Ley de Protección de la Privacidad del Conductor de 1994

La Ley de Protección de la Privacidad del Conductor de 1994 o The Driver's Privacy Protection Act of 1994 en Ingles (también conocida como "DPPA"), Título XXX de la Ley de Control de Delitos Violentos y Aplicación de la Ley, : Es un estatuto federal de los Estados Unidos que rige la privacidad y divulgación de información personal recopilada por los Departamentos de Motor estatales. Vehículos.

La ley fue aprobada en 1994. Fue presentada por el representante demócrata Jim Moran de Virginia en 1992, después de un aumento en el número de opositores al aborto que utilizaban bases de datos públicas de permisos de conducir para rastrear y acosar a los proveedores y pacientes de abortos. Entre estos casos se destacó el de la médica Susan Wicklund, quien enfrentó protestas y acoso, incluido el piquete en su casa durante un mes.[1]​ La ley está actualmente codificada en el Capítulo 123 del Título 18 del Código de los Estados Unidos.[2]

Disposiciones sustantivas de la ley.

editar

El estatuto prohíbe la divulgación de información personal (como se define en 18 U.S.C. § 2725) sin el consentimiento expreso de la persona a quien se aplica dicha información, con la excepción de ciertas circunstancias establecidas en 18 U.S.C. § 2721. Estas reglas se aplican a los Departamentos de Vehículos Motorizados, así como a otros "destinatarios autorizados de información personal", e imponen requisitos de mantenimiento de registros a esos "destinatarios autorizados".

Los usos permitidos son:[3]

  1. Para que cualquier organismo gubernamental lleve a cabo sus funciones.
  2. Para uso en relación con "asuntos de seguridad y robo de vehículos de motor o conductores", incluidos
  • divulgación "en relación con cuestiones de seguridad y robo de vehículos de motor o conductores, emisiones de vehículos de motor, alteraciones, retiros del mercado o * * * avisos de productos de vehículos de motor, monitoreo del desempeño de vehículos de motor y concesionarios por parte de los fabricantes de vehículos de motor"
  1. Eliminación de registros de no propietarios de los registros de propietarios originales de los fabricantes de vehículos de motor para llevar a cabo los propósitos de la # Ley de Divulgación de Información de Automóviles, la Ley de Información y Ahorro de Costos de Vehículos de Motor, la Ley Nacional de Tráfico y Seguridad de Vehículos de Motor de 1966, la Ley Anti- Ley de robo de automóviles de 1992 y Ley de aire limpio
  2. Para uso en el curso normal de negocios por parte de una empresa legítima o sus agentes, empleados o contratistas, pero solo para:
  • verificar la exactitud de la información personal
  • Información correcta
  1. Para uso en relación con cualquier asunto ante un tribunal o procedimiento de arbitraje.
  2. Para la elaboración de informes estadísticos y otras investigaciones, siempre que no se publique información personal.
  3. Para uso de compañías de seguros.
  4. Para notificar a los propietarios de vehículos remolcados.
  5. Para uso de agencias de investigación privada autorizadas, para un uso permitido por la DPPA.
  6. Para uso de los empleadores para verificar la información del conductor comercial según lo exige el Título 49, subtítulo VI, capítulo 313 del Código de EE. UU.
  7. Para uso de instalaciones privadas de transporte de peaje.
  8. Para respuesta a solicitudes de departamentos de vehículos a motor.
  9. Para la distribución masiva de encuestas, materiales de marketing o solicitudes (solo suscripción voluntaria).
  10. Cuando se proporciona el consentimiento por escrito del individuo.
  11. Para otros usos específicamente autorizados por las leyes estatales.

La ley también declara ilegal obtener información de los conductores con fines ilegales o hacer representaciones falsas para obtener dicha información.[4]​ La ley establece multas penales por incumplimiento[5]​ y establece una causa de acción civil para los conductores contra quienes obtengan ilegalmente su información.[6]

Historia legislativa

editar

Después de que Rebecca Schaeffer fuera asesinada en 1989 por Robert John Bardo, quien encontró su dirección mediante el uso de registros del DMV por parte de una agencia de detectives privados, se puso en duda la fácil disponibilidad de información personal del DMV.[7]

El proyecto de ley se presentó simultáneamente durante el 103º Congreso de los Estados Unidos en la Cámara de Representantes (como H.R. 3365[8]​) y el Senado (como S. 1589[9]​) el 26 de octubre de 1993. El texto del proyecto de ley se incorporó a H.R. 3355, la Ley de Control de Delitos Violentos y Aplicación de la Ley de 1994, que finalmente fue firmada por el Presidente Bill Clinton como parte de la Ley Pública 103-322 el 13 de septiembre de 1994.[10]

La constitucionalidad del estatuto fue confirmada por la Corte Suprema de Estados Unidos contra una impugnación de la Décima Enmienda en Reno v. Condon.[11]

Con el surgimiento de la tecnología y los dispositivos informáticos de la nueva era a principios de la década de 2000, llegó la recopilación, el procesamiento, la agregación, la correlación y la nueva divulgación de los datos de los usuarios. Los sitios web, la publicidad de terceros y las empresas de seguimiento comenzaron a utilizar mecanismos que violaban la privacidad del usuario. Si bien los datos "en línea" que identificaban la tecnología informática del usuario eran útiles, dichos beneficios eran limitados. Las entidades publicitarias disponían de una milisegundo mientras los usuarios estaban online para comercializar sus productos; además, para "rastrear" a los consumidores obteniendo datos de sus dispositivos informáticos, se agregaron cookies HTML a sus dispositivos.[12]​ Dado que la mayoría de las computadoras y usuarios eliminaron las cookies cuando apagaron sus dispositivos, este mecanismo de seguimiento no logró proporcionar un seguimiento a largo plazo. Lo que se necesitaba era un medio para asociar las actividades de datos "en línea" con datos "fuera de línea", haciendo referencia a la información personal contenida en registros públicos (hoy, el objetivo es asociar datos "en línea" con datos "fuera de línea" y la biometría, la nueva " Santo Grial" de los datos publicitarios). La fuente más precisa de datos fuera de línea y la más barata fueron los registros de vehículos motorizados mantenidos por el DMV.

Dado que la tecnología informática avanzaba rápidamente, las leyes federales y estatales no habían logrado ser proactivas, lo que representaba un riesgo para la sociedad debido a la tecnología no gobernada. Como tal, los litigios por violaciones fueron relativamente inexistentes. Se necesitaba un nuevo método para litigar casos federales de privacidad para proteger a los cientos de millones de personas violadas por el seguimiento no autorizado de las actividades de los usuarios "en línea" y "fuera de línea" (registros públicos). Se trataba de una tarea formidable, ya que ningún bufete de abogados había litigado casos de privacidad relacionados con la tecnología informática inherente al intercambio de datos de usuarios entre entidades afiliadas a terceros, por lo que no había ningún precedente de caso ni un "modelo" a seguir. Casos anteriores, como el caso de la "cookie" de doble clic en 2001, se habían basado en el uso de un estatuto de escuchas telefónicas, la Ley de Privacidad de las Comunicaciones Electrónicas ("ECPA"). Si bien era una acusación plausible, era una acusación débil ya que el usuario del sitio web había otorgado dicho uso permitido dentro de los términos de servicio del sitio web ("TOS").

En Kehoe v. Fidelity Federal Bank and Trust, James Kehoe demandó a Fidelity Bank por comprar cientos de miles de registros de vehículos motorizados del estado de Florida, en violación de la Ley federal de protección de la privacidad de los conductores. Fidelity Bank había comprado 565.600 nombres y direcciones del departamento de vehículos motorizados de Florida entre junio de 2000 y 2003. Esta información se vendió por unos centavos; literalmente, Fidelity pudo obtener la información por sólo 5.656 dólares. Fidelity utilizó la información para dirigirse a los residentes de los condados de Palm Beach, Martin y Broward para solicitar préstamos para automóviles. El Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Florida dictaminó en junio de 2004 que James Kehoe necesitaba demostrar daños reales antes de obtener cualquier recuperación monetaria bajo la DPPA. El Tribunal se basó en el recientemente decidido Doe v. Chao y en las reglas de interpretación legales para dictaminar que la indemnización por daños y perjuicios de la DPPA no corresponde al demandante a menos que pueda demostrar daños reales. Kehoe apeló ante el Tribunal de Apelaciones del 11º Circuito, que falló: "...El estatuto en cuestión es la Ley de Protección de la Privacidad del Conductor, 18 U.S.C. § 2721, et seq. ("DPPA"). Habiendo considerado el texto plano del estatuto, Concluimos que un demandante no necesita probar daños reales para recuperar la indemnización por daños y perjuicios por una violación de la DPPA. Dado que el tribunal de distrito llegó a una conclusión contraria, revocamos y devolvemos". Kehoe contra Fidelity Federal Bank & Trust, 421 F. 3d 1209 (11th Cir. 2005), cert. denegado.

Mientras el caso Kehoe estaba en apelación ante el circuito 11 y luego ante SCOTUS, las Oficinas Legales de Joseph Malley P.C. comenzó una amplia libertad de solicitudes de información a todos los DMV estatales, solicitando todos y cada uno de los documentos sobre personas y empresas que obtienen la base de datos del DMV de forma masiva, haciendo referencia a la obtención de todos los registros del DMV y las actualizaciones periódicas. La investigación y el seguimiento con todos los DMV estatales tomarían más de un año. La empresa pudo identificar 36 DMV estatales que vendían registros de vehículos de motor al por mayor. Luego se requirió un análisis de todas las personas y entidades que obtuvieron los datos para determinar si parecía que tenían un uso permisible según lo requerido por la DPPA. Fueron necesarias extensas conversaciones de seguimiento con todos los funcionarios del DMV para obtener información adicional. Apostando por el resultado del fallo del SCOTUS, la extensa investigación resultó no ser en vano. Una vez que SCOTUS denegó la orden judicial en el caso Kehoe, permitiendo que el fallo del 11º circuito estableciera que no se requerían daños reales y que un individuo podía optar por aceptar daños reales o legales, se sentó el precedente. Malley Firm estaba preparada para presentar y comenzó a presentar una gran cantidad de litigios federales sobre privacidad. Las demandas colectivas federales que involucran violaciones de la Ley de Protección de la Privacidad del Conductor ("DPPA"), 18 U.S.C. § 2721, et seq, presentado por las Oficinas Legales de Joseph H. Malley P.C. en Texas, Florida, Missouri y Arkansas, que involucran entre 4 y 500 empresas, incluyen las siguientes:

  1. Sharon Taylor y otros. contra Acxiom Corporation et al., 2:07-cv-0001, (E.D. Tex. 2007)
  2. Sharon Taylor y otros. contra ACS State & Local Solutions, Inc. et al., 2:07-cv-0013, (E.D. Tex. 2007)
  3. Sharon Taylor y otros. contra Texas Farm Bureau Mutual Insurance Company et al., 2:07-cv-0014, (E.D. Tex. 2007)
  4. Sharon Taylor y otros. contra Safeway Inc. et al., 2:07-cv-0017, (E.D. Tex. 2007)
  5. Sharon Taylor y otros. contra Biometric Access Company et al., 2:07-cv-0018, (E.D. Tex. 2007)
  6. Sharon Taylor y otros. contra Freeman Publishers Inc., 2:07-cv-0410, et al., (E.D. Tex. 2007)
  7. Richard Fresco v. R.L. Polk., No. 09-13344 (11th Cir. 2010), (Fresco II"- Intervención)
  8. Cook contra ACS State & Local Solutions, Inc. 663 F.3d 989 (10.º Cir. 2011)
  9. Haney v. Recall Center, No. 10-cv-04003 (W.D. Ark. 9 de mayo de 2012) (demanda colectiva certificada)
  10. Doe et al. contra Compact Information Systems Inc. et al., 3:13cv05013MBH, (N.D. Tex. 2013)
  11. Cross contra Blank, Adv. No.: 9:15ap00926FMD, (M.D. Florida 2015)
  12. Arthur Lopez contra Cross-Sell et al., 3:16-cv-02009-K, (N.D. Tex. 2016)
  13. Laning et al. contra National Recall & Data Services Inc. et al., 3:16-cv-02358-B (N.D. Tex. 2016)
  14. López contra Herring, Acción Civil No. 3:16-CV-02663-B, (N.D. Tex. 2017).

Enlaces externos

editar

Referencias

editar
  1. Miller, Michael W. (25 de agosto de 1992). «Information Age: Debate Mounts Over Disclosure Of Driver Data». Wall Street Journal. 
  2. 18 U.S.C. §§ 27212725
  3. 18 U.S.C. § 2721
  4. 18 U.S.C. § 2722
  5. 18 U.S.C. § 2723
  6. 18 U.S.C. § 2724
  7. «Addresses at DMV Remain Accessible : Privacy: New rules were written to keep information confidential. Critics say there are too many loopholes.». Los Angeles Times (en inglés estadounidense). 19 de agosto de 1991. Consultado el 18 de noviembre de 2020. 
  8. «Bill details of H.R. 3365 from THOMAS». Archivado desde el original el 15 de abril de 2016. Consultado el 1 de junio de 2009. 
  9. «Bill details of S. 1589 from THOMAS». Archivado desde el original el 15 de abril de 2016. Consultado el 1 de junio de 2009. 
  10. Legislative notes on the Driver's Privacy Protection Act, courtesy of the Legal Information Institute
  11. 528 U.S. 141 (2000)
  12. Englehardt, Steven; Narayanan, Arvind (24 de octubre de 2016). «Seguimiento en línea». Proceedings de la Conferencia ACM SIGSAC de 2016 sobre seguridad informática y de las comunicaciones. CCS '16. Viena, Austria: Association for Computing Machinery. pp. 1388-1401. ISBN 978-1-4503-4139-4. doi:10.1145/2976749.2978313.