Protección de datos y privacidad: una guía para organizadores de eventos en 2022
¿Organizar un evento público en los próximos meses? Es posible que desees prestar atención a las prácticas de privacidad del evento. ¿Qué información personal recopila de los asistentes y cómo la utilizará? ¿Habrá fotografía? ¿Cuánto tiempo se puede conservar la información de los asistentes?
Los asistentes al evento pueden sentirse incómodos ante la perspectiva de que su información termine en lugares nuevos, como listas de correo de empresas. Si eres responsable de una reunión de networking o de un concierto de renombre que llega a la ciudad, presta atención. Aquí encontrará información detallada sobre qué esperar y cómo manejar la privacidad en los eventos.
En este artículo, cubriremos algunas de las mejores prácticas de privacidad para su próximo evento:
- Requisitos legales de ubicación
- Establece un propósito y recopila solo lo que necesitas
- Incluir un aviso de privacidad al recopilar información
- Participación individual: obtenga el consentimiento activo antes de utilizar esos datos
- Problemas con las fotografías
- Fotografía en eventos públicos versus privados
- Reconocimiento facial en eventos
- ¿Qué pasa con el monitoreo por CCTV?
- Protección de datos
- Cuándo deshacerse de la información de los asistentes
- ¿Qué pasa si desidentifico los datos?
- Usar una aplicación o servicio de administración de terceros
- ¿Pueden los asistentes disfrutar del evento sin utilizar una aplicación de terceros?
Requisitos legales de ubicación
¿Dónde será el evento?
Celebrar la conferencia anual de este año en Japón, por ejemplo, podría ser una medida popular, pero preste atención ala Ley de Protección de Datos Personales. Dependiendo del país, estado o provincia del evento, pueden aplicarse diferentes regulaciones. En Canadá, los eventos pagos pueden estar sujetos a la Ley de Protección de Información Personal y Documentos Electrónicos. La más reciente en los Estados Unidos es la Ley de Privacidad del Consumidor de California. Sin embargo, la ley solo se aplica cuando se procesan datos de más de 50.000 clientes, por lo que es posible que no se exija el cumplimiento de eventos pequeños o locales. Por otro lado, eventos populares como el Convención del Cómic de San Diego , se sabe que atraen a más de 135.000 asistentes. ¿Cuántas personas esperas?
Si se espera una audiencia internacional, las cosas pueden complicarse un poco más. Por ejemplo, los visitantes de la Unión Europea ya no tendrán protecciones del RGPD si visitan un evento en suelo estadounidense. De acuerdo a Revista HIPAA :
“El GDPR requiere que los datos personales de una persona que reside en un país de la UE estén sujetos a ciertas salvaguardias y sus derechos y libertades sobre los datos deben estar protegidos. Cuando una persona abandona un país de la UE y viaja a un país no perteneciente a la UE, ya no está protegida por el RGPD”.
Sin embargo, como proveedor de correo electrónico Despacho Como señala, hay ocasiones en las que el RGPD se aplica a ciudadanos estadounidenses, como cuando un residente estadounidense visita Francia.
Los organizadores de eventos también deben conocer las normas de privacidad durante el procesamiento en línea. Si los eventos se promocionan en los mercados europeos y permiten reservas en línea, el RGPD se aplicará a cualquier información personal recopilada mientras el residente reserva desde casa.
Establece un propósito y recopila solo lo que necesitas
Cuando los futuros asistentes se inscriben en un evento, ¿qué información les pides? Una forma segura de ser consciente de la privacidad es reducir la información que entregan los asistentes. Esto reducirá su riesgo al tener menos información bajo su custodia. Los asistentes preocupados por la privacidad también agradecerán que evite preguntas intrusivas y la recopilación de datos.
Sopesa qué información es esencial para el evento y qué información sería bueno tener pero no es necesaria. La información demográfica, por ejemplo, puede ser valiosa para un análisis posterior, pero ¿es necesaria para la asistencia? ¿Hay algún motivo por el que necesites tanto el correo electrónico como el número de teléfono de un huésped, o sería suficiente con uno? Otras cosas a considerar incluyen:
- ¿Qué valor podría tener para el asistente proporcionar su información?
- ¿Existen restricciones que requieran información para la verificación de los asistentes? Un lugar interior que requiere asientos reservados, por ejemplo, es diferente a una reunión en la que todo vale en un parque público.
- ¿Necesitas verificar la edad? No todos los eventos son aptos para familias, pero antes de recopilar fechas de nacimiento completas para confirmar las edades, considere utilizar únicamente el año de nacimiento.
- ¿Existen otras restricciones para los invitados, como limitaciones de entradas para residentes de áreas específicas o miembros de una organización? Prepárese para explicar por qué necesita detalles específicos si los solicita.
Incluir un aviso de privacidad al recopilar información
Dígales a los asistentes cuáles son sus planes para su información. Los avisos de privacidad brindan información sobre lo que recopila y por qué, y cómo pretende manejar sus datos personales. Las preguntas que debe responder en su aviso de privacidad incluyen:
- ¿Qué información se recopila?
- ¿Cómo se utilizará la información?
- ¿Quién lo verá? ¿Se compartirá la información con terceros para otros usos?
- ¿Cuánto tiempo se conservarán los datos personales?
- ¿Será agregado o anonimizado?
- ¿Cómo se asegurará?
- ¿Los asistentes pueden acceder y/o actualizar su información?
- ¿Está utilizando terceros para el procesamiento de la información?
- ¿A quién contactan si tienen preguntas o inquietudes?
El objetivo es ser abierto y transparente con los asistentes. Su aviso de privacidad debe ser fácil de leer y de fácil acceso para los posibles asistentes. Brinde a sus asistentes la oportunidad de leer el aviso antes de entregar la información. Agregue enlaces de aviso de privacidad en formularios de registro en línea y en sitios web que brinden detalles del evento. Los huéspedes potenciales siempre deben tener la opción de comprender qué sucede con su información antes de registrarse.Tenga en cuenta que es posible que se requiera información adicional en su aviso de privacidad según la ley.
Si necesita ayuda para redactar el aviso, hay muchas opciones disponibles en línea. Los recursos útiles incluyen:
- Una lista de verificación de la Oficina del Comisionado de Información (Reino Unido y RGPD)
- Diez consejos para una mejor política de privacidad online (Oficina canadiense del Comisionado de Privacidad)
- Generador de políticas de privacidad (Comprar)
- Plantilla de aviso de privacidad (GDPR.eu)
Participación individual: obtenga el consentimiento activo antes de utilizar esos datos
Si el asistente acepta los términos del aviso de privacidad, infórmese y dé su consentimiento antes de recopilar o utilizar información personal.
Una buena práctica es ofrecer a los asistentes opciones sobre cómo compartir información. ¿Quieres colocar sus datos de contacto en una lista de correo? ¿Le gustaría analizar datos demográficos para futuras mejoras? Presente una opción que permita a los asistentes decidir si desean compartir su información para fines adicionales.
Si bien puede resultar tentador obtener el consentimiento con una casilla marcada previamente durante el registro, no lo haga. En cambio, al obtener el consentimiento para utilizar información personal, las casillas de verificación deben estar en blanco o configuradas en 'no' de forma predeterminada. Según algunas leyes, el consentimiento puede no ser válido de otro modo.
Si la información personal incluye una dirección de correo electrónico, la legislación canadiense antispam exige la aceptación antes de utilizar la información de contacto. De acuerdo a La Comisión Canadiense de Radio, Televisión y Telecomunicaciones ,'No se puede utilizar una casilla previamente marcada para solicitar el consentimiento de un consumidor, ya que se asume el consentimiento'.El RGPD va más allá. Artículo 25 requiere el cumplimiento utilizando la protección de datos desde el diseño y por defecto.
Problemas con las fotografías
¿Habrá fotografía en tu evento? ¿Tienes planes para alguna foto oficial? ¿Espera o anima a los invitados a tomar sus propias fotografías? ¿Se podrían compartir las imágenes en las redes sociales? La privacidad de eventos y la fotografía son áreas en las que puede resultar difícil navegar. Antes del auge de los teléfonos inteligentes, tomar fotografías en un evento implicaba planificarlo con anticipación. Los participantes tendrían que acordarse de traer una cámara y luego compartirían fotografías reveladas con unos pocos elegidos. Ahora, la mayoría de los asistentes tendrán a mano una potente cámara que puede compartir imágenes en todo el mundo al instante.
Sin embargo, puede que no todos los presentes en el evento estén bien apareciendo en fotografías públicas. Los padres de niños pequeños, por ejemplo, pueden sentirse incómodos con que el rostro de su hijo aparezca en los momentos destacados de las redes sociales. Escribiendo para Correo Huffington ,Caitlin McCormack escribe que los padres tienen preocupaciones sobre la seguridad de sus hijos en las fotografías, particularmente en las imágenes compartidas en línea. Otras veces, los empleados pueden enfrentar reprimendas por fotografías tomadas en eventos que entran en conflicto con la reputación profesional. Escribiendo en Por qué las redes sociales pueden ser un campo minado para los profesores , Geoff Bartlett recuerda casos de educadores que enfrentaron medidas disciplinarias por fotografías de redes sociales que los mostraban bebiendo alcohol. Si organiza un evento, ¿cuándo debe intervenir y cómo?
Fotografía en eventos públicos versus privados
Al considerar las restricciones de fotografía, considere el lugar y el tipo de evento. ¿Cuándo pueden esperar los huéspedes tomar fotografías frecuentes en la zona? La ubicación marca la diferencia. Por ejemplo, considere Filmación y fotografía en propiedad universitaria. por la Universidad de Calgary. La política establece que'Por lo general, no es una invasión irrazonable de la privacidad tomar fotografías de personas que asisten o participan en un evento público relacionado con la universidad, como una ceremonia de graduación, un evento deportivo o un programa cultural'.
Pero hay una distinción en la postura de la UoC entre eventos públicos y privados. En eventos privados, la Universidad exige informar a los asistentes de la presencia de fotografía. Anuncie la presencia de fotografías y esté preparado para ayudar a las personas que tengan preguntas.“Se debe utilizar señalización y también se puede hacer un anuncio verbal para reforzar el mensaje”.En otras palabras, tenga claro qué deben esperar los asistentes y, si se sienten incómodos, permítales decidir no asistir.
Tomando como guía la política de la universidad, incluir información sobre fotografía dentro del aviso de privacidad del evento cuando los asistentes se registren. Los avisos más pequeños o un letrero sobre los límites de fotografía cuando llegan los asistentes también son un buen recordatorio. Evite una pared llena de texto legal: lo simple es mejor. Considere un letrero de no cámara si no se permite la fotografía, o una declaración si habrá fotógrafos presentes. Para eventos sobre temas delicados o en los que haya menores presentes, considere un recordatorio.
Es posible que no pueda controlar todas las acciones, pero la mayoría respetará las solicitudes si se le solicita. Sobre todo, si las personas solicitan que se las mantenga alejadas de las fotografías o de las redes sociales después, respete sus deseos.
Si toma fotografías en presencia de niños, pregúntele primero a sus padres o tutores. Si organiza con frecuencia eventos en los que se fotografiarán niños, El centro de recursos , un sitio web que ayuda con eventos comunitarios, recomienda obtener el consentimiento por escrito.'Los padres/tutores pueden firmar esto para decir que dan permiso para que sus hijos sean fotografiados/filmados y para que las imágenes se utilicen de determinadas maneras'.
Reconocimiento facial en eventos
¿El reconocimiento facial aparecerá en su evento? Ciertamente, algunos desarrolladores de software así lo esperan. Algunas nuevas empresas están intentando introducirse en la planificación de eventos mediante el uso de herramientas de reconocimiento facial. La idea es brindar experiencias personalizadas a los asistentes, realizar un seguimiento de la participación en tiempo real o hacer cumplir la seguridad. Algunas empresas de software de gestión de eventos, incluidas ExpoLogic , ahora permite el registro de reconocimiento facial. Biometría Zenus es otro actor esperanzador que anuncia 'análisis de eventos sobrehumanos'.
Sin embargo, el reconocimiento facial cansa a los invitados, y con razón. Cada mes surgen nuevas historias sobre posibles abusos de la tecnología. Más recientemente, Kashmir Hill y el New York Times expuso Clearview AI, una startup que ya está siendo utilizada por más de 600 agencias encargadas de hacer cumplir la ley. Según Isaac Carey con Cambio , la privacidad es un obstáculo importante para los organizadores de eventos que desean incorporar el reconocimiento facial.
'A medida que el reconocimiento facial se vuelve más común, aumentan las preocupaciones sobre la privacidad'.
¿Qué pasa con el monitoreo por CCTV?
El monitoreo por CCTV ofrece preocupaciones ligeramente diferentes a las de la fotografía general. Por un lado, las imágenes de circuito cerrado tienen limitaciones en cuanto a dónde se pueden ver las imágenes. Por otro lado, la tecnología CCTV es sinónimo de videovigilancia por una razón. Según Richard Perkins conLindo, CCTV juega un papel vital en las investigaciones policiales.
Si las imágenes pueden identificar a personas, se consideran una forma de información personal y se debe tener en cuenta la privacidad. ¿Cómo informará a los invitados que las cámaras CCTV están en acción? Si el lugar del evento incluye monitoreo de CCTV, ¿sabe cómo los asistentes pueden ejercer sus derechos de privacidad? Bloggers para TinsleyNET El administrador recomienda hacer un poco de tarea.
“Necesitará una forma de proporcionar imágenes de CCTV a un usuario si envía una solicitud de información o si existe un requisito legal que solicita la información. ¿Puede recuperar y proporcionar fácilmente la información solicitada?
También querrás confirmar cómo se utilizarán las imágenes y durante cuánto tiempo se conservará la información. Consideremos los Juegos Olímpicos y Paralímpicos de Invierno de 2006, en los que se desplegaron 900 cámaras CCTV en las sedes olímpicas. Según un informe del Oficina del Comisionado de Privacidad de Canadá , el evento cayó bajo la jurisdicción de la Ley de Privacidad, lo que requiere que la ISU cree pautas para la'recopilación, uso, divulgación, retención y eliminación de imágenes de vídeo'.Si el monitoreo de CCTV estará vigente, revise el cumplimiento de la privacidad del lugar o pregunte si pueden conectarlo con los proveedores de monitoreo.
Protección de datos
Una vez que tenga la información personal de los asistentes en su poder, dependerá de usted protegerla. Al almacenar la información en una PC doméstica o en la red de su organización, asegúrese de realizar una verificación de seguridad. ¿Qué salvaguardias tiene implementadas? Las salvaguardas dependerán en gran medida de la información que solicite, cómo la recopilará y dónde se conservará.
- Si procesa y almacena los datos usted mismo, no se salte las actualizaciones de seguridad del sistema ni el antimalware, y asegúrese de cifrar los datos. El cifrado es una protección particularmente valiosa para la privacidad, ya que es un código que oculta información. Puede implementar herramientas de cifrado en dos áreas. En primer lugar, considere cifrar la información en tránsito, como cuando se capturan datos a través de formularios en línea. Para hacer esto, necesitará obtener un certificado SSL válido para su sitio web para que utilice HTTPS. En segundo lugar, almacene los datos en un formato cifrado cuando estén en reposo; cuando no esté en uso activo. Para obtener más detalles sobre los tipos de cifrado, consulte el artículo de Josh Lake. Explicación de los tipos, protocolos y algoritmos de cifrado comunes .
- ¿Utilizar a un tercero para el procesamiento de datos? Empresas incluidas Servicios de datos de convenciones se ofrecen a hacer gran parte del trabajo pesado por usted, pero eso significa confiar en su seguridad. Haga su tarea: ¿el servicio ofrece alguna información sobre sus propias prácticas, como el cifrado y el mantenimiento de datos detrás de un firewall? ¿Hay alguna información promocional a la que pueda acceder o alguien con quien pueda hablar? Un buen tercero no podrá informarle de todos los detalles, como el software que utilizan para la protección, pero debería poder proporcionarle una lista sólida de medidas de seguridad. Si el tercero se salta las medidas de protección básicas, busque a otra persona: en caso de una violación de datos, independientemente de dónde se almacenen los datos, usted puede ser responsable.
- Si organiza un evento pago, ¿aceptará tarjetas de crédito o solo pagará en efectivo? Las tarjetas de crédito son populares. Según Rick Maughan con el Correo de Nueva York , sólo uno de cada cuatro estadounidenses lleva dinero en efectivo. En el extranjero las perspectivas son similares, según Amelia Hill en El guardián. Esto significa que querrás considerar aceptar pagos electrónicos, pero si es así, hay un problema: una mayor seguridad debería ser una prioridad. Nada dice más 'robo' que el procesamiento de tarjetas de crédito sin protección. Si su evento es pequeño, lo mejor que puede hacer es evitar el riesgo y utilizar proveedores externos. Empresas incluidas PayPal , Raya , Perseguir y Cuadrado manejar el procesamiento de tarjetas de crédito para sus clientes. Estos servicios a menudo cobran una tarifa, pero no es nada comparado con los costos de configurar su propio proceso para recibir pagos o, como enfatiza Square, el fuertes multas si los datos son vulnerados.
- Si su evento incluye un sitio web, ¿qué seguridad existe para proteger a los visitantes? Deberá proteger algunas cosas, incluido todo lo que envíen los asistentes. Joyce Tammany de Bloqueo del sitio ofrece una sólida introducción a la seguridad web, incluidos los tipos de ataques contra los que deberá estar en guardia y los tipos de herramientas para bloquear las cosas.
- ¿Tienes otras personas que te ayuden a organizar el evento? No importa dónde los asistentes proporcionen su información o dónde se conserve, establezca límites de acceso. La información personal siempre debe ser necesaria. A menos que alguien de su equipo necesite la información para procesarla como parte del evento, mantenga los datos personales fuera de su alcance. La limitación del acceso se puede realizar mediante cuentas de usuario limitadas, restricciones de bases de datos o bloqueo de medios físicos cuando no estén en uso.
Si es nuevo en los controles de seguridad y necesita ayuda, considere las guías en línea que incluyen Guía para pequeñas empresas sobre protección de datos , Cómo las pequeñas empresas mejoran la ciberseguridad sin gastar mucho dinero , o La guía para pequeñas empresas sobre conceptos básicos de seguridad de red .
Cuándo deshacerse de la información de los asistentes
Todos los buenos tiempos deben llegar a su fin, al igual que sus reservas de datos. Las mejores prácticas establecen que solo se conserva información personal mientras cumpla su propósito original. Para eventos, esto significa que una vez finalizada la fecha, deberás destruir la información personal que tengas. Borrar datos que se ha tomado el tiempo de seleccionar puede parecer duro, pero en realidad es una medida de protección importante.
En primer lugar, si cumple con PIPEDA, el RGPD u otras leyes de privacidad, la ley puede limitar la retención de datos.'Los datos personales se conservarán en una forma que permita la identificación de los interesados durante el tiempo necesario para los fines para los cuales se procesan los datos personales'.En el caso del RGPD, los asistentes tendrán la derecho a borrar de información personal, a menos que la información sea necesaria para cumplir con otras obligaciones legales.
La práctica también es una salvaguardia, que protege a los asistentes anteriores y su propia reputación en caso de incumplimiento. Como escribe Bob Violino para OSC en línea ,“Una parte clave de cualquier estrategia de seguridad de la información es deshacerse de los datos cuando ya no son necesarios. No hacerlo puede dar lugar a graves violaciones de las políticas de privacidad y protección de datos, problemas de cumplimiento y costos adicionales”.
Algunas leyes pueden exigirle que proporcione a los asistentes información de contacto del controlador de datos, la persona a cargo de almacenar y proteger los datos del usuario. El huésped debe poder comunicarse con esta persona para solicitar actualizaciones o eliminación de sus datos.
¿Qué pasa si desidentifico los datos?
Si cree que los datos aún pueden contener información valiosa incluso después de que finalice el evento, considere la posibilidad de anonimizarlo. Esto eliminará nombres, direcciones de correo electrónico, números de teléfono y direcciones físicas que podrían identificar a un individuo, pero dejará otra información no identificable sobre los asistentes. Los datos agregados, seudónimos y anónimos ofrecen un almacenamiento más seguro de información personal.
Sin embargo, tenga en cuenta que no están exentos de preocupaciones sobre la privacidad. Si planea conservar información anónima después del evento, informe a los asistentes en su aviso. Para más información, ver Comprender los datos agregados, anonimizados y anónimos .
Usar una aplicación o servicio de administración de terceros
¿Estás pensando en utilizar aplicaciones de terceros a la hora de organizar tu evento? Ciertamente tienes opciones.Evento brillanteyReunirseson populares para aumentar el conocimiento de eventos y para gestionar las inscripciones. Otras aplicaciones comoWhovaProporcionar mejoras para el evento en sí, como abrir oportunidades de networking o participar en debates. un blog de Pacto de riesgo enumera 17 aplicaciones móviles de eventos para conferencias, que ofrecen de todo, desde guías móviles hasta actualizaciones en tiempo real.
Sin embargo, antes de comenzar con nuevas cuentas y planificar la integración de aplicaciones, preste atención a cómo estos terceros utilizarán los datos de sus asistentes. Aplicaciones comoEvento brillantefacilitar el registro de los invitados, pero la empresa también mantiene'información personal proporcionada por usted y las personas que se registran para sus eventos',escribe Seth Shoultes con EventoEspresso .“Eventbrite también promociona a sus clientes después de comprar las entradas. Entonces, en última instancia, los datos de sus clientes están fuera de su control”.Otros productos de la competencia ofrecen condiciones similares. Sastre de boletos ,por ejemplo, incluye la capacidad de “realizar publicidad de retargeting” como parte del cumplimiento del interés legítimo de la empresa.
Descubra qué información personal recopila y procesa la aplicación de los asistentes. ¿Tiene configuraciones de privacidad internas que las personas pueden ajustar? ¿Existe alguna opción de privacidad sobre la que tenga control, como de quién ¿Opciones para obtener el consentimiento? Si tu evento debe cumplir con las normas de privacidad, ¿la aplicación también es compatible? El RGPD coloca la responsabilidad de confirmar el cumplimiento del encargado del tratamiento en el responsable del tratamiento, que puede ser el organizador del evento. Sobre todo, ya sea que esté utilizando Google Analytics en el sitio web del evento para realizar un seguimiento de los visitantes o un conjunto completo de aplicaciones del evento para brindar asistencia a los visitantes, informe a los invitados que están en uso. TérminosFeed Le recomendamos encarecidamente comunicar la existencia y el tratamiento de datos de apps y de terceros dentro del aviso de privacidad.
'Incluso si no recopila información personal de los usuarios, pero tiene un tercero que almacena los datos de los clientes para procesar la información de facturación, debe comunicarlo claramente'.
¿Pueden los asistentes disfrutar del evento sin utilizar una aplicación de terceros?
Si bien las herramientas en línea para la organización de eventos son comunes, no todos los invitados tendrán acceso a ellas o se sentirán cómodos usándolas. Facebook, por ejemplo, ha lanzado Facebook Local, una aplicación creada para buscar eventos en la zona. Los usuarios no pueden comprar entradas en la aplicación, pero Casey Newton con El borde informa que el desarrollo de la aplicación es“una fuerte sugerencia que llegará pronto”. Si lo hace, probablemente generará preguntas e inquietudes sobre la necesidad de que las cuentas de Facebook asistan.
Cuando decida utilizar una aplicación de terceros, considere las opciones para invitados. ¿Sus invitados necesitarán crear una cuenta en la aplicación para asistir a su evento o hay otras opciones de registro disponibles? Si se utiliza una aplicación de terceros para cobrar pagos, ¿habrá otras opciones, como seleccionar más de un procesador de pagos o aceptar efectivo en la puerta? Aplicaciones como MultitudBrújula mejorar los eventos con características como facilitar la participación en debates sobre eventos, pero ¿habrá oportunidades de participación sin esto? ¿Se sentirán cómodos confiando tanto a usted como al tercero su información personal? Proporcione detalles sobre por qué se utilizan las aplicaciones y permita a los invitados hacer una selección según sus propias preferencias de privacidad.