This is the fourth blog post in a series on regulating digital platforms. You can view the full series here. Haz clic aquí para leer en español.
“Customer proprietary network information,” usually abbreviated as “CPNI,” refers to a very specific set of privacy regulations governing telecommunications providers (codified at 47 U.S.C. §222) and enforced by the Federal Communications Commission (FCC). But while CPNI provides some of the strongest consumer privacy protections in federal law, it also does much more than that. CPNI plays an important role in promoting competition for telecommunications services and for services that require access to the underlying telecommunications network — such as alarm services. To be clear, CPNI is neither a replacement for general privacy nor a substitute for competition policy. Rather, these rules prohibit telecommunications providers from taking advantage of their position as a two-sided platform. As explained below, CPNI prevents telecommunications carriers from using data that customers and competitors must disclose to the carrier for the system to work.
All of which brings us to our first concrete regulatory proposal for digital platforms. As I discuss below, the same concerns that prompted the FCC to invent CPNI rules in the 1980s and Congress to expand them in the 1990s apply to digital platforms today. First, because providers of potentially competing services must expose proprietary information to the platform for the service to work, platform operators can use their rivals’ proprietary information to offer competing services. If someone sells novelty toothbrushes through Amazon, Amazon can track if the product is selling well, and use that information to make its own competing toothbrushes.
Second, the platform operator can compromise consumer privacy without access to the content of the communication by harvesting all sorts of information about the communication and the customer generally. For example, If I’m a mobile phone platform or service, I can tell if you are calling your mother every day like a good child should, or if you are letting her sit all alone in the dark, and whether you are having a long conversation or just blowing her off with a 30-second call. Because while I know you are so busy up in college with all your important gaming and fraternity business, would it kill you to call the woman who carried you for nine months and nearly died giving birth to you? And no, a text does not count. What, you can’t actually take the time to call and have a real conversation? I can see by tracking your iPhone that you clearly have time to hang out at your fraternity with your friends and go see Teen Titans Go To The Movies five times this week, but you don’t have time to call your mother?
As you can see, both to protect consumer privacy and to promote competition and protect innovation, we should adopt a version of CPNI for digital platforms. And call your mother more often. I’m just saying.
Once again, before I dig into the substance, I warn readers that I do not intend to address either whether the regulation should apply exclusively to dominant platforms or what federal agency (if any) should enforce these regulations. Instead, in an utterly unheard of approach for Policyland, I want to delve into the substance of why we need real CPNI for digital platforms and what that would look like.
A History of CPNI and How It Differs From Traditional FTC Consumer Privacy Protection.
Anyone interested in the super-duper insanely long history of CPNI, and a somewhat shorter history of the evolution of privacy regulation in the United States and how CPNI differs from anything the Federal Trade Commission (FTC) does with regard to privacy, I refer you to my 2016 100-page white paper on CPNI and my 2017 much smaller paper on principles for effective privacy regulation. Anyone interested in supporting footnotes and arguments should refer to these sources, which will save me enormous amounts of time digging up all the links.
A Much Shorter Summary Relevant to Why We Should Come up With a Version of CPNI for Digital Platforms.
Consumer privacy in electronic communications predates the Communications Act of 1934. Specific provisions such as 47 U.S.C. §605 (prohibition on publishing or intercepting any electronic communication) and the Cable Privacy Act, codified at 47 U.S.C. §551, reflect traditional concerns that people and businesses need to have confidence that their private communications will remain genuinely private. Indeed, in some situations the very existence of a communication, let alone the address information or information about contents, can be either personally or commercially sensitive.
How to Compete With a Platform that Must Know Your Proprietary Information and Must Cooperate With the Competitor to Make Competition Happen?
In the 1970s and 1980s, in an apparently utterly unrelated trend, the FCC began opening up the traditional telephone network to competition on multiple levels. This included requiring incumbent local carriers to interconnect with rival carriers, deliver calls from a competing network to the incumbent’s customers (and vice versa), and generally let these competitors access customers on a carrier’s own physical network. In addition, in a set of orders called the “Computer Inquiries,” the FCC required the telephone companies to provide wholesale access to their networks for providers of “enhanced services.”
Whether or not the telephone company offered a competing “enhanced service,” nothing prevented the carrier from learning everything about the enhanced services offered over its networks and then offering its own competing services (with the additional ability to favor its own affiliated offering over that of the unaffiliated enhanced service provider). To take an example, suppose I want to start an alarm service that will send a signal to an alarm center and call the police or fire department if a burglar alarm or smoke alarm is triggered in the customer’s house. To do that, I have to have access to the customer’s phone wiring. I need to plug my system into the phone network, and have the phone network send the call to the alarm center when the alarm goes off. That is impossible without the cooperation of the phone company. Furthermore, in order to make the system work with the phone system, I not only have to reveal to the phone company that this telephone subscriber is an alarm service subscriber, but I also have to reveal to the telephone company all kinds of details about how my alarm technology works.
As an alarm company, I regard all this information as proprietary — and with good reason. The phone company can add up how many customers I (and any rival alarm companies) have, and determine whether or not there is sufficient demand to start their own alarm service. By learning the details about how my technology and network routing work, the phone company can easily replicate this for its own rival service. It can then use its knowledge of which customers are my customers to offer them special deals to leave my alarm service and sign up for their service. Indeed, the phone company doesn’t even have to wait for me to start serving the customer. Once I tell the phone company, “I need to connect a customer at this address using this phone number,” the phone company knows that this subscriber is interested in the service and can market directly to the customer even before I start providing service. Alternatively, if I am getting customer information to pull a customer away from the carrier (say, to transfer their phone service to my competing voice service), the carrier can reach out to the customer to try to prevent the customer from switching. (Search for “Verizon Retention Marketing” and “FCC order” to see some examples.)
This isn’t a question of dominant platforms exercising market power to force information out of rivals. If I refuse to reveal the proprietary network information, then the service will not work. On the other hand, a blanket “don’t reveal to anyone” rule doesn’t work either. As the FCC discovered, carriers are quite happy to refuse to provide necessary information to rivals in order to service customers in the name of protecting customer privacy.
The FCC created the precursor to the CPNI rules to address this issue. The rules prohibited a carrier from using the information revealed to it by another carrier or enhanced service provider if the new competitor had revealed that information in order to provide service to a carrier’s customer in the first place. Basically, the rules prevented a carrier like Verizon from acting on information provided by a competing carrier, like AT&T, or another business, like ADT Security, that relies on the phone carrier’s network. Additionally, a carrier is required to provide information to a competitor when so directed by the customer. In other words, if I tell the phone company, “I’ve decided to go with a competing alarm company, so give them my phone information so they can provide me with service,” the FCC required the phone company to honor my request.
This was only one part of a comprehensive regime of structural separation and other safeguards (ultimately including the breakup of AT&T) that helped to create a massive new industry in products and services that relied on connection to the phone system. (This included something called the “dial-up modem” that directly led to the modern internet, but that’s a story for another time.) It tends to get overlooked in importance compared to the Computer Inquiries, but it remains a critically important contributor to enabling competition through telecommunications networks.
The Consumer Privacy Aspect of CPNI.
In the early 1990s, Congress was busy working on what would ultimately become the Telecommunications Act of 1996, one of the landmark revisions of the Communications Act. A major focus of the Telecom Act was to codify (and in some cases significantly modify) the various pro-competitive regulations adopted by the FCC as part of the general introduction of competition into the phone network and associated markets which begun in the late 1960s/early 1970s. This included incorporating the basic rules for governing proprietary network information discussed above.
Then-Representative (now-Senator) Ed Markey — who combines both amazing tech-savvy with a deep commitment to consumer protection — added a very substantive consumer privacy piece to CPNI in the House of Representatives. The generic privacy piece in the Communications Act provided broad protection to the actual data transmitted (including the existence of the communication itself). But it did not stop telephone providers from collecting and exploiting all sorts of useful information about the customer or about the nature of the communication. While what we would now call “big data” was still in its primitive stages, Markey recognized that phone companies could use or sell lots of data relating to customers that customers would have no choice but to reveal to their phone company. Since telephone service is considered an essential service necessary to participate in society (i.e. a utility), Markey decided it was unfair to force people to allow the phone company to exploit their personal information as a requirement for getting telephone service. The House version therefore added a provision adding new privacy protections that covers specific types of information such as equipment, network configuration, and other types of “metadata.”
The provision governing CPNI underwent some modification in conference between the House and Senate to produce the current 47 U.S.C. §222 rule, “Privacy of Customer Information.” Notably, the final version expanded the consumer privacy piece to include all telecommunications (not merely telephone) and made other tweaks to create a broader and more unified statutory scheme governing all customer proprietary network information. The statute strikes a balance between consumer control of information, protecting proprietary information of competitors or potential competitors, and creating exceptions for the beneficial use of data for provision of the service, network upgrades, and certain types of research.
Many of the same issues that prompted the creation of CPNI exist in the platform space as well. In addition to the consumer privacy piece, many platforms rely on third-party content that must provide the platform with proprietary information to reach the customer. YouTube must “know” who views any specific content. Amazon must “know” who buys third-party products sold through its platform. If/when the platform decides to expand into content or product production, it can use all the proprietary information it has gathered from its potential rivals on the platform to use as market research.
Because these problems parallel the same problems faced in the telecommunications world, it is useful to break down the existing CPNI statute in greater detail and consider how we might apply these rules to digital platforms.
How Existing Telecom CPNI Protections Work.
Section 222 of the Communications Act of 1934 (as amended) begins with a general statement of responsibility of a carrier to protect “the confidentiality of any information” disclosed by customers, other telecommunications carriers, and equipment manufacturers. (Contrary to what carriers subject to Section 222 have argued in the last few years, this provision imposes a general duty and is not merely some sort of meaningless introductory section.) Note that “confidential information” is a broader category than either “proprietary information” or even the more specific “customer proprietary network information.”
Section 222(b) limits how a carrier can use “proprietary information” revealed to it by another carrier if the rival carrier revealed that information in order to provide a telecommunications service. The provision includes a very specific provision of prohibiting the receiving carrier from using the information “for its own marketing purposes.”
Section 222(c) focuses on consumer privacy, notably “customer proprietary network information.” The statute limits a carrier to using any CPNI collected from a customer to (a) providing the telecom service to which the customer subscribes; and, (b) anything else needed to provide the service. Section 222(h) defines CPNI as information that “relates to the quantity, technical configuration, type, destination, location, and amount of use of a telecommunications service subscribed to by any customer of a telecommunications carrier, and that is made available to the carrier by the customer solely by virtue of the carrier-customer relationship.” What precisely this covers, for example whether it covers things that folks in the privacy community call “personally identifiable information” (PII), was a matter of considerable debate during the 2016 broadband privacy rulemaking. It’s sufficient for our purposes to observe that it covers lots of technical information related to the use of the communications service which can be quite revealing and which does not generally fall into the category of PII.
The statute also includes a bunch of exceptions that answer most of the objections people tend to raise, like “how can you run a network without collecting information on the customer?”. Because of course nobody could possibly have thought of that question before, which is why our telephone system hasn’t worked since 1997. Oh wait, it does. Because the statute allows carriers to use the information for billing purposes, for provision of the service (including compliance with any terms of service), to protect the network (which would cover all your objections about how this would make cybersecurity or spam management impossible), and pretty much anything else you are likely to object to as making it somehow impossible to apply.
Additionally, the statute allows carriers to aggregate personal information and use or disclose the “aggregate information.” Again, we had a fine debate in 2016 over whether the concept of “aggregate information” includes “anonymized information” but let’s pass over that for now. What everyone agrees on is that what Section 222(h) defines as “aggregate information” can be collected and used by the carrier and can be divulged to others in the form of aggregate information.
Finally, Section 222(c)(2) requires that the carrier disclose a customer’s CPNI to “any person designated by the customer” if the customer submits a written request to the carrier ordering the disclosure of the information. This serves two purposes. First, as noted above, it requires a carrier to cooperate with a potential or actual competitor when requested by the customer. Additionally, it allows the customer to find out what CPNI the carrier has in its possession. If I request the carrier provide me with all CPNI about me in its possession, the carrier is required by law to comply.
Applying These Principles to Digital Platforms.
While it is clear that application of both the pro-competitive and strong consumer privacy rules of CPNI to platforms is a Good Idea™, this does not mean a simple cut and paste. As always, communications law provides useful history and concepts for digital platform regulation, but we need to be mindful of the very real differences between what carriers do and what platforms do — and how they do it. Telecommunications services are common carrier point-to-point transmission of data – without any change in the information by the carrier (see 47 U.S.C. §153(53)) — shared solely by the parties to the transmission. That’s the whole “expectation of privacy” thing the Supreme Court recognized in Katz v. United States. Platforms obviously work very differently in terms of everything from the nature of the services provided, the relationship with the customers, the technology used, the types of information collected, and a host of other factors. Additionally, given 20 years experience with CPNI, we could do a lot to clarify issues that have emerged, such as anonymization v. aggregation.
Accordingly, at this stage, rather than try to draft legislation on some foolish theory of false equivalency or meaningless slogan such as “leveling the playing field” (this is real life, not a sports event), let us consider what principles from CPNI we would want to apply to a hypothetical digital platform CPNI statute.
Distinguish between what the platform needs to know to provide service vs. what the platform “knows”
Human beings tend to anthropomorphize a lot. In plain English, we tend to project human traits onto things (including inanimate objects and even abstractions) and respond to these projections emotionally. That’s fine when dealing with your cat or with your car. In Policyland, this tendency to anthropomorphize frequently leads to really poor policy choices because people tend to think of companies such as Amazon or Google as people they either like or hate and decide policy issues accordingly. It also means that people tend to think of companies as having human-like “thinking” and decisionmaking processes. It permeates our language (including mine), and influences our thinking.
I raise that because one of the key insights of CPNI is to regulate the use of information rather than the collection of information. This recognizes that a network operator is not an individual human being that either “knows” something or doesn’t “know” it. It is quite possible to build systems that do not share information with each other, limiting access to individual information to those systems and purposes permitted by law and consistent with privacy. An example of this is the way Apple creates encryption for its iPhones that Apple cannot break without massively hacking the phone. Apple has set up the phone encryption so that the iPhone “knows” the user password in the sense that when the user enters the password the phone makes the appropriate functions or information accessible. But Apple doesn’t “know” the password because the iPhone is designed to prevent Apple from having any way to access that information. Mind you, as the security establishment keeps reminding Apple, they could also design the iPhone to provide them with access to this information regardless of whether the iPhone’s owner wants Apple to access the password. But once Apple makes and implements the design choice, it doesn’t matter what Apple “wants” going forward. No one at Apple can access the password without the customer sharing the password or totally hacking the phone.
Similarly, we can require companies to structure their networks so that they collect information necessary to provide the service (or provide other functions, such as targeted advertising) without the ability to share this information with other systems or with any actual persons. In fact, if you ask Facebook, Google, and most other companies that provide targeted advertising, they will tell you that’s what they do now (to some degree at least). Advertisers say, “I want you to target single mothers between the ages of 15-20 who are left-handed” and these companies go, “no problem.” The ads appear, but the advertiser doesn’t need to know the names of the people who saw the ad.
What worries some about the information collected is: (a) purpose, if you don’t like targeted advertising; (b) the level of information that is available to the advertisers — such as geographic location; but, most importantly, (c) that it is entirely up to whoever is collecting the information how to use it. Yes, it is understood that companies are ‘bound by terms of service’ and the FTC can enforce adherence to those terms of service… blah blah blah. Companies routinely create privacy policies that give them virtually unfettered discretion, coupled with the ability to change the terms of service at any time. CPNI imposes enforceable limits on how companies use the information they collect, limiting these uses to those we decide as a country are consistent with the public interest. Put more simply, CPNI doesn’t simply prevent “disclosure.” It prevents those subject to the CPNI rules from “knowing” information collected — except for the express and permissible purposes collected.
Limit the ability to collect information from third-party providers of content or services that use the platform to reach customers
As I stressed above, one of the critical aspects of CPNI is one of the most overlooked. CPNI affirmatively promotes competition by protecting the information that potential competitors must provide to the carrier in order to reach the carrier’s subscriber and provide the service. This does not prevent the carrier from “knowing” the information for acceptable purposes. For example, if the carrier is collecting the money for the third party by putting the fee on the subscriber’s bill, the carrier certainly “knows” all the information necessary to collect from the customer and remit to the third-party provider. But it cannot use that information for any other purpose.
Recently, a spate of articles has observed that Amazon uses the information it collects as part of its third-party vendor program to develop its own line of competing products. Application of a CPNI regime would prevent Amazon (or any other digital platform) from using the information collected to promote its own products or unfairly compete with third parties using its own platform. And, to anticipate the usual objections, nothing about this would prevent the digital platform from policing third-party content, products, or services to prevent anything dangerous, nasty, inappropriate, or contrary to the policy of the platform. Again, the critical distinction is between the information the platform collects and can only use for limited purposes (what the platform “knows”) vs. allowing the platform unlimited discretion to use the information it collects (what the platform “knows it knows”).
Give consumers control over their personal information by allowing them to control disclosure
CPNI requires companies to disclose information to anyone when directed in writing by the customer to do so. This both protects consumers and promotes competition. In the digital platform arena, two ideas have long had currency. First, the idea of allowing consumers to do an “information audit” or “privacy audit” of companies to determine what information about themselves the company stores. Second, requiring digital platforms to make the social graph of individual users portable to competing platforms as a means of helping competitors overcome the advantages of the dominant digital platform’s mammoth customer base. (In theory, allowing customers to freely move their social graph from one platform to another (in an easily usable form) lowers the switching cost and provides necessary data for the rival platform so it can connect you in the same way as the existing platform).
CPNI potentially enables both these concepts. In doing so, we must recognize that calling it CPNI does not magically solve the problem of implementation. Traditional CPNI primarily involves information about myself. By definition, a social graph includes information about others — who may not consent to my sharing that information. Additionally, the common carrier/telecommunications universe made it relatively easy to create a common set of standards that makes porting information from one provider to another a straightforward process.
Nevertheless, we should embrace the idea that strong CPNI for digital platforms should include both the ability to compel disclosure of data collected from me not only to myself, but to any third party I explicitly direct the platform. As with CPNI in the telecom universe, this will both protect user privacy and promote competition.
Create a general expectation of privacy and narrow list of exceptions, rather than a general expectation of use with a narrow list of privacy protections
Finally, the CPNI statute largely avoids the confusing and artificial distinction made between “sensitive” and “non-sensitive” information. As I explain at great length in my Privacy Principles white paper, this is an entirely artificial distinction the FTC made up due to the limits of its authority under the Federal Trade Commission Act. Companies, of course, love it, because it limits even further the privacy protections enjoyed by consumers. Only some artificial class of “sensitive” information is protected by a requirement to opt in to permission to use, with the vastly larger class of “non-sensitive” information collectible and usable by default unless the consumer affirmatively opts-out.
CPNI reverses the presumption that personal information is generally collectable and usable if the platform has some sort of disclosure and opt-out option, subject to narrow exceptions requiring affirmative opt-in. Instead (for information covered by 47 U.S.C. 222, as well as information covered by the general privacy protection of 47 U.S.C. 605) CPNI imposes a general presumption that information may not be used, even for internal purposes, without the express opt-in of the subscriber — subject to very specific and narrow exceptions specified in the statute. The result is a far more rigorous and robust privacy regime that is oriented toward protecting the privacy of the consumer rather than maximizing the flexibility of the platform.
Conclusion
CPNI is much more than privacy for telecom providers. CPNI is a detailed regulatory regime designed to promote competition and to prioritize protection of consumers rather than maximize the flexibility of platforms. It does not cover all aspects of privacy protection, nor is it the sole means of promoting competition. But just as CPNI proved a very effective compliment to the FCC’s overall efforts to promote competition and the other privacy provisions in the Communications Act, application of CPNI to digital platforms will significantly advance both the cause of personal privacy and the ability of platform competitors to reach customers on the platform.
The history of CPNI demonstrates that the technological sophistication and complexity of digital networks can be designed to foster and protect privacy as well as to enable information collection and predictive analytics. We can, as a society, choose how to limit the ways that platforms use the data they collect from us. Certainly, we should be mindful of the implications of whatever policies we choose. But the 20+ year history of CPNI demonstrates that we can create a vigorous set of privacy rules that simultaneously protects personal privacy and promotes competition, without imposing any undue burden on innovation or provision of service.
Regulación de plataformas – Cuarta parte: ¿Cómo sería realmente la CPNI para plataformas?
Serie sobre regulación de plataformas
Esta es la cuarta publicación de la serie sobre la regulación de las plataformas digitales. Haga clic aquí para leer la serie completa.
«La información en red de propiedad exclusiva del cliente» (CPNI, por sus siglas en inglés) se refiere a un conjunto de normas de privacidad muy específicas que rigen sobre los proveedores de telecomunicaciones (codificadas en la sección 47, artículo 222 del Código de EE. UU.) y que son aplicadas por la Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés). Si bien la CPNI brinda una de las protecciones de privacidad más fuertes en la legislación federal, no es ese su único cometido. La CPNI juega un rol importante en la promoción de la competencia en los servicios de telecomunicaciones y aquellos que solicitan acceso a la red de telecomunicaciones subyacente —como los servicios de alarmas. Debemos dejar en claro que la CPNI no es un reemplazo de la privacidad general ni tampoco un sustituto de las políticas de competencia. En cambio, estas normas les prohíben a los proveedores de telecomunicaciones sacar provecho de su posición como plataformas de dos lados. Como se explica a continuación, la CPNI evita que los proveedores de telecomunicaciones usen los datos que los clientes y los competidores deben brindarles para que el sistema funcione.
Todo esto nos dirige a nuestra primera propuesta concreta sobre la regulación de las plataformas digitales. Como explicaré más adelante, las mismas preocupaciones que impulsaron a la FCC a elaborar las normas de la CPNI en la década de 1980 y al Congreso a expandirlas en la década de 1990 son aplicables a las plataformas digitales de hoy en día. En primer lugar, como los proveedores de los servicios potencialmente competidores deben brindar información propietaria a la plataforma para que el servicio funcione, las operadoras de la plataforma pueden utilizar la información propietaria de sus rivales para ofrecer servicios competidores. Si alguien empieza a vender cepillos de dientes novedosos a través de Amazon, esta plataforma puede averiguar si el producto se vende bien, y usar esa información para hacer sus propios cepillos para competir.
En segundo lugar, la operadora de la plataforma puede poner en riesgo la privacidad del consumidor sin acceder al contenido de la comunicación mediante la recopilación de todo tipo de información acerca de la comunicación y el consumidor en general. Por ejemplo, una plataforma o servicio de telefonía móvil puede saber si una persona llama a su madre todos los días como un buen hijo, o si no lo está haciendo, y también si tiene conversaciones largas con ella o si le corta a los 30 segundos de haber comenzado la llamada. Porque, aunque saben que la persona puede estar muy ocupada con la universidad, los videojuegos y su círculo estudiantil, ¿tan difícil es llamar a la persona que lo llevo nueve meses en su vientre y casi muere al darle la vida? Y, por supuesto, los mensajes de texto no cuentan. ¿En serio no tiene tiempo para llamar y conversar de verdad? Pueden ver, al hacer un seguimiento de su iPhone, que claramente tiene tiempo para estar con su círculo estudiantil y ver Teen Titans Go To The Movies cinco veces a la semana, pero, ¿no tiene tiempo de llamar a su madre?
Como podemos ver, tanto para proteger la privacidad del cliente como para promover la competencia y proteger la innovación, debemos adoptar una versión de la CPNI para las plataformas digitales. Y que las personas llamen a sus madres más frecuentemente. Es un consejo.
Una vez más, antes de que nos adentremos en este tema, advierto a los lectores que no pretendo abordar el tema de si la regulación debería aplicar exclusivamente a plataformas dominantes, ni qué agencia federal (si es que hay alguna) debería hacer cumplir estas regulaciones. A cambio, en un enfoque extremadamente desconocido para la Tierra de las Políticas, quiero profundizar en el tema de por qué necesitamos una verdadera CPNI para las plataformas digitales y cómo sería este panorama.
La historia de la CPNI y en qué se diferencia de la tradicional protección de la privacidad de la FTC
Aquellos que estén interesados en la desquiciadamente extensa historia de la CPNI, y una historia un poco más breve de la evolución de la regulación de la privacidad en EE. UU. y en qué se diferencia la CPNI con respecto a lo que hace con la privacidad la Comisión Federal del Comercio (FTC) pueden dirigirse a mi libro blanco de 100 páginas sobre la CPNI del 2016 y mi documento más corto de 2017 sobre los principios para la regulación efectiva de la privacidad. Aquellos que estén interesados en las notas al pie y los argumentos adicionales pueden dirigirse a estas fuentes, lo que me ahorrará mucho tiempo al no tener que buscar cantidades enormes de enlaces.
Un resumen sobre por qué debemos idear una versión de la CPNI para las plataformas digitales
La privacidad del consumidor en las comunicaciones electrónicas es anterior a la Ley de Comunicaciones de 1934. Las disposiciones específicas como la sección 47, artículo 605 del Código de EE. UU. (sobre la prohibición de la publicación o interceptación de cualquier comunicación electrónica) y la Ley de Privacidad del Cable, codificada en la sección 47, artículo 551 del Código de EE. UU., reflejan las preocupaciones tradicionales que los individuos y los negocios tienen al momento de confiar en que sus comunicaciones privadas conservarán su carácter privado. De hecho, en algunas situaciones, la mera existencia de la comunicación, y más aún la información de dirección o información sobre sus contenidos, puede ser sensible personal o comercialmente.
¿Cómo competir con una plataforma que debe saber tu información propietaria y debe cooperar con el competidor para dar lugar a la competencia?
En las décadas de 1970 y 1980, durante una tendencia aparentemente aislada, la FCC comenzó a abrir la red telefónica tradicional para la competencia en varios niveles. Esto exigió que los proveedores locales correspondientes se interconectaran con proveedores rivales, entregaran llamadas de una red competidora a un cliente del rival (y viceversa), y, por lo general, dejaran que estos competidores accedan a los clientes en la propia red física de un proveedor. Además, en una serie de órdenes llamadas «Computer Inquiries» (investigaciones informáticas), la FCC les exigió a las empresas de telefonía brindar acceso integral a sus redes para los proveedores de «servicios mejorados».
Sin importar si la empresa de telefonía brindaba o no un «servicio mejorado» competidor, nada evitaba que el proveedor lo aprendiera todo sobre los servicios mejorados ofrecidos en sus redes y, luego, ofrezca sus propios servicios para competir (con la capacidad adicional de favorecer su propia oferta afiliada por sobre aquel servicio mejorado del proveedor no afiliado). A modo de ejemplo, supongamos que quiero prestar un servicio de alarmas que mande una señal a un centro de alarmas y llame a la policía o al departamento de bomberos si una alarma contra robo o incendios se dispara en la casa de un cliente. Para hacerlo, debo tener acceso al cableado telefónico del cliente. Necesito conectar mi sistema a la red telefónica, y hacer que la esta realice una llamada al centro de alarmas en el momento en que se dispare la alarma. Eso no sería posible sin la cooperación de la empresa telefónica. Además, para hacer que el sistema funcione con el sistema telefónico, no solo debo revelar al servicio de telefonía quién es el suscriptor al servicio de alarmas, sino también brindarle a esa empresa toda clase de detalles sobre cómo funciona mi tecnología de alarmas.
Siendo una empresa de alarmas, considero que toda esta información es propietaria —y con justa razón. La empresa de telefonía puede contar cuántos clientes tengo (y también los de otras empresas de alarmas), y determinar si hay suficiente demanda como para establecer su propio servicio de alarmas. Al aprender los detalles de cómo funciona esta tecnología y el enrutamiento de la red, la empresa de telefonía puede replicar fácilmente esa información en su propio servicio rival. Puede usar el conocimiento sobre cuáles clientes son también mis clientes para ofrecerles ofertas especiales para que dejen mi servicio de alarmas y se suscriban al de la empresa de telefonía. De hecho, ni siquiera hace falta que la empresa espere a que yo empiece a proveerles el servicio a mis clientes. Una vez que yo le diga a la empresa de telefonía: «Necesito conectar un cliente en esta dirección usando este número telefónico», la empresa sabe que ese suscriptor está interesado en el servicio y puede dirigir su propuesta directamente al cliente incluso antes de que yo empiece a proveer el servicio. Por otra parte, si he obtenido información para alejar a un cliente de su proveedor (digamos, para transferir su servicio telefónico actual a mi servicio de voz competidor), el proveedor puede contactar al cliente para evitar que este cambie de proveedor. (Puede buscar «Marketing de retención de Verizon» y «orden FCC» para ver algunos ejemplos).
No se trata de que las plataformas dominantes ejerzan su poder en el mercado para quitarles información a los rivales. Si me rehúso a revelar información en red propietaria, entonces el servicio no funcionará. Por otro lado, tampoco funcionaría una norma en la que nadie brinde información a nadie. La FCC descubrió que a los proveedores les alegra rehusarse a brindar información necesaria a rivales para servir a los clientes bajo el pretexto de proteger la privacidad del consumidor.
La FCC creó normas que preceden a la CPNI para abordar esta cuestión. Estas normas prohibían que un carrier use la información que le fuera revelada por otro carrier o proveedor de servicio mejorado cuando el nuevo competidor haya revelado dicha información en un principio para ofrecer el servicio al cliente de un carrier. Básicamente, las normas evitaban que una empresa como Verizon llevara adelante acciones usando la información provista por un proveedor competidor, como AT&T, u otro negocio, como ADT Security, que depende de la red del proveedor de telefonía. Además, se le exige a un proveedor que brinde información a un competidor cuando a esa acción la ordene el cliente. En otras palabras, si le digo a mi empresa de telefonía que he decidido pasarme a una empresa de alarmas competidora, y que por lo tanto debe brindarle mi información telefónica para que puedan prestarme el servicio, la FCC exige que la empresa de telefonía cumpla con mi pedido.
Esta fue solo una parte de un régimen más abarcador de separación estructural y otros resguardos (que en última instancia incluyó la disolución de AT&T) que ayudó a crear una nueva industria masiva de productos y servicios que dependen de la conexión al sistema telefónico. (Incluyó también algo llamado «módem de marcación telefónica» que resultó directamente en la Internet moderna, pero esa es una historia para otro momento). Su importancia tiende a pasar por alto en comparación con las Computer Inquiries, pero sigue siendo extremadamente importante para habilitar la competencia mediante las redes de telecomunicaciones.
La privacidad del consumidor en la CPNI
A principios de la década de 1990, el Congreso estaba trabajando en lo que finalmente sería la Ley de Telecomunicaciones de 1996, una modificación histórica de la Ley de Comunicaciones. Uno de los grandes propósitos de la Ley de Telecomunicaciones fue codificar (y, en algunos casos, modificar ampliamente) las varias regulaciones favorables a la competencia adoptadas por la FCC como parte de la introducción general de la competencia en los mercados de redes telefónicas y mercados similares, que comenzó a finales de la década de 1960 y principios de la década de 1970. Aquí se incorporaron las normas básicas que rigen la información en red propietaria mencionadas anteriormente.
El exdiputado (y actual senador) Ed Markey —quien es experto en tecnología y está comprometido con la causa de la protección al consumidor— agregó un fragmento sobre privacidad al consumidor muy significativo a la CPNI en la Cámara de Diputados. El fragmento de privacidad genérica en la Ley de Comunicaciones brindaba una protección amplia para los datos que eran realmente trasmitidos (incluyendo la existencia de la comunicación en sí misma). Pero no evitó que los proveedores de telefonía recopilaran y explotaran todo tipo de información útil sobre el cliente o sobre la naturaleza de la comunicación. Si bien en ese momento lo que hoy llamamos «big data» estaba todavía en un estado inicial, Markey reconoció que las empresas telefónicas podían usar o vender muchos datos relacionados con los clientes, brindados por ellos mismos a sus empresas telefónicas por no tener otra opción. Ya que el servicio telefónico se considera un servicio esencial necesario para la vida en sociedad (es decir, un servicio público), Markey decidió que era injusto forzar a las personas a permitir que sus empresas telefónicas exploten su información personal como requisito para obtener el servicio telefónico. La versión de Diputados, por lo tanto, añadió una disposición que incorporó nuevas protecciones de privacidad que cubre tipos de información específica, como el equipo, la configuración de la red, y otros tipos de «metadatos».
La disposición que rige la CPNI sufrió algunas modificaciones en la conferencia entre Diputados y Senadores, lo que creó la actual norma en la sección 47, artículo 222 del Código de EE. UU.: «La privacidad de la información del consumidor». Cabe mencionar que la versión final expandió el fragmento sobre la privacidad del consumidor para que incluyera todas las telecomunicaciones (no solamente la telefonía) y realizó otras modificaciones para crear un régimen legal más amplio y unificado que rija toda la información en red de propiedad exclusiva del cliente. La ley establece un equilibrio entre el control de la información ejercido por el consumidor, la protección de la información propietaria de los competidores o potenciales competidores, y la creación de excepciones para el uso beneficioso de los datos para la prestación del servicio, las actualizaciones de la red, y ciertos tipos de investigación.
Muchos de los problemas que impulsaron la creación de la CPNI existen también en el contexto de las plataformas. Además del fragmento sobre la privacidad del consumidor, muchas plataformas dependen de contenidos de terceros que deben brindarle a la plataforma información propietaria para llegar al cliente. YouTube debe «saber» quién ve un contenido específico. Amazon debe «saber» quién compra productos de terceros vendidos a través de su plataforma. Si la plataforma decide expandirse a la producción de contenido o productos, puede usar toda la información propietaria que ha recopilado de sus rivales potenciales en la plataforma para usarla como investigación de mercado.
Debido a que estos problemas van en paralelo con los problemas enfrentados en el mundo de las telecomunicaciones, es útil desglosar los detalles del estatuto existente sobre la CPNI para entender cómo se podrían aplicar estas normas a las plataformas digitales.
¿Cómo funcionan las protecciones de la CPNI en las telecomunicaciones?
La sección 222 de la Ley de Comunicaciones de 1934 (en su versión modificada) comienza con una declaración general sobre la responsabilidad de un proveedor de proteger «la confidencialidad de cualquier información» revelada por los consumidores, otros proveedores de telecomunicaciones, y fabricadores de equipos. (Contrariamente a lo que los proveedores sujetos a la sección 222 argumentaron en los últimos años, esta disposición impone una obligación general y no es solamente una sección introductoria sin sentido). Cabe destacar que el término «información confidencial» hace referencia a una categoría más amplia que el término «información propietaria» o «información en red de propiedad exclusiva del consumidor», que es aún más específico.
La sección 222(b) limita las maneras en las que un proveedor puede utilizar la «información propietaria» que le haya sido revelada por otro proveedor si este último reveló dicha información para prestar un servicio de telecomunicaciones. La sección incluye una disposición muy específica que le prohíbe al proveedor receptor usar la información «con sus propios propósitos de mercado».
La sección 222(c) se concentra en la privacidad del consumidor, específicamente en la «información en red de propiedad exclusiva del consumidor». El estatuto limita a un proveedor a usar cualquier CPNI recopilada de un consumidor para: (a) proveer el servicio de telecomunicaciones al cual el consumidor se suscribe; y, (b) llevar a cabo acciones necesarias para prestar ese servicio. La sección 222(h) define la CPNI como información que se «relaciona con la cantidad, configuración técnica, tipo, destino, ubicación, y cantidad de uso de un servicio de telecomunicaciones al que suscribe cualquier cliente de un proveedor de telecomunicaciones, y que el consumidor pone a disposición del proveedor solamente en virtud de la relación proveedor-consumidor». La cobertura específica de esto, por ejemplo si cubre elementos que los defensores de la privacidad llaman «información personalmente identificable» (PII, por sus siglas en inglés), fue objeto de extenso debate durante la fijación de normas de privacidad para la banda ancha en el 2016. Para nuestros fines, es suficiente observar que cubre mucha información técnica relacionada con el uso de los servicios de comunicaciones, que puede ser bastante reveladora y que generalmente no entra en la categoría de la PII.
El estatuto también incluye varias excepciones que responden a la mayoría de las objeciones que tienden a plantearse, como «¿Cómo se puede manejar una red sin recopilar información sobre el consumidor?». Por supuesto que a nadie nunca se le ocurrió esa pregunta, y por eso nuestro sistema telefónico no funciona desde 1997. Esperen. Sí funciona; porque el estatuto permite que los proveedores usen la información con propósitos de facturación, para la prestación del servicio (incluyendo la observancia de los términos de servicio), para proteger la red (que cubriría todas las objeciones sobre cómo esto haría que la ciberseguridad y el manejo del spam sean imposibles), y casi todo lo demás que puede ser tema de objeción mostrándolo como algo imposible de aplicar.
Adicionalmente, el estatuto permite que los proveedores acumulen información personal y usen o divulguen esa «información agregada». Una vez más, hubo un buen debate en el 2016 sobre si el concepto de «información agregada» incluye la «información anonimizada» pero por ahora dejemos esto de lado. En lo que todos están de acuerdo es en que la definición de «información agregada» de la sección 222(h) indica que esta información puede ser recopilada y usada por el proveedor y puede ser divulgada a otros como información agregada.
Finalmente, la sección 222(c)(2) exige que el proveedor revele la CPNI de un consumidor a «cualquier persona designada por el consumidor» si este entrega un pedido por escrito ante el proveedor en el que ordena la divulgación de la información. Esto cumple dos propósitos. En primer lugar, como notamos anteriormente, exige que un proveedor coopere con un competidor real o potencial cuando así lo solicite el cliente. En segundo lugar, permite que el consumidor conozca qué CPNI tiene el proveedor en su posesión. Si solicito que el proveedor me brinde toda la CPNI que posee sobre mí, el proveedor está obligado por ley a hacerlo.
La aplicación de estos principios a las plataformas digitales
Aunque está claro que la aplicación de normas de la CPNI favorables a la competencia y de privacidad del consumidor a las plataformas es una Buena Idea™, no se pueden cortar y pegar. Como siempre, la normativa de las comunicaciones nos brinda una historia y conceptos útiles para la regulación de las plataformas digitales, pero necesitamos ser consientes de las diferencias muy reales que existen entre lo que hacen los proveedores y lo que hacen las plataformas —y de cómo lo hacen. Los servicios de telecomunicaciones son trasmisiones de datos de extremo a extremo de un common carrier —sin cambios en la información por parte del proveedor (vea la sección 47, artículo 153(53) del Código de EE. UU.) —compartida solamente por las partes de la trasmisión. Esta es la cuestión de la «expectativa de la privacidad» que reconoció la Corte Suprema en el caso Katz vs. United States. Obviamente, las plataformas funcionan de maneras muy distintas, desde la naturaleza de los servicios provistos, la relación con los consumidores, la tecnología utilizada, los tipos de información recopilada, hasta una multiplicidad de factores adicionales. Además, al contar con 20 años de experiencia con la CPNI, podríamos hacer mucho para aclarar los problemas que surgieron, como el de anonimización vs. agregación.
Por consiguiente, a esta altura, en lugar de intentar elaborar una legislación sobre alguna tonta teoría de equivalencia falsa o un eslogan sin sentido como «nivelar el campo de juego» (esta es la vida real, no un evento deportivo), consideremos qué principios de la CPNI querríamos aplicar a un hipotético estatuto sobre la CPNI en las plataformas digitales.
Distinguir entre lo que la plataforma necesita saber para prestar el servicio y lo que la plataforma «sabe»
Los seres humanos tendemos a atribuir características humanas a muchas cosas. Es decir, tendemos a proyectar características humanas a las cosas (incluyendo los objetos inanimados y las abstracciones) y responder a estas proyecciones emocionalmente. No hay problema cuando se trata de un gato o un auto. Sin embargo, en la Tierra de las Políticas, esta tendencia resulta frecuentemente en malas elecciones políticas, porque tendemos a tratar a las empresas como Amazon o Google como personas que nos caen bien o mal y decidimos cuestiones políticas en consonancia a eso. También significa que las personas tienden a creer que las empresas tienen un «pensamiento» y un proceso de toma de decisiones como los de los humanos. Se impregna en nuestro lenguaje (incluido el mío), e influencia nuestra manera de pensar.
Menciono esta cuestión porque una de las perspectivas de la CPNI es regular el uso de la información en lugar de la recopilación de la información. Esto reconoce que una operadora de red no es un ser humano que «conoce» o «no conoce» la información. Es muy posible construir sistemas que no compartan información entre ellos, mediante la limitación del acceso a información individual a aquellos sistemas y propósitos permitidos por la ley y compatibles con la privacidad. Un ejemplo es la manera en la que Apple crea un cifrado para sus iPhones que ni siquiera Apple puede burlar sin hackear masivamente el teléfono. Apple instauró el cifrado de sus teléfonos de una manera en la que el iPhone «sabe» la contraseña del usuario, en el sentido de que cuando un usuario ingresa la contraseña, el teléfono da acceso a las funciones o información correspondientes. Pero Apple no «sabe» la contraseña, porque el iPhone está diseñado para evitar que Apple tenga acceso alguno a esa información. Claro está, como las instituciones de seguridad le recuerdan siempre a Apple, que podrían también diseñar un iPhone que les dé acceso a esta información independientemente de si el dueño de ese iPhone quiere que Apple tenga acceso a la contraseña o no. Pero una vez que Apple haga e implemente la opción de diseño, no importará lo que Apple «quiera» en adelante. Nadie en Apple puede acceder a la contraseña sin que el consumidor comparta su contraseña o sin hackear el teléfono completamente.
Del mismo modo, podemos exigir que las empresas estructuren sus redes de una manera en la que recopilen la información necesaria para prestar el servicio (u otras funciones, como la publicidad personalizada) sin la capacidad de compartir esta información con otros sistemas o individuos. De hecho, si les preguntamos a Facebook, Google, y la mayoría de las otras empresas que brindan publicidades personalizadas, nos dirán que eso es lo que hacen ahora (por lo menos hasta un cierto punto). Los publicistas dicen: «Quiero que te dirijas a madres solteras de entre 15 y 20 años que sean zurdas», y las empresas responden: «ningún problema». Los anuncios se publican, pero el anunciante no necesita saber los nombres de las personas que vieron la publicación.
Lo que les preocupa a algunos sobre la información recopilada es: (a) el propósito, si no les gusta la publicidad personalizada; (b) el nivel de información disponible para los anunciantes —como la ubicación geográfica— y, fundamentalmente, (c) que el uso de esa información dependa enteramente de quien la recopila. Sí, se sabe que las empresas están «obligadas por los términos del servicio» y la FTC puede hacer cumplir la observancia de dichos términos de servicio, y etc. Las empresas crean políticas de privacidad sistemáticamente que les conceden facultades casi ilimitadas, junto con la capacidad de cambiar los términos del servicio en cualquier momento. La CPNI impone límites aplicables sobre la manera en que las empresas usan la información que recopilan, limitando estos usos a aquellos que pensemos, como país, que son compatibles con el interés público. En términos más sencillos, la CPNI no simplemente evita la «divulgación». Evita que aquellos que estén sujetos a las normas de la CPNI «conozcan» la información recopilada —excepto por la recopilada con fines expresos y permisibles.
Limitar la capacidad de recopilación de información por parte de proveedores de contenidos o servicios terceros que usen la plataforma para llegar a los consumidores
Como destaqué anteriormente, uno de los aspectos más esenciales de la CPNI es uno de los que más se pasa por alto. La CPNI promueve de manera proactiva la competencia mediante la protección de la información que competidores potenciales deben brindar al proveedor para llegar a los suscriptores del proveedor y prestar el servicio. Esto no evita que el proveedor «conozca» la información por motivos aceptables. Por ejemplo, si el proveedor está recolectando dinero para el tercero mediante la imposición de una tarifa en la factura del suscriptor, el proveedor ciertamente «conoce» toda la información necesaria que debe recopilar del cliente y remitir al proveedor tercero. Sin embargo, no puede usar esa información con ningún otro propósito.
Recientemente, una oleada de artículos notó que Amazon utiliza la información que recopila como parte de su programa de vendedor tercero para desarrollar su propia línea de productos competidores. La aplicación de un régimen de la CPNI evitaría que Amazon (o cualquier otra plataforma digital) use la información recopilada para promover sus propios productos o competir deslealmente con terceros que usan su propia plataforma. Y, para anticipar algunas de las objeciones habituales, nada sobre este régimen evitaría que las plataformas digitales controlen el contenido, los productos, o servicios de los terceros con el propósito de evitar cualquier cosa que pueda llegar a ser peligrosa, desagradable, inapropiada, o contraria a las políticas de la plataforma. Una vez más, la distinción clave está entre la información que la plataforma recopila y puede usar solo con fines limitados (lo que la plataforma «sabe») y el permiso de que una plataforma pueda tener facultades ilimitadas para usar la información que recopila (lo que la plataforma «sabe que sabe»).
Conceder a los consumidores el control de su información personal permitiéndoles controlar su divulgación
La CPNI exige que las empresas revelen información a cualquiera siempre y cuando el consumidor así lo haya instruido por escrito. Esto protege a los consumidores y promueve la competencia al mismo tiempo. En el campo de las plataformas digitales, son dos las ideas que han gozado mucha popularidad: Primero, la idea de permitir que los consumidores realicen una «auditoría de la información» o «auditoría de la privacidad» de las empresas para determinar qué información sobre ellos almacenan estas. Segundo, exigir que las plataformas digitales hagan transferible el gráfico social de usuarios individuales para las plataformas competidoras con el objetivo de ayudarlas a superar las ventajas de la enorme base de consumidores de las plataformas digitales dominantes. (Teóricamente, permitir que los consumidores muevan libremente su gráfico social de una plataforma a otra —de manera sencilla— reduce el costo de cambio de proveedor y brinda los datos necesarios para que la plataforma rival pueda contactar al consumidor de la misma manera que lo hace la plataforma existente).
La CPNI habilita, potencialmente, ambos conceptos. Al hacerlo, debemos reconocer que llamarla CPNI no resuelve mágicamente el problema de la implementación. La CPNI tradicional comprende información sobre uno mismo. Por definición, un gráfico social incluye información sobre otros —que pueden no consentir que se comparta su información. Además, el universo de los common carriers/telecomunicaciones hizo que fuera relativamente fácil crear un conjunto de estándares en común que haga que el transporte de información de un proveedor a otro sea un proceso directo.
No obstante, debemos aceptar la idea de que una CPNI sólida para las plataformas digitales debería incluir la capacidad de obligar la divulgación de datos recopilados por una persona no solo para ella, sino para cualquier tercero que esa persona le ordene directamente a la plataforma. Como con la CPNI en el universo de las telecomunicaciones, esto protegerá la privacidad del usuario al tiempo que promoverá la competencia.
Crear una expectativa de privacidad general y acortar la lista de excepciones, en lugar de una expectativa general de uso con una corta lista de protecciones de la privacidad.
Finalmente, el estatuto de la CPNI evita en buena medida la distinción artificial y confusa entre la información «sensible» y la «no sensible». Como explico extensamente en mi libro blanco sobre los Principios de Privacidad, esta es una distinción completamente artificial que inventó la FTC debido a los límites de su autoridad bajo la Ley de la Comisión Federal de Comercio. A las empresas, por supuesto, les encanta, gracias a que limita aún más las protecciones de la privacidad que disfrutan los consumidores. Solo una suerte artificial de información «sensible» está protegida por el requisito de expresar consentimiento (opt in) para permitir su uso, y luego tenemos la información «no sensible», extensamente más amplia, recopilable y utilizable por defecto hasta que el consumidor proactivamente se excluya de esa configuración (opt out).
La CPNI invierte la presunción de que la información personal es, por lo general, recopilable y utilizable si la plataforma tiene alguna opción de divulgación y exclusión (opt out), sujeta a excepciones acotadas que exigen la inclusión proactiva (opt in). En cambio (para la información cubierta por la sección 47, artículo 222 del Código de EE. UU., y la información cubierta por la protección general de la privacidad en la sección 47, artículo 605 del Código de EE. UU.), la CPNI impone una presunción general de que la información no puede ser utilizada, ni siquiera con propósitos internos, sin el expreso consentimiento del consumidor —sujeta a excepciones acotadas y muy específicas detalladas en el estatuto. El resultado es un régimen de privacidad mucho más riguroso y robusto, orientado a la protección de la privacidad del consumidor, en lugar de la maximización de la flexibilidad de la plataforma.
Conclusión
La CPNI es mucho más que privacidad para los proveedores de telecomunicaciones. La CPNI es un régimen normativo diseñado para promover la competencia y priorizar la protección de los consumidores, en lugar de maximizar la flexibilidad de las plataformas. No cubre todos los aspectos de la protección de la privacidad, ni tampoco es la única manera de promover la competencia. Sin embargo, al igual que demostró ser un complemento muy efectivo para los esfuerzos generales de la FCC para la promoción de la competencia y otras disposiciones sobre privacidad en la Ley de Comunicaciones, la aplicación de la CPNI a las plataformas digitales fomentará significativamente tanto la privacidad personal como la capacidad de las plataformas competidoras de llegar a los consumidores en las plataformas.
La historia de la CPNI prueba que la sofisticación tecnológica y la complejidad de las redes digitales pueden ser diseñadas para fomentar y proteger la privacidad, así como también para habilitar la recopilación de información y el análisis predictivo. Como sociedad, podemos elegir cómo limitar las maneras en que las plataformas usan los datos que recopilan sobre nosotros. Obviamente, debemos ser conscientes de las implicancias de cualquiera de las políticas que escojamos. Sin embargo, más de 20 años de historia de la CPNI demuestran que podemos crear un fuerte conjunto de normas de privacidad que, a su vez, proteja la privacidad personal y promueva la competencia, sin imponer ninguna carga indebida sobre la innovación o la prestación del servicio.