El 21 de noviembre, el Grupo de Trabajo del Congreso de los Estados Unidos sobre Tecnologías Financieras celebró una audiencia sobre el papel de la Big Data en los servicios financieros.

La última legislación importante que se centró en el tema fue la Ley Gramm-Leach-Bliley de 1999, que formalizó las obligaciones de una empresa de servicios financieros para con los clientes, específicamente, la forma en que comparten la información de los clientes. Dada la expansión del campo durante los últimos 20 años, la postura del Grupo de Trabajo de Fintech el jueves fue la de una exploración temprana de opciones y oportunidades para una nueva e importante legislación.

El dilema actual

Obviamente, la situación ha cambiado notablemente desde 1999. Los servicios financieros son más accesibles que nunca. Los teléfonos inteligentes y las potentes aplicaciones gratuitas han puesto las capacidades financieras que antes estaban reservadas para los profesionales de la industria literalmente en manos de los consumidores cotidianos. La otra cara de la moneda, como el grupo de trabajo pareció reconocer, es que muchas de esas oportunidades financieras se acercan a los datos de los consumidores de manera depredadora. El viejo axioma "si no estás pagando por el producto, el producto eres tú" parecía enmarcar la conversación.

Mientras que la atención del público se dirigió en gran medida a las audiencias de juicio político de Trump que se estaban celebrando ese mismo día, los miembros del Grupo de Trabajo de Fintech -encabezado por el presidente Stephen Lynch (D-MA) y el miembro de más alto rango Tom Emmer (R-MN)- interrogaron a cinco testigos expertos que testificaron sobre el estado de la industria y las medidas apropiadas para frenar el avance de las grandes tecnologías.

Los cinco que testificaron

Los testigos adoptaron una serie de puntos de vista que reflejaban antecedentes profesionales muy distintos. Lauren Saunders, directora asociada del National Consumer Law Center (Centro Nacional de Derecho del Consumidor), se centró en minimizar el derecho legal de las empresas a utilizar los datos de los consumidores en formas más allá de las que los usuarios podrían esperar razonablemente. También expresó su preocupación por la forma en que el machine learning amplificaba las prácticas financieras discriminatorias de manera que sería más difícil de corregir que en los sistemas tradicionales.

El Dr. Seny Kamara, profesor asociado de ciencias de la computación en la Universidad de Brown y jefe científico de Aroki Systems, también creía que las empresas estaban corriendo desenfrenadamente por encima de los derechos de los consumidores. Kamara, un criptógrafo, mostró una visión única de las formas en que la propia tecnología podría limitar el acceso de los proveedores de servicios financieros a los datos de los consumidores. Sin embargo, advirtió contra el exceso de esperanza en el campo, diciendo: "Es fácil dejarse llevar por una ola de optimismo tecnológico".

Al igual que Saunders, el Dr. Christopher Gillard, profesor de inglés en el Macomb Community College y asesor del Digital Pedagogy Lab, estaba muy preocupado por el papel de las nuevas tecnologías en el refuerzo de la antigua discriminación. Se refirió a los "sistemas opacos que ofrecen a los consumidores poco poder de reparación" en forma de prácticas ocultas a los consumidores bajo los auspicios del código privativo. Gillard afirmó además que "Debemos rechazar la noción de que las regulaciones sofocan la innovación".

Más optimista en su discurso, Don Cardinal, director general de Financial Data Exchange (FDX), señaló que la industria se aleja de las prácticas de datos como el screen-scraping, en el que la información de acceso de los clientes es accesible para los agregadores. Consideró que la industria estaba abordando los problemas de forma preventiva.

Del mismo modo, Duane Pozza, socio del bufete de abogados Wiley Rein, trató de definir el concepto de Big Data y enfatizó su papel en la expansión de los servicios financieros. Estaba particularmente interesado en los datos de flujo de caja, que Saunders había señalado como un posible excedente importante cuando permite a los proveedores de préstamos acceder a datos sobre comerciantes y compras específicas en lugar de información más vaga sobre saldos y transferencias globales. Saunders dijo que esos datos permitían la elaboración de perfiles y la discriminación a una escala importante y distópica. Pozza veía los datos de flujo de caja como un medio de liberar a los buscadores de crédito de los tradicionales “guardianes” de las puntuaciones de crédito.

Un curioso asunto bipartidista

Aunque las líneas partidistas tradicionales sí entraron en juego, con los republicanos haciendo una mención ligeramente mayor a la elección del consumidor y los demócratas mencionando con más frecuencia la protección del consumidor, los congresistas reunidos parecían estar alineados en el sentido de que los consumidores tenían pocas opciones y estaban desprotegidos.

El Presidente Lynch describió los contratos que los usuarios deben acordar para poder acceder a los servicios: "Enmarcados como acuerdos de privacidad, en realidad son acuerdos de falta de privacidad." Lynch llamó específicamente a los acuerdos de Mint, Venmo y Qapital, que según él tenían, respectivamente, 30, 40 y 10 páginas de largo y estaban llenos de lenguaje que Lynch, un abogado, describió como una densa jerga legal. El consenso fue que tales problemas son ineludibles, y el representante Ben McAdams (D-UT) opinó que, como consumidor, no tiene idea de cuántas empresas están utilizando sus datos en este momento.

La atmósfera compartida en la sala era que los consumidores estaban quedándose con todo lo malo. Fue un momento raro de consenso, con la gran excepción del testigo Don Cardinal, que con frecuencia se apresuró a señalar la cantidad de progreso que el campo ha visto en los últimos años, así como la cantidad de acceso financiero que se ha expandido a nuevas demografías gracias a las empresas innovadoras.

Nuevas leyes para los desafíos actuales en materia de datos

Como siempre, las soluciones son más complicadas. Muchos miembros se inclinaron por la perspectiva de una legislación más amplia, en la línea del Reglamento General de Protección de Datos de la Unión Europea, o de las leyes aprobadas en los últimos años en California y Nueva York, tradicionalmente las capitales tecnológicas y financieras de los EE.UU., respectivamente. Los casos de violaciones masivas de datos financieros, incluyendo Equifax y Capital One, se perfilaron en gran medida a lo largo de los procedimientos. La mayor parte de la audiencia presumió la necesidad de promulgar legislación en respuesta a la clara incapacidad de las instituciones financieras para cumplir con la diligencia debida en la protección de esta apreciada información de los clientes y que son de una naturaleza extremamente delicada.

La norma 23 NYCRR 500 de Nueva York impone nuevas cargas a la ciberseguridad de las empresas que manejan datos financieros de sus clientes. Entró en vigor el 1 de marzo de 2017, pero tiene menos que ver con la limitación de la cantidad de datos de clientes a los que una empresa puede acceder que con el establecimiento de requisitos para la ciberseguridad que rodea a esos datos. El 1 de marzo de 2019, lo que quizás sea el elemento más ambicioso del reglamento, fue el último en entrar en juego. Este último requisito obliga a las empresas de servicios financieros a examinar y emitir informes sobre la efectividad de la ciberseguridad de los servicios de terceros que también tienen acceso a los datos recopilados por las empresas primarias.

Aprobada en septiembre de 2018, la Ley de Privacidad del Consumidor de California (CCPA) entrará en vigor a principios de 2020. Dada la gran parte de las empresas tecnológicas estadounidenses que están registradas en el estado, el estatus de California como la más poblada de los Estados Unidos, así como las amplias prescripciones de la ley para cualquier acción en cualquier jurisdicción tomada por las empresas que operan en California, es probable que la CCPA sirva como modelo del Congreso o como ejemplo de advertencia para la legislación sobre privacidad de datos en los años venideros  Esperamos que todos los ojos estén puestos en el impacto que tendrá en las empresas y en su efectividad en la protección de los consumidores una vez que llegue el nuevo año.

La solución tecnológica

Sin embargo, durante todo el procedimiento quedó claro que muchos de los legisladores involucrados carecían de conocimientos técnicos. Emmer comentó sobre esto después de la audiencia, diciendo a Cointelegraph que había claramente una "curva de aprendizaje empinada que mucha gente en el Congreso tiene cuando se trata de este tipo de tecnología". Continuó:

"Este cuerpo tiende a parecerse a la gente que viste hoy aquí, a diferencia de la gente joven que está escribiendo código, al límite y siempre empujando hacia este nuevo universo."

Como el Dr. Kamara señaló durante el interrogatorio, "los servicios pueden ser proporcionados sin tener que dar datos". Continuó: "Podemos minimizar la cantidad de datos recolectados a 0 si invertimos en la tecnología correcta."

Cointelegraph tuvo la oportunidad de hacer un seguimiento con Kamara sobre el tema después de la audiencia, durante la cual destacó la disponibilidad de tecnología "que nos permite procesar los datos sin tener que verlos nunca". Así que puedes guardar tus datos, no tienes que dárselos a nadie, pero aún así puedo computar tus datos y obtener algún tipo de señal de ellos". Cuando Cointelegraph le preguntó sobre las “zero-knowledge proof” (pruebas de conocimiento cero) como ejemplo, Kamara respondió que "también se pueden hacer cosas similares para la computación. Así que no sólo probar la identidad, o probar el conocimiento de algo, sino también la informática".

Sin embargo, durante la audiencia quedó claro que el Dr. Kamara no estaba sugiriendo que se dejara a los proveedores de servicios financieros promulgar tales prácticas tecnológicas por la bondad de sus corazones. En respuesta a una pregunta del Presidente Lynch sobre por qué los consumidores siguen siendo vulnerables, respondió Kamara: "Porque las compañías nunca tuvieron ningún incentivo para mejorar sus prácticas de privacidad, nunca han invertido en ellas."

Entre otros avances tecnológicos prometedores que se mencionaron durante la audiencia se encuentran las nuevas interfaces de programación de aplicaciones o APIs. Don Cardinal, en particular, veía estos mecanismos como una filtración incorporada, restringiendo la información disponible para las empresas a lo que es relevante para su línea de trabajo en particular.

Cardinal, cuyo trabajo en Financial Data Exchange implica la implementación de la API de FDX, mostró una perspectiva particularmente optimista sobre la voluntad de la industria de cambiar sus propias prácticas internamente. El comunicado de prensa de FDX sobre el evento de la audiencia incluía el lema "La industria demuestra que adopta rápidamente el estándar de intercambio seguro de datos: más de cinco millones de consumidores de EE.UU. en la API de FDX".

Tarea para el hogar

La audiencia del jueves dejó pocas dudas de que la mayor legislación federal que rige el uso de datos está llegando a los Estados Unidos. La indignación de los demócratas por las nuevas prácticas de datos financieros dirigidas a los grupos vulnerables a través de préstamos predatorios y algoritmos discriminatorios se encontró con la frustración de los republicanos por la obvia incapacidad de los consumidores más listos para hacer frente a las formas en que sus datos están siendo manipulados más allá de su control. A menos que algunas iniciativas improbablemente ambiciosas tanto del sector privado como de los reguladores existentes -especialmente la Comisión Federal de Comercio- entren en juego para reducir de antemano el sobrecrecimiento de los datos de los clientes en posesión de las empresas de fintech, esa legislación será aplastante.

Sin embargo, no esperen que se legisle todavía. El Congreso va a esperar hasta que puedan evaluar la nueva ley de California como un estudio de caso, y luego los comités más grandes van a tener que ponerse al día con el trabajo del Grupo de Trabajo de Fintech, que es todavía un ala joven y pequeña del Comité de Servicios Financieros. Mientras tanto, mantengamos en sintonía.

Sigue leyendo: