Política de privacidad
Una política de privacidad es un documento legal que plantea cómo una organización retiene, procesa o maneja los datos del usuario y cliente. Esta es mayoritariamente usada en un sitio de internet, donde el usuario crea una cuenta. La póliza de privacidad es un contrato en el cual susodicha organización promete mantener la información personal del usuario. Cada organización del internet tiene su propia póliza de privacidad, y cada una de ellas varía. Es la responsabilidad del usuario leerla, para asegurarse de que no hay condiciones por las cuales se lleve a cabo un intercambio de información del usuario, la cual puede ser vista como una violación de privacidad.
Historia
[editar]En 1968, el Consejo de Europa empezó a estudiar los efectos de la tecnología en los derechos humanos, reconociendo las nuevas amenazas que planteaba la tecnología informática, que podía conectarse y transmitir de formas que antes no estaban ampliamente disponibles. En 1969, la Organización para la Cooperación y el Desarrollo Económico (OCDE) empezó a examinar las implicaciones de la salida de información personal del país. Todo ello llevó al consejo a recomendar la elaboración de una política de protección de los datos personales en poder de los sectores público y privado, lo que dio lugar al Convenio 108. En 1981 se introdujo el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108). Una de las primeras leyes sobre privacidad que se promulgaron fue la Ley de Datos sueca de 1973, seguida de la Ley de Protección de Datos de Alemania Occidental de 1977 y la Ley francesa de Informática, Bancos de Datos y Libertades de 1978.
En Estados Unidos, la preocupación por la política de privacidad a partir de finales de los 60 y los 70 condujo a la aprobación de la Ley de Informes de Crédito Justos (Fair Credit Reporting Act). Aunque esta ley no se concibió como una ley de privacidad, dio a los consumidores la oportunidad de examinar sus expedientes de crédito y corregir errores. También impuso restricciones al uso de la información en los registros de crédito. A finales de la década de 1960, varios grupos de estudio del Congreso examinaron la creciente facilidad con la que la información personal podía automatizarse y compararse con otros datos. Uno de estos grupos fue un comité asesor del Departamento de Salud y Servicios Humanos de Estados Unidos, que en 1973 redactó un código de principios denominado Prácticas de Información Justas. El trabajo del comité asesor desembocó en la Ley de Privacidad de 1974. Estados Unidos firmó las directrices de la OCDE en 1980.
En Canadá, en 1977 se creó el cargo de Comisario de Privacidad en virtud de la Ley Canadiense de Derechos Humanos. En 1982, el nombramiento de un Comisario de Privacidad formó parte de la nueva Ley de Privacidad. Canadá firmó las directrices de la OCDE en 1984.
Prácticas legítimas en materia de información
[editar]Existen diferencias significativas entre la legislación de protección de datos de la UE y la estadounidense. Estas normas deben cumplirlas no sólo las empresas que operan en la UE, sino también cualquier organización que transfiera información personal recopilada sobre ciudadanos de la UE. En el año 2000, la UE y Estados Unidos alcanzaron un acuerdo llamado Safe Harbor. Debido a esto el Departamento de Comercio de Estados Unidos trabajó para garantizar el cumplimiento de la legislación por parte de las organizaciones estadounidenses en el marco del Programa de Safe Harbor de inclusión voluntaria. En 2015, este acuerdo fue declarado inválido debido a las revelaciones de Edward Snowden. Tras esto, en 2016, se llegó a otro acuerdo denominado Escudo de la Privacidad. El TJUE declaró inválido el acuerdo en el año 2020. En 2022, los líderes de Estados Unidos y la UE anunciaron un principio de acuerdo para la transferencia de datos.
Aplicación Actual
[editar]En 1995, la Unión Europea (UE) presentó la Directiva de Protección de Datos para sus Estados miembros. Como resultado, muchas organizaciones que hacen negocios dentro de la UE comenzaron a redactar políticas para cumplir con esta Directiva. En el mismo año, la Comisión Federal de Comercio de los Estados Unidos (FTC) estuvo estudiando este problema, y en 1998, publicó los Principios de Información Justa (Fair Information Principles),[1] que establecían una serie de principios rectores no vinculantes para el uso comercial de la información personal. Aunque no imponían una política, estos principios orientaban sobre las preocupaciones que iban surgiendo acerca de cómo redactar políticas de privacidad.
Estados Unidos no cuenta con una normativa federal específica que establezca la aplicación universal de las políticas de privacidad. En ocasiones, el Congreso ha considerado la posibilidad de promulgar leyes integrales que regulen la recopilación de información en línea, como la Ley de mejora de la privacidad de los consumidores en Internet y la Ley de protección de la privacidad en línea de 2001, pero no se ha promulgado ninguna. En 2001, la FTC manifestó su preferencia expresa por "más aplicación de la ley, no más leyes"[2] y promovió un enfoque continuo en la autorregulación del sector.
En muchos casos, la FTC hace cumplir los términos de las políticas de privacidad como promesas hechas a los consumidores, utilizando la autoridad otorgada por la Sección 5 de la Ley de la FTC, que prohíbe las prácticas de marketing desleales o engañosas. Los poderes de la FTC están legalmente restringidos en algunos casos; por ejemplo, las aerolíneas están sujetas a la autoridad de la Administración Federal de Aviación, y las compañías de telefonía móvil están sujetas a la autoridad de la Comisión Federal de Comunicaciones.
En algunos casos, las partes privadas hacen cumplir los términos de las políticas de privacidad mediante la presentación de demandas colectivas, que pueden dar lugar a acuerdos o sentencias. Sin embargo, estas demandas a menudo no son una opción, debido a las cláusulas de arbitraje en las políticas de privacidad u otros términos de los acuerdos de servicio.
Legislación aplicable
[editar]Unión Europea
[editar]El derecho a la intimidad es un ámbito jurídico muy desarrollado en Europa. Todos los Estados miembros de la Unión Europea (UE) son también signatarios del Convenio Europeo de Derechos Humanos (CEDH). El artículo 8 del CEDH establece el derecho a que se respete "la vida privada y familiar, el domicilio y la correspondencia", con ciertas restricciones. El Tribunal Europeo de Derechos Humanos ha dado a este artículo una interpretación muy amplia en su jurisprudencia.
En 1980, en un esfuerzo por crear un sistema global de protección de datos en toda Europa, la Organización para la Cooperación y el Desarrollo Económico (OCDE) publicó sus "Recomendaciones del Consejo relativas a las directrices que rigen la protección de la intimidad y los flujos transfronterizos de datos personales".[3] Los siete principios que rigen las recomendaciones de la OCDE para la protección de datos personales son los siguientes:
- Notificación: los interesados deben ser informados de la recogida de sus datos;
- Finalidad: los datos sólo deben utilizarse para el fin indicado y no para ningún otro;
- Consentimiento: los datos no deben divulgarse sin el consentimiento del interesado;
- Seguridad: los datos recopilados deben mantenerse a salvo de posibles abusos;
- Divulgación: los interesados deben ser informados de quién recopila sus datos;
- Acceso: los interesados deben poder acceder a sus datos y corregir cualquier dato inexacto.
- Rendición de cuentas: los interesados deben disponer de un método para exigir responsabilidades a los recopiladores de datos que no respeten los principios anteriores.
Las directrices de la OCDE, sin embargo, no eran vinculantes, y las leyes sobre privacidad de datos seguían variando mucho en Europa. Estados Unidos, aunque respaldó las recomendaciones de la OCDE, no hizo nada para aplicarlas en su territorio. Sin embargo, los siete principios se incorporaron a la Directiva de la UE.
En 1995, la UE adoptó la Directiva de Protección de Datos, que regula el tratamiento de datos personales en la UE. Había diferencias significativas entre las leyes de protección de datos de la UE y las equivalentes de Estados Unidos. Estas normas deben ser cumplidas no sólo por las empresas que operan en la UE, sino también por cualquier organización que transfiera información personal recopilada relativa a un ciudadano de la UE. En 2001, el Departamento de Comercio de Estados Unidos trabajó para garantizar el cumplimiento legal de las organizaciones estadounidenses en el marco de un Programa de Safe Harbor. La FTC ha aprobado a varios proveedores estadounidenses para certificar el cumplimiento del Safe Harbor entre Estados Unidos y la UE. Desde 2010, Safe Harbor es criticado especialmente por los protectores de la privacidad designados públicamente en Alemania porque la voluntad de la FTC de hacer valer las normas definidas no se había aplicado de forma adecuada, incluso después de revelar desajustes.[4]
A partir del 25 de mayo de 2018, la Directiva de Protección de Datos es sustituida por el Reglamento General de Protección de Datos (RGPD), que armoniza las normas de privacidad en todos los Estados miembros de la UE. El RGPD impone normas más estrictas sobre la recopilación de información personal perteneciente a los sujetos de datos de la UE, incluido el requisito de que las políticas de privacidad sean más concisas, claramente redactadas y transparentes en su divulgación de cualquier recopilación, procesamiento, almacenamiento o transferencia de información de identificación personal. Los responsables del tratamiento también deben ofrecer la posibilidad de que sus datos sean transferibles en un formato común y de que se borren en determinadas circunstancias.[5]
Estados Unidos
[editar]Aunque no existe una ley de aplicación general, algunas leyes federales rigen las políticas de privacidad en circunstancias específicas, como por ejemplo:
- La Ley de Protección de la Privacidad Infantil en Internet (COPPA, por sus siglas en inglés[6] afecta a los sitios web que recopilan a sabiendas información sobre niños menores de 13 años o dirigida a ellos. Estos sitios web deben publicar una política de privacidad y cumplir una serie de restricciones sobre el intercambio de información. La COPPA incluye una disposición de "Safe Harbor" para promover la autorregulación del sector.
- La Ley Gramm-Leach-Bliley exige a las instituciones "que se dediquen de forma significativa" a actividades financieras proporcionen "declaraciones claras, visibles y precisas" de sus prácticas de intercambio de información. La Ley también restringe el uso y el intercambio de información financiera.
- Las normas de privacidad de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA, por sus siglas en inglés) exigen la notificación por escrito de las prácticas de privacidad de los servicios sanitarios, y este requisito también se aplica si el servicio sanitario es electrónico.
- La Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés) otorga a los consumidores un mayor control sobre la información personal que las empresas recopilan sobre ellos, y el reglamento de la CCPA proporciona orientación sobre cómo aplicar la ley.
- La Ley de Derechos de Privacidad de California de 2020 (CPRA, por sus siglas en inglés) amplía las obligaciones en materia de privacidad y seguridad de la información de la mayoría de las empresas que operan en California.
Algunos estados han implementado regulaciones más estrictas para las políticas de privacidad. Según la Ley de protección de la privacidad en línea de California de 2003, cualquier sitio web comercial o servicio en línea que recopile información personal sobre los residentes de California debe publicar una política de privacidad en el sitio. Tanto Nebraska como Pensilvania tienen leyes que tratan como fraude las declaraciones engañosas en las políticas de privacidad publicadas en los sitios web.
Canadá
[editar]La Ley Federal de Privacidad de Canadá, que se aplica al sector privado, es formalmente llamada la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA, por sus siglas en inglés). El objetivo de esta ley es establecer normas que regulen la recogida, uso y divulgación de información personal por parte de organizaciones comerciales. La organización está autorizada a recopilar, divulgar y utilizar dicha información para los fines que una persona razonable consideraría apropiados según las circunstancias.
La ley establece que el Comisionado de Privacidad de Canadá sea el Defensor del Pueblo para atender las quejas que se presenten contra las organizaciones. El Comisionado trabaja para resolver los problemas a través del cumplimiento voluntario, en lugar de la aplicación de mano dura. Además, investiga las quejas, realiza auditorías, promueve la sensibilización y lleva a cabo investigaciones sobre cuestiones de privacidad.
Australia
[editar]La Ley de Privacidad de 1988 establece el marco jurídico de la privacidad en Australia.[7] Incluye una serie de principios nacionales de privacidad. La Ley de Privacidad contiene trece principios de privacidad. Supervisa y regula la recopilación, uso y divulgación de la información privada de las personas, se asegura de quién es responsable en caso de violación y de los derechos de las personas a acceder a su información.[8]
India
[editar]La Ley de Tecnología de la Información (Enmienda) de 2008 introdujo cambios significativos en la Ley de Tecnología de la Información de 2000, introduciendo el artículo 43A. Este artículo prevé indemnizaciones en caso de que una empresa sea negligente en la aplicación y el mantenimiento de prácticas y procedimientos de seguridad razonables y, por tanto, cause pérdidas o beneficios ilícitos a cualquier persona. Esto se aplica cuando una persona jurídica posee, trata o maneja cualquier dato o información personal sensible en un recurso informático que posee, controla u opera.
En 2011, el Gobierno de la India prescribió las Normas sobre tecnología de la información (prácticas y procedimientos de seguridad razonables e información o datos personales sensibles) de 2011 mediante su publicación en el Boletín Oficial.[9] Estas normas exigen que una persona jurídica proporcione una política de privacidad para el manejo o el tratamiento de información personal, incluidos los datos o la información personales sensibles. Dicha política de privacidad debe constar de la siguiente información, de conformidad con las normas:
- Declaraciones claras y fácilmente accesibles de sus prácticas y políticas;
- Tipo de información o datos personales o sensibles recogidos;
- Finalidad de la recogida y uso de dicha información;
- Divulgación de la información, incluidos los datos o información personales sensibles;
- Prácticas y procedimientos de seguridad razonables.
La política de privacidad debe publicarse en el sitio web de la persona jurídica y estar a disposición de los proveedores de información que hayan facilitado datos personales en virtud de un contrato legal.
Programas de certificación de la privacidad en línea
[editar]Los programas de certificación o "sello" en línea son un ejemplo de autorregulación industrial de las políticas de privacidad. Los programas de sellos suelen exigir la aplicación de prácticas de información justas según lo determinado por el programa de certificación y pueden requerir una supervisión continua del cumplimiento. TRUSTArc (antes TRUSTe),[10] el primer programa de sellos de privacidad en línea, contaba con más de 1.800 miembros en 2007. Otros programas de sellos en línea son Trust Guard Privacy Verified,[11] eTrust,[12] y Webtrust.[13]
Implementación técnica
[editar]Algunos sitios web también definen sus políticas de privacidad mediante P3P o Internet Content Rating Association (ICRA),[14] lo que permite a los navegadores evaluar automáticamente el nivel de privacidad que ofrece el sitio y permitir el acceso sólo cuando las prácticas de privacidad del sitio se ajustan a la configuración de privacidad del usuario. Sin embargo, estas soluciones técnicas no garantizan que los sitios web sigan realmente las políticas de privacidad declaradas. Estas implementaciones también requieren que los usuarios tengan un nivel mínimo de conocimientos técnicos para configurar los parámetros de privacidad de su propio navegador. Estas políticas de privacidad automatizadas no han sido populares ni entre los sitios web ni entre sus usuarios. Para reducir la carga de interpretar las políticas de privacidad individuales, Jøsang, Fritsch y Mahler han propuesto políticas reutilizables y certificadas disponibles en un servidor de políticas.[15]
Crítica
[editar]Muchos críticos han atacado la eficacia y legitimidad de las políticas de privacidad que se encuentran en Internet. Existen dudas sobre la eficacia de las políticas de privacidad reguladas por la industria. Por ejemplo, según el informe del año 2000 de la FTC titulado Privacy Online: Fair Information Practices in the Electronic Marketplace (Privacidad en línea: prácticas de información justas en el mercado electrónico) concluyó que, aunque la gran mayoría de los sitios web encuestados tenían algún tipo de información sobre privacidad, la mayoría no cumplía la norma establecida en los Principios de la FTC. Además, muchas organizaciones se reservan el derecho expreso de cambiar unilateralmente los términos de sus políticas. En junio de 2009, el sitio web TOSback[16] de la EFF empezó a rastrear este tipo de cambios en 56 servicios populares de Internet, incluido el seguimiento de las políticas de privacidad de Amazon, Google y Facebook.
Existen dudas sobre si los consumidores comprenden las políticas de privacidad y si estas les ayudan a tomar decisiones informadas. En un informe de 2002 del Stanford Persuasive Technology Lab se afirmó que el diseño visual de un sitio web tiene más influencia en la credibilidad del sitio que su política de privacidad.[17] Además, un estudio de 2007 de la Universidad Carnegie Mellon afirmaba que "cuando no se les presentaba información destacada sobre privacidad..." los consumidores eran "...propensos a comprar al vendedor con el precio más bajo, independientemente de las políticas de privacidad de ese sitio".[18] Sin embargo, el mismo estudio también demostró que, cuando la información sobre las prácticas de privacidad se presenta de forma clara, los consumidores prefieren a los vendedores que protegen mejor su privacidad y algunos están dispuestos a "pagar más por comprar en sitios web que protegen mejor la privacidad". También, una investigación realizada en 2007 por la Universidad de California, Berkeley, reveló que "el 75% de los consumidores cree que si un sitio tiene una política de privacidad significa que no compartirá datos con terceros", confundiendo la existencia de una política de privacidad con una amplia protección de la privacidad. Basándose en la naturaleza común de este malentendido, el investigador Joseph Turow argumentó ante la Comisión Federal de Comercio de EE. UU. que el término "política de privacidad" constituye, por tanto, una práctica comercial engañosa y que, en su lugar, debería utilizarse una redacción alternativa como "de qué forma utilizamos su información".
En general, las políticas de privacidad carecen de falta de precisión, especialmente cuando se comparan con la forma emergente de la Declaración de Uso de Datos. Mientras que las declaraciones de privacidad ofrecen una visión más general de la recogida y uso de datos, las declaraciones de uso de datos representan un tratamiento mucho más específico. Como resultado, las políticas de privacidad pueden no satisfacer la creciente demanda de transparencia que ofrecen las declaraciones de uso de datos.
Los investigadores han descubierto que los consumidores que provienen de diferentes culturas tienen reacciones basadas en sus culturas sobre el contenido de las políticas de privacidad. Esto puede afectar su disposición a compartir información personal.[19]
Los críticos también se cuestionan si los consumidores leen siquiera las políticas de privacidad o si las entienden. Según un estudio de 2001 realizado por la Privacy Leadership Initiative, solo el 3% de los consumidores leen detenidamente las políticas de privacidad, mientras que el 64% las ojea breve o directamente ni las lee.[20] Además, después de leer la declaración de privacidad, el usuario promedio puede tener más dudas que antes sobre la fiabilidad del sitio. Un posible problema es la longitud y complejidad de las políticas. De acuerdo con una investigación de Carnegie Mellon de 2008, la longitud media de una política de privacidad es de 2.500 palabras y su lectura requiere una media de 10 minutos. El estudio citaba que "las políticas de privacidad son difíciles de leer" y, como resultado, "se leen con poca frecuencia".[21] Sin embargo, cualquier intento de hacer que la información sea más comprensible a menudo simplifica tanto los detalles que no refleja con precisión el alcance de la compartición y venta de los datos de los usuarios. Esto se conoce como la "paradoja de la transparencia".
Véase también
[editar]Referencias
[editar]- ↑ Federal Trade Commission, Privacy Online: A Report to Congress (Junio de 1998).
- ↑ Kirby, Carrie "FTC drops the Call for New Internet Privacy Laws," SFGate, 5 de octubre del 2001. SFgate.com
- ↑ «Resumen sobre las Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales». www.oecd.org.
- ↑ «10 Jahre Safe Harbor – viele Gründe zum Handeln, kein Grund zum Feiern». www.datenschutzzentrum.de (en alemán). Archivado desde el original el 14 de octubre de 2015. Consultado el 7 de mayo de 2015.
- ↑ «¿Cómo solicitar el derecho al olvido en internet?». Muddlemetrics. Consultado el 14 de marzo de 2024.
- ↑ «Ley de protección de la privacidad en línea de los niños» (en inglés). FTC.gov.
- ↑ «Ley de privacidad de 1988» (en inglés australiano). AustLII. Consultado el 25 de junio de 2013.
- ↑ «Principios de privacidad de Australia». OAIC (en inglés australiano). Consultado el 26 de octubre de 2020.
- ↑ «Wayback Machine, The Gazette of India». web.archive.org. Archivado desde el original el 18 de mayo de 2015. Consultado el 28 de abril de 2023.
- ↑ «TrustArc» (en inglés).
- ↑ «Trust Guard» (en inglés).
- ↑ «eTrust» (en inglés).
- ↑ «WebTrust» (en inglés).
- ↑ «Internet Content Rating Association» (en inglés).
- ↑ Jøsang, Audun; Fritsch, Lothar; Mahler, Tobias (2010). «Privacy Policy Referencing». En Katsikas, Sokratis; Lopez, Javier; Soriano, Miguel, eds. Trust, Privacy and Security in Digital Business. Lecture Notes in Computer Science (en inglés) (Springer Berlin Heidelberg) 6264: 129-140. ISBN 978-3-642-15152-1. doi:10.1007/978-3-642-15152-1_12.
- ↑ «TOSback website» (en inglés).
- ↑ Fogg, B. J. "How Do People Evaluate a Web Site's Credibility? (abstract)" BJ, Stanford Persuasive Technology Lab, Noviembre de 2002, Consumerwebwatch.org. El Proyecto de Credibilidad Web de Stanford se puede encontrar en Stanford.edu.
- ↑ Acquisti, Alessandro y Janice Tsai, Serge Egelman, Lorrie Cranor, "The Effect of Online Privacy Information on Purchasing Behavior: An Experimental Study" Carnegie Mellon University, 2007. Econinfosec.org
- ↑ Wu, Kuang-Wen; Huang, Shaio Yan; Yen, David C.; Popova, Irina (1 de mayo de 2012). «The effect of online privacy policy on consumer privacy concern and trust». Computers in Human Behavior 28 (3): 889-897. ISSN 0747-5632. doi:10.1016/j.chb.2011.12.008. Consultado el 14 de octubre de 2023.
- ↑ Goldman, Eric. "On My Mind: The Privacy Hoax," Octubre de 2002, [1]
- ↑ "The Cost of Reading Privacy Policies," Aleecia M. McDonald & Lorrie Faith Cranor," [2], Julio de 2008.