricta qué constituye "vender" datos y que exijan que los consumidores opten por no participar. de recopilación y seguimiento de datos en cada sitio web que visitan en lugar de respetar lo que se conoce como exclusión voluntaria global .

Microsoft se negó a comentar para esta historia, mientras que Apple y Amazon no respondieron a las solicitudes de comentarios. Google y Facebook se distanciaron de los grupos de la industria de los que son miembros.

“Apoyamos abiertamente a varias organizaciones que abogan por políticas que ayuden a los consumidores, y tenemos claro que nuestro patrocinio no significa que respaldemos toda la agenda de esa organización”, dijo Matt Bryant, portavoz de Google, en un comunicado.

“Si bien participamos activamente en estas discusiones y creemos que la resolución colaborativa de problemas es la mejor manera de abordar un problema y tener el mayor impacto, no siempre estamos de acuerdo con todas las políticas o posiciones que toman las organizaciones individuales o sus líderes”, dijo Andy Stone, portavoz de Facebook. dijo.

“Las nuevas leyes de privacidad deberían brindar fuertes salvaguardas a los consumidores al mismo tiempo que permiten que la industria continúe innovando”, dijo en un comunicado el vicepresidente de política estatal y relaciones gubernamentales de TechNet, David Edmonson.

“La State Privacy & Security Coalition cree que los consumidores merecen regulaciones claras que mejoren la transparencia y protejan sus datos; y las empresas necesitan previsibilidad y estabilidad para implementar adecuadamente las protecciones de privacidad y seguridad”, dijo en un correo electrónico Andrew Kingman, portavoz de la State Privacy and Security Coalition.

escribir las reglas

En 2021, Virginia se convirtió en el segundo estado después de California en promulgar una ley de privacidad de datos del consumidor.

El principal patrocinador del proyecto de ley, el senador estatal Dave Marsden, le dijo a The Markup en una entrevista que el primer borrador de esa legislación fue escrito por un cabildero de Amazon. Protocol fue el primero en reportar esa conexión.

La influencia de la industria sobre el idioma no se detuvo ahí.

Por ejemplo, Marsden le dijo a The Markup que él y sus colegas confiaron en gran medida en los expertos de la organización sin fines de lucro Future of Privacy Forum para "respuestas neutrales a preguntas" sobre la privacidad de datos mientras redactaban el proyecto de ley.

Sin embargo, esa experiencia neutral fue financiada en gran parte por la industria tecnológica.

El Future of Privacy Forum recibe dinero de Amazon, Apple, Google, Facebook y Microsoft, así como de grupos de la industria como Interactive Advertising Bureau y DLA Piper, el bufete de abogados detrás de State Privacy and Security Coalition.

Nancy Levesque, directora de comunicaciones del Future of Privacy Forum, le dijo a The Markup que las grandes empresas de tecnología solo proporcionan un "pequeño porcentaje" de los fondos del grupo y que la organización sin fines de lucro no coordina sus actividades políticas con sus patrocinadores.

“Los donantes no establecen nuestra agenda política. FPF apoya una legislación de privacidad sólida e integral”, escribió en un comunicado enviado por correo electrónico.

Pero la página de seguidores del Future of Privacy Forum muestra que más del 75 por ciento de los patrocinadores del grupo son empresas tecnológicas. Y durante 2020, el año más reciente para el que se dispone de dicha información, el 66 por ciento de los ingresos por subvenciones y contribuciones del grupo provinieron de solo dos donantes, según el estado financiero auditado de la organización sin fines de lucro.

El documento no identifica a los donantes y la organización no respondió a las solicitudes de comentarios sobre quiénes eran.

Después de que se aprobara la ley de Virginia , la asesora principal del Future of Privacy Forum, Stacey Gray, también recibió un asiento en un comité de 10 miembros encargado de hacer recomendaciones sobre cómo se debe implementar la ley, que no entrará en vigencia hasta 2023.

También en el comité: Jim Halpert, ex abogado general de la Coalición de Privacidad y Seguridad del Estado, y Keir Lamont, de la Asociación de la Industria de Computación y Comunicaciones. Más de un tercio de los miembros de la CCIA también financian el Foro del Futuro de la Privacidad.

No hubo representantes de grupos de consumidores o de privacidad en el comité.

“Tenemos el mundo de los negocios detrás de esto y para algunas personas eso es egoísta porque las personas más afectadas por esto son las personas que lo escribieron y lo que sea”, dijo Marsden. “Pero no había nadie más tratando de escribir nada”.

Dominando el debate público

La firma de la Ley de Protección de Datos del Consumidor de Virginia en abril de 2021 fue una victoria que sentó un precedente para Big Tech, y en los meses posteriores, los aliados de la industria han cruzado el país instando a otros estados a hacer lo mismo, según la revisión de comentarios públicos de The Markup. y escuchar testimonio.

En su comentario público sobre la legislación de privacidad propuesta por Hawái, la Coalición de Privacidad y Seguridad del Estado pidió a los legisladores que cancelaran su proyecto de ley de privacidad de datos porque no se ajustaba lo suficiente al modelo de Virginia. La ley de privacidad de Hawái no ha visto ninguna actividad desde febrero.

En Vermont, TechNet instó a los legisladores a aprender de “experiencias más recientes en estados como Virginia” en lugar de seguir el enfoque de California.

Y en Minnesota, la Asociación de Internet alentó a la legislatura a “reflejar” la ley de Virginia. Ninguna ley ha salido del comité desde entonces.

En algunos casos, los representantes de estos grupos han sido presentados como expertos neutrales en la materia ante otros legisladores.

Por ejemplo, cuando los legisladores de Minnesota se reunieron el 27 de septiembre de 2021 para una audiencia sobre un proyecto de ley de privacidad propuesto, escucharon las presentaciones de dos expertos que el patrocinador del proyecto de ley, el representante Steve Elkins, había invitado a hablar.

Los expertos fueron Gray, del Future of Privacy Forum, y Halpert, el ex consejero general de State Privacy and Security Coalition.

Durante sus presentaciones, Gray no discutió la financiación que Future of Privacy Forum recibe de la industria tecnológica y Halpert solo figuraba como abogado en DLA Piper.

En otros casos, los legisladores pueden tener la impresión de que están escuchando a un conjunto diverso de partes interesadas cuando, en realidad, varios grupos representan a la misma empresa.

Por ejemplo, en Alaska, los registros muestran que Microsoft envió comentarios públicos sobre el proyecto de ley de privacidad propuesto por el estado, y luego lo hizo Software Alliance, un grupo comercial fundado por Microsoft.

Otros cuatro grupos a los que pertenece Microsoft, la Asociación de Anunciantes Nacionales, la Alianza de Publicidad Digital, la Oficina de Publicidad Interactiva y la Iniciativa de Publicidad en Red, también enviaron comentarios públicos a los legisladores de Alaska.

La ley no ha visto ningún movimiento desde febrero.

El resultado final, dicen los defensores de la privacidad, es que la red de cabilderos y organizaciones sin fines de lucro de Big Tech los ahoga durante los debates públicos.

“La cantidad de personas y tipos de organizaciones que firman para compartir su posición sobre este proyecto de ley a menudo ha convencido a los legisladores para que tomen una decisión sobre si votar a favor o en contra del proyecto de ley o simplemente hacer preguntas importantes”, dijo Jennifer. Lee, gerente de proyectos de tecnología y libertad en la ACLU de Washington.

La Ley de Privacidad de Washington, contra la cual los grupos locales de privacidad y consumidores han luchado enérgicamente, no ha sido aprobada durante varios años seguidos, pero se ha vuelto a introducir cada año.

Cabildeo tras bambalinas

El aspecto más opaco de la campaña de influencia de Big Tech ha sido los esfuerzos coordinados de cabildeo de la industria.

Muchos estados no requieren que los cabilderos revelen en qué legislación trabajaron o cómo intentaron influir en ella, pero aquellos que sí lo hacen brindan una pequeña ventana sobre cómo opera Big Tech.

Cuando Colorado comenzó a considerar un proyecto de ley de privacidad de datos en 2021, los cabilderos tecnológicos llegaron al estado.

Apple, Amazon, Facebook, Google y Microsoft registraron un total de 15 cabilderos que informaron trabajar para influir en el proyecto de ley, según sus divulgaciones de cabildeo. Era un equipo similar a los que Big Tech ha desplegado en otros lugares.

Alrededor de un tercio de los 16 cabilderos de Big Tech que trabajaron en el proyecto de ley de Colorado (dos empleados de Facebook, dos de Google y uno de Apple) están afiliados a Politicom Law, la firma de cabildeo de California que The Markup encontró que representa a las grandes empresas de tecnología en materia de privacidad. facturas en todo el país.

Los cabilderos de Colorado también incluyeron a algunas de las personas influyentes más prolíficas de Big Tech, incluido Ron Barnes, jefe de asuntos legislativos estatales de Google, quien se registró como cabildero en cinco de los 31 estados que han considerado la legislación de privacidad desde 2021.

Solo Joseph Dooley, gerente de políticas de Google, cabildeó en nombre de Big Tech en tantos estados como Barnes, según la revisión de registros de cabildeo de The Markup.

El gobernador de Colorado, Jared Polis, firmó la Ley de privacidad de Colorado en julio pasado.

La naturaleza secreta del trabajo de cabildeo, combinada con las débiles leyes de transparencia de muchos estados, hace que sea imposible cuantificar cómo el bombardeo de cabildeo de Big Tech ha dado forma a la legislación. Pero los defensores de la privacidad dicen que los números son suficientes en algunos casos para abrumar a los legisladores.

“Es solo un juego de números”, dijo Maureen Mahoney, exanalista de políticas de Consumer Reports que ha testificado sobre proyectos de ley de privacidad en varios estados.

“Si tiene uno o dos defensores que dicen: 'Quiero un montón de cambios en estos proyectos de ley para hacer retroceder a la industria', pero tiene 20 cabilderos que le dicen que van a matar su proyecto de ley a menos que tome este editar, los legisladores quieren que sus proyectos de ley se muevan”.

Esa disparidad ha influido en cómo los legisladores clave ven las opiniones del público sobre la privacidad.

“Los grupos de defensa de la privacidad de datos no estaban preparados y estaban dormidos ante el cambio cuando esta legislación estaba cayendo”, dijo Marsden, el patrocinador de la ley de Virginia, a The Markup.

“Creo que el público es en gran medida indiferente a las cosas de privacidad de datos. Es solo una molestia que mucha gente está dispuesta a soportar”.

Los grupos de privacidad dicen que no han estado dormidos; simplemente no pueden pelear la batalla multiestatal que está librando Big Tech. Y las encuestas sugieren que los estadounidenses están preocupados por su privacidad en línea; simplemente no saben qué hacer al respecto.

“Ha sido este impulso nacional coordinado para avanzar proyectos de ley de privacidad realmente débiles. Definitivamente nos hemos sentido superados en número”, dijo Lee, de la ACLU de Washington. “Tienen tremendos recursos y tiempo para influir realmente en las conversaciones que tienen lugar en la legislatura”.

Corrección

Esta historia se actualizó después de que una versión anterior tergiversó el nombre de pila del gobernador de Colorado, Jared Polis.

Por Todd Feathers y Alfred Ng

También publicado aquí

Foto de Joakim Honkasalo en Unsplash