Blog

Cinco principios básicos de las prácticas de información justas

La cantidad de actividad en línea es cada vez mayor, especialmente con la expansión de la Internet de las cosas (IoT) . Nos bombardean constantemente con solicitudes de datos. El número de sitios web fraudulentos , esquemas de phishing , y casos de robo de identidad siempre está en aumento. Es más importante que nunca estar muy atento a la seguridad de su información. Además, saber exactamente quién tiene sus datos personales y cómo los utiliza es un aspecto vital de su derecho a la privacidad.

Ya sea que estés entregando tu dirección de correo electrónico o hacer pagos en línea , desea estar absolutamente seguro de adónde va su información y cómo se utilizará. Como tal, familiarizarse con los principios de las prácticas de información justas lo ayudará a tomar las decisiones correctas mientras navega en entornos en línea y fuera de línea. Con su conocimiento adicional, también podrá denunciar aquellas entidades que no siguen las mejores prácticas para ayudar a crear un panorama más seguro para todos los usuarios.

En esta publicación, analizaremos brevemente las pautas que se han desarrollado en torno a las prácticas de información justas. Luego, profundizaremos en los cinco principios básicos y lo que significan para usted como consumidor.

Algunos antecedentes sobre estos principios

Cuando hablamos de prácticas de información, nos referimos a cómo diversas entidades recopilan y utilizan su información personal. Cuando hablamos de que estas prácticas son justas, debemos analizar cómo garantizar que existan reglas que rijan las prácticas de información y proporcionen una amplia protección de la privacidad de los consumidores.

El entorno cambia constantemente y, a lo largo de los años, ha habido varios informes sobre el tema de las prácticas de información justas. También se han introducido directrices en un intento por establecer estándares a seguir por las empresas. En los últimos años, muchos países han desarrollado políticas más concretas en materia de protección de datos. A lo largo de los distintos informes y directrices, emergen ciertos principios básicos.

Estos se establecieron por primera vez hace más de una década en un informe de la Comisión Federal de Comercio (FTC) “Principios de prácticas de información justa”, que desde entonces ha sido retirado. Si bien eso se basó en informes y directrices ahora obsoletos, los mensajes subyacentes dentro de los principios siguen siendo evidentes en directivas más actualizadas que incluyen:

Reglamento General de Protección de Datos (RGPD): Esto fue desarrollado por la UE para reemplazar el Directiva de protección de datos y será ejecutable a partir de mayo de 2018.
Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA): Esto se aplica en Canadá e incluye pautas establecidas en el Ley de Privacidad Digital y Código modelo CSA .
Directrices de privacidad de la OCDE (publicado originalmente en 1980 pero actualizado en 2013): La Organización para la Cooperación y el Desarrollo Económicos (OCDE) establece estándares internacionales sobre una variedad de cosas, incluida la privacidad.

Tenga en cuenta que no todos estos documentos contienen explícitamente todos los principios siguientes. Además, la mayoría, si no todos, contienen orientación adicional detallada. Por lo tanto, si estás viendo esto desde una perspectiva empresarial o eres un consumidor que busca información más detallada, puedes consultar el documento correspondiente directamente. Quizás también te interese un lado a lado comparación de las políticas de privacidad de algunas de las mayores empresas de Internet.

Es posible que observe la ausencia de un documento estadounidense en la lista anterior. Actualmente no existe ninguna legislación general sobre privacidad de datos que se aplique en los EE. UU. Sin embargo, existen ciertos actos que pertenecen a prácticas justas de información, como la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) y la Ley de transacciones crediticias justas y precisas (FACTA). Además, muchas leyes que rigen las prácticas de información en Estados Unidos se instituyen a nivel estatal.

Un último apunte antes de profundizar en los principios es que algunas de estas pautas se basan en el supuesto de que el consumidor tendrá el criterio necesario para decidir si entrega o no su información. Sin embargo, cuando se trata de niños, existe una gran posibilidad de que no tengan las mismas habilidades analíticas y de juicio. En este caso, los principios deben adaptarse para garantizar que los padres estén adecuadamente equipados para proteger la información de sus hijos. Cubriremos estos principios adaptados en una próxima publicación.

Los cinco principios básicos de las prácticas de información justas

Ahora que sabemos un poco más sobre de dónde surgieron estos principios, veamos los puntos clave que cubren en lo que respecta a los derechos de los consumidores.

1. Se debe avisar a los consumidores

Aviso se refiere al hecho de que la persona que proporciona la información debe saber exactamente a quién va dirigida la información y para qué se utilizará. También conocida como transparencia, es de suma importancia para que el consumidor esté bien equipado para tomar una decisión sobre si entrega o no información, así como qué información desea divulgar.

Algunas de las cosas que una entidad debería cubrir, según corresponda, son:

¿Quién recopila la información?
Para qué se utilizará
¿Quién podría potencialmente recibir los datos?
¿Qué información se recopilará y cómo?
Si proporcionar los datos es opcional
Cómo garantizará el recopilador la confidencialidad, calidad e integridad de la información
Si y cuándo se eliminará la información

Si el proveedor completa un formulario físico, esta información probablemente aparecerá en algún lugar del formulario real. Alternativamente, en un entorno en línea, la información puede presentarse en el formulario o en una página web separada. En cualquier caso, debe ser obvio y fácilmente accesible para el lector.

Por ejemplo, al registrarse en Monedero nerd , el usuario aceptará los términos de servicio y la política de privacidad de la empresa, ambos establecidos en documentos separados, disponibles mediante hipervínculo:

En este caso, el simple hecho de registrarse indica que el usuario acepta los términos y políticas proporcionadas. En otros casos, es posible que se les solicite que tomen medidas adicionales, como marcar una casilla, que confirme que han leído y comprendido los términos y políticas proporcionados.

En muchas situaciones, estas cosas se omiten, especialmente si el usuario ya tiene cierto nivel de confianza en la entidad recaudadora. Sin embargo, en determinadas situaciones, es posible que sea mucho más probable que revise los términos y políticas en busca de información relevante. Digamos, por ejemplo, que está utilizando los servicios de una entidad por el motivo específico de protección de datos. Si está buscando un proveedor de VPN o un extensión de privacidad del navegador , querrás saber exactamente cómo las empresas en cuestión manejarán tu información.

2. Se deben ofrecer opciones y exigir consentimiento

En términos básicos, este principio otorga a los consumidores el derecho a decidir cómo se utiliza su información. Esto se refiere más al uso secundario, ya que el uso principal suele ser evidente, por ejemplo, para registrarse en un servicio, completar una compra o acceder a un contenido.

Más allá del motivo principal, es posible que las entidades quieran registrar y utilizar sus datos para otros fines, como agregarlo a sus propias listas de correo electrónico o a las de otras empresas. Alternativamente, pueden estar vendiendo datos masivos sobre el comportamiento o las preferencias de los usuarios a terceros.

En última instancia, cualquier uso de datos que vaya más allá de lo obvio debe exponerse claramente. Además, el consumidor debe tener la opción de dar su consentimiento para que su información se utilice de la manera especificada. Esto se puede hacer mediante la opción de participar o no, pero lo principal es que las opciones sean claras y fáciles de utilizar.

El concepto de elección y consentimiento es algo con lo que nos encontramos habitualmente en la actividad online. Los formularios de registro, compra y envío a menudo vienen con una o más casillas de verificación al final, y es posible que se sienta bombardeado con solicitudes para que su información se utilice de diversas maneras.

Un ejemplo común es la opción de recibir información promocional de cualquier entidad a la que le entregues tu información, como es el caso de Formulario de inscripción a la Lotería de California :

También hay situaciones en las que usted puede tener múltiples opciones sobre cómo se puede utilizar su información. En el caso de NerdWallet, las opciones de exclusión voluntaria de terceros se pueden encontrar en la política de privacidad, que es fácil de localizar desde el formulario de registro como mencionamos anteriormente:

Nuevamente, la clave es que las opciones sean claras y optar por participar o no es sencillo. Como se muestra en los ejemplos proporcionados, esto es bastante sencillo de lograr en el entorno en línea, por lo que no debería haber excusas.

3. Los consumidores deberían poder acceder y modificar datos

Entonces, ¿qué ocurre con tus derechos una vez que has entregado tus datos? Bueno, el consenso general entre los informes y directrices sobre privacidad de datos es que los consumidores deberían tener la posibilidad de acceder a la información que han proporcionado.

Este principio también transmite su derecho a impugnar la información que consideren inexacta y/o tener la oportunidad de cambiarla. Una de las principales razones detrás de este principio es que brinda la mayor probabilidad de que toda la información sea precisa y completa, lo que en realidad se relaciona con el siguiente principio.

Por supuesto, esto no funcionará si es difícil acceder a la información, ya sea por un proceso largo o costoso. Como tal, es importante que las entidades cuenten con mecanismos para que a los consumidores les resulte sencillo y directo acceder y revisar sus datos. Asimismo, deberán poder impugnar su exactitud o integridad y/o realizar modificaciones sin dificultad.

Por ejemplo, los proveedores de correo electrónico, las plataformas de redes sociales y los sitios de comercio electrónico (como Amazon) facilitan a los usuarios modificar su información. Tiene sentido tanto para las entidades como para los consumidores.

4. Los datos deben ser precisos y seguros

Este principio se refiere a la integridad y seguridad de todos los datos. El componente de integridad se relaciona con el último principio, siendo las entidades la responsabilidad de hacer todo lo posible para garantizar que toda la información sea precisa y correcta. Acabamos de hablar de la accesibilidad de los datos y esto vuelve a eso. Las entidades deben garantizar que los consumidores puedan acceder, impugnar o alterar los datos para que sean realmente precisos.

Sin embargo, también es responsabilidad de quienes recopilan información tomar otras medidas además de la accesibilidad para garantizar la integridad de los datos que poseen. Esto puede significar hacer referencias cruzadas de otras fuentes para garantizar que los proveedores de datos ingresen información precisa. También podría significar que las entidades tengan que deshacerse de datos que pueden estar desactualizados o hacerlos anónimos después de un cierto período de tiempo.

Además de la integridad, las entidades también deben tomarse muy en serio la seguridad de los datos de los consumidores. Esto significa implementar medidas para garantizar que los datos no se pierdan y que no se pueda acceder a ellos, utilizarlos, modificarlos, destruirlos o divulgarlos sin autorización. No salvaguardar la información puede tener un precio enorme para empresas como Morgan Stanley .

Por supuesto, incluso con alta seguridad, Las filtraciones de datos todavía ocurren . Existen medidas cada vez más estrictas para garantizar que las empresas realmente informan sobre violaciones de datos . Sin embargo, La admisión bastante reciente de Yahoo de una enorme filtración de datos que ocurrió varios años antes muestra que nunca podemos estar absolutamente seguros de que nuestra información esté segura. Por esta razón, es casi imposible decir que una empresa en particular es mejor en seguridad que otras, simplemente porque no han tenido violaciones en los titulares.

Como tal, siempre debes hacer lo que puedas para protegerte. Puedes comenzar asegurándote de no utilizar el misma contraseña en múltiples cuentas. Además, asegúrese de eliminar cuentas antiguas , para que sus datos no se almacenen en algún lugar innecesariamente. Lo ideal es que, en este punto, su información sea eliminada. De lo contrario, al menos cualquier información de identificación personal debe eliminarse, agregarse o anonimizarse después de un cierto período de tiempo.

Por supuesto, además de la piratería, es posible que también le preocupe la privacidad de su información desde el punto de vista gubernamental. La Electronic Frontier Foundation (EFF) hace un buen trabajo identificando, a través de sus “¿Quién te respalda?” lista , a qué empresas prestar atención cuando se trata de privacidad.

5. Son necesarios mecanismos de ejecución y reparación

Por supuesto, está muy bien tener reglas que rodeen las prácticas de información justas, pero si no existen mecanismos para hacerlas cumplir, se vuelven inútiles. Además, si no existe ninguna forma de reparación, hay poco o ningún incentivo para que las entidades respeten las normas.

Como ocurre con muchas regulaciones, existen varios enfoques diferentes que se pueden adoptar cuando se trata de hacer cumplir las relativas a las prácticas de información justas. Aquí, echaremos un vistazo a los tres principales:

Regímenes de autorregulación

Este tipo de regulación podría realizarse a criterio de la propia entidad. Por ejemplo, los sitios de redes sociales como YouTube le brindan un medio para presentar una queja . Cuando se trata de reparación, deben existir procesos para que los clientes puedan acceder fácilmente a un sistema de quejas y para que sus quejas sean investigadas.

Alternativamente, la aplicación de la ley podría estar a cargo de un organismo regulador externo. Esto podría incluir aceptar prácticas de información justas para unirse a una asociación industrial. Una entidad también podría invitar a auditores externos para verificar que están siguiendo las pautas, posiblemente con una certificación otorgada al final.

Legislación privada

La legislación privada normalmente otorgaría al consumidor el derecho a una compensación si fuera víctima de prácticas de información desleales. Por ejemplo, podrían tener causa para demandar si el uso indebido de la información provocara daños y perjuicios. Centro de información de privacidad electrónica (EPIC) es una organización independiente que analiza este tipo de derechos civiles. También, Privacidad internacional es una organización de derechos humanos con sede en el Reino Unido que ayuda a proteger el derecho de las personas a la privacidad.

Legislación gubernamental

En ciertos casos, la regulación gubernamental se ejerce dentro de industrias específicas. Por ejemplo, dentro de la industria de la salud de EE. UU., si cree que una agencia cubierta por HIPAA lo ha violado, puede presentar una queja con el Oficina de Derechos Civiles (LOC). En muchos países, también existen métodos para denunciar infracciones independientes de la industria (más sobre esto en la siguiente sección).

Denunciar violaciones de información

A medida que el entorno en línea continúa cambiando, la regulación sobre prácticas de información justas evolucionará continuamente. La naturaleza evolutiva de este panorama no ofrece precisamente tranquilidad a los consumidores a quienes constantemente se les pide que proporcionen información personal a todo tipo de empresas.

Sin embargo, ahora que conoce los principios básicos de las prácticas de información justas, estará mejor equipado para estar atento a ciertas señales al proporcionar información a las entidades. Además, aunque las reglas variarán entre países e industrias, podrá detectar mejor cuando una entidad no sigue prácticas de información justas.

Como se mencionó, hay varios lugares donde puede denunciar casos en los que crea que ha habido violaciones. Hablamos de un par más arriba, y también hay formularios específicos de cada país, algunos de los cuales se enumeran aquí:

REINO UNIDO: Oficina del Comisionado de Información (ICO)
A NOSOTROS: Comisión Federal de Comercio (FTC)
Canada: Oficina de la Comisión de Privacidad de Canadá (OPC)
Australia: Oficina del Comisionado de Información de Australia (OAIC)

En general, el mejor consejo que podemos darle es salvaguardar su información cuidadosamente y tratar de tratar únicamente con empresas en las que confía para que hagan lo mismo. Recuerde leer atentamente los términos, condiciones y políticas de privacidad y, si tiene alguna duda, ¡haga preguntas!

“ Aceptar ”por Catkin con licencia bajo CC POR 2.0

3D-Online

Información, Herramientas, Revisiones Y Comparaciones, Para Ayudar A Los Lectores A Mejorar Su Ciberseguridad Y Confidencialidad En Internet.