Los principios de prácticas de información justa de la Comisión Federal de Comercio de los Estados Unidos (FIPP) son pautas que representan conceptos ampliamente aceptados sobre la práctica de información justa en un mercado electrónico. [1]
Introducción
Los Principios de prácticas de información equitativa de la FTC son el resultado de la investigación de la Comisión sobre la forma en que las entidades en línea recopilan y utilizan la información personal y las salvaguardias para garantizar que la práctica sea justa y proporcione una protección adecuada de la privacidad de la información . [2] La FTC ha estado estudiando cuestiones de privacidad en línea desde 1995, y en su informe de 1998, [3] la Comisión describió los Principios de Notificación, Elección, Acceso y Seguridad de Prácticas Justas de Información, ampliamente aceptados . [1] La Comisión también identificó Enforcement , el uso de un mecanismo confiable para proporcionar sanciones por incumplimiento como un componente crítico de cualquier programa gubernamental o autorregulador para proteger la privacidad en línea. [1] [4]
Historia y desarrollo
La Práctica Justa de Información fue inicialmente propuesta y nombrada [5] por el Comité Asesor del Secretario de los Estados Unidos sobre Sistemas Automatizados de Datos Personales en un informe de 1973, Registros, Computadoras y Derechos de los Ciudadanos , [6] publicado en respuesta al creciente uso de sistemas de datos automatizados que contiene información sobre personas. La contribución central del Comité Asesor fue la elaboración de un código de prácticas de información equitativa para los sistemas automatizados de datos personales. La Comisión de Estudio de Protección de la Privacidad también puede haber contribuido al desarrollo de los principios de FIP en su informe de 1977, Privacidad personal en una sociedad de la información . [7]
A medida que las leyes de privacidad se extendieron a otros países de Europa, las instituciones internacionales asumieron la privacidad con un enfoque en las implicaciones internacionales de la regulación de la privacidad. En 1980, el Consejo de Europa adoptó un Convenio para la protección de las personas con respecto al procesamiento automático de datos personales . [8] Al mismo tiempo, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) propuso directrices de privacidad similares en las Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales. [9] Las Directrices de la OCDE, el Convenio del Consejo de Europa y la Directiva de protección de datos de la Unión Europea [10] se basaron en los FIP como principios fundamentales. Las tres organizaciones revisaron y ampliaron la declaración original de EE. UU. De los FIP, siendo las Directrices de privacidad de la OCDE la versión más citada en los años siguientes. [11]
Principios
Los principios básicos de privacidad que abordan estos principios son:
1. Aviso / Conciencia [12] Los consumidores deben recibir un aviso de las prácticas de información de una entidad antes de que se recopile información personal de ellos. [12] Esto requiere que las empresas notifiquen explícitamente algunos o todos los siguientes:
- identificación de la entidad que recopila los datos;
- identificación de los usos a los que se destinarán los datos;
- identificación de los posibles destinatarios de los datos;
- la naturaleza de los datos recopilados y los medios por los que se recopilan;
- si el suministro de los datos solicitados es voluntario o obligatorio;
- las medidas adoptadas por el recopilador de datos para garantizar la confidencialidad, integridad y calidad de los datos. [12]
2. Elección / Consentimiento [13] La elección y el consentimiento en el sentido de la recopilación de información en línea significa dar a los consumidores opciones para controlar cómo se utilizan sus datos. Específicamente, la elección se relaciona con los usos secundarios de la información más allá de las necesidades inmediatas del recolector de información para completar la transacción del consumidor. Los dos tipos típicos de modelos de elección son 'opt-in' o 'opt-out'. El método 'opt-in' requiere que los consumidores den permiso de manera afirmativa para que su información se utilice para otros fines. Sin que el consumidor tome estos pasos afirmativos en un sistema de 'suscripción voluntaria', el recolector de información asume que no puede usar la información para ningún otro propósito. El método de "exclusión voluntaria" requiere que los consumidores rechacen afirmativamente el permiso para otros usos. Sin que el consumidor tome estos pasos afirmativos en un sistema de 'exclusión voluntaria', el recolector de información asume que puede usar la información del consumidor para otros propósitos. Cada uno de estos sistemas puede diseñarse para permitir que un consumidor individual adapte el uso de la información por parte del recolector de información para que se ajuste a sus preferencias marcando casillas para otorgar o denegar permisos para propósitos específicos en lugar de usar un método simple de "todo o nada". [13]
3. Acceso / Participación [14] El acceso, según se define en los Principios de prácticas de información equitativa, incluye no solo la capacidad del consumidor para ver los datos recopilados, sino también para verificar y cuestionar su exactitud. Este acceso debe ser económico y oportuno para que sea útil para el consumidor. [14]
4. Integridad / Seguridad [15] Los recopiladores de información deben asegurarse de que los datos que recopilan sean precisos y seguros. Pueden mejorar la integridad de los datos haciendo referencias cruzadas con bases de datos confiables y proporcionando acceso para que el consumidor los verifique. Los recopiladores de información pueden mantener sus datos seguros protegiéndolos contra amenazas de seguridad internas y externas. Pueden limitar el acceso dentro de su empresa a solo los empleados necesarios para protegerse contra las amenazas internas, y pueden usar el cifrado y otros sistemas de seguridad basados en computadoras para detener las amenazas externas. [15]
5. Cumplimiento / Reparación [16] Para garantizar que las empresas sigan los Principios de prácticas de información equitativa, deben existir medidas de cumplimiento. La FTC identificó tres tipos de medidas de aplicación: autorregulación por parte de los recolectores de información o un organismo regulador designado; recursos privados que otorgan causas civiles de acción para las personas cuya información se ha utilizado indebidamente para demandar a los infractores; y aplicación del gobierno que puede incluir sanciones civiles y penales impuestas por el gobierno. [dieciséis]
Hacer cumplir los principios
Actualmente, la versión de la FTC de los Principios de información justa son solo recomendaciones para mantener prácticas de recopilación de datos orientadas al consumidor y amigables con la privacidad, y no son exigibles por ley. La aplicación y el cumplimiento de estos principios se realiza principalmente a través de la autorregulación. Sin embargo, la FTC ha realizado esfuerzos para evaluar las prácticas de autorregulación de la industria, [17] proporciona orientación a la industria en el desarrollo de prácticas de información, [18] y utiliza su autoridad bajo la Ley de la FTC para hacer cumplir las promesas hechas por las corporaciones en sus políticas de privacidad. [19]
Dado que las iniciativas de autorregulación no alcanzan la implementación ideal de los principios (el Informe de la FTC de 2000 señaló, por ejemplo, que las iniciativas de autorregulación carecían de políticas y prácticas de seguimiento y aplicación significativas), la Comisión recomienda que el Congreso de los Estados Unidos promulgue una legislación que, junto con los continuos programas de autorregulación, garantizará una protección adecuada de la privacidad del consumidor en línea. [20] "La legislación recomendada por la Comisión establecería un nivel básico de protección de la privacidad para los sitios web comerciales orientados al consumidor" y "establecería normas básicas de práctica para la recopilación de información en línea ... sitios web comerciales orientados al consumidor que recopilen información de identificación personal de o sobre los consumidores en línea ... deberían cumplir con las cuatro prácticas de información justa ampliamente aceptadas ". [11]
Sin embargo, los principios forman la base de muchas leyes individuales tanto a nivel federal como estatal, lo que se denomina "enfoque sectorial". Algunos ejemplos son la Ley de informes crediticios justos , la Ley del derecho a la privacidad financiera , la Ley de privacidad de las comunicaciones electrónicas , la Ley de protección de la privacidad de los videos (VPPA) y la Ley de protección y competencia de la televisión por cable . [21] Además, los principios continúan sirviendo como modelo para la protección de la privacidad en áreas de reciente desarrollo, como en el diseño de programas de redes inteligentes. [22]
Otras propuestas sobre 'información justa'
La Organización para la Cooperación y el Desarrollo Económicos (OCDE) y la Unión Europea , entre otros, han adoptado enfoques más completos para las prácticas de información justas. Los principios de la OCDE brindan protecciones adicionales a través del principio de participación individual donde se establecen requisitos específicos para el acceso y la modificación de la información recopilada personalmente por el individuo y el principio de responsabilidad (un controlador de datos debe ser responsable de cumplir con las medidas que dan efecto a los principios establecidos anteriormente). ). [23] [24]
La Directiva de protección de datos de la Unión Europea es otro modelo de protección integral de la privacidad. [25] [26]
Críticas a los principios de la FTC
Algunos académicos critican los FIPP por tener un alcance menos completo que los regímenes de privacidad en otros países, en particular en la Unión Europea y otros países de la OCDE. Además, la formulación de los principios de la FTC ha sido criticada en comparación con las emitidas por otras agencias. La versión 2000 de los FIP de la FTC es más corta y menos completa que los principios de protección de la privacidad emitidos por la Oficina de Privacidad del Departamento de Seguridad Nacional en 2008, que incluyen ocho principios estrechamente alineados con los principios de la OCDE. [21]
Algunos en la comunidad de privacidad critican a los FIPP por ser demasiado débiles, permitir demasiadas exenciones, no requerir una agencia de privacidad, no tener en cuenta las debilidades de la autorregulación y no seguir el ritmo de la tecnología de la información. [27] Muchos expertos en privacidad han pedido una legislación general de protección de la privacidad en los EE . UU. [28] en lugar de la combinación actual de autorregulación y codificación selectiva en ciertos sectores. [29]
Los críticos desde una perspectiva empresarial a menudo prefieren limitar los FIP a elementos reducidos de notificación, consentimiento y responsabilidad. Se quejan de que otros elementos son inviables, costosos o incompatibles con los principios de apertura o libertad de expresión. [11]
Algunos comentaristas argumentan que los consumidores no tienen una voz justa en el proceso de consentimiento. Por ejemplo, los clientes brindan su información médica, como su número de seguro social o número de tarjeta médica, mientras hacen una cita en línea para un chequeo dental. Por lo general, se solicita a los clientes que firmen un acuerdo en el que se establezca que "un tercero puede tener acceso a la información que usted proporciona en determinadas condiciones". Las determinadas condiciones rara vez se especifican en ninguna parte del acuerdo. Posteriormente, el tercero podrá compartir la información con sus instituciones subsidiarias. Por lo tanto, el acceso a la información personal de los clientes está fuera de su control. [30]
Ver también
- Comisión Federal de Comercio
- Política de protección de la información
- Seguridad de información
- Directiva de protección de datos
Referencias
- ^ a b c Comisión Federal de Comercio, Principios de prácticas de información equitativa. Archivado el 31 de marzo de 2009 en Wayback Machine.
- ^ "Privacidad: de los principios a la práctica" . Información al consumidor . 2018-05-11 . Consultado el 9 de abril de 2021 .
- ^ Comisión Federal de Comercio, Privacidad en línea: un informe al Congreso (junio de 1998).
- ^ "Privacidad en línea: prácticas de información justas en el mercado electrónico: un informe de la Comisión Federal de Comercio al Congreso" . Comisión Federal de Comercio . 2000-05-01 . Consultado el 13 de diciembre de 2020 .
- ^ Comité Asesor del Secretario de los Estados Unidos sobre Sistemas Automatizados de Datos Personales, Registros, Computadoras y los Derechos de los Ciudadanos , Capítulo IV: Salvaguardas recomendadas para los Sistemas Administrativos de Datos Personales (1973).
- ^ Comité Asesor del Secretario de los Estados Unidos sobre sistemas automatizados de datos personales, registros, computadoras y los derechos de los ciudadanos (1973).
- ^ Comisión de estudio de protección de la privacidad, Privacidad personal en una sociedad de la información (julio de 1977).
- ^ Consejo de Europa, Convenio para la protección de las personas con respecto al procesamiento automático de datos personales (28 de enero de 1981).
- ^ Organización para la Cooperación y el Desarrollo Económicos (OCDE), Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales (23 de septiembre de 1980).
- ^ Directiva de protección de datos de la Unión Europea, Directiva 95/46 / EC http://docs.cpuc.ca.gov/published/proceedings/R0812009.htm Archivado 2010-03-11 en Wayback Machine
- ^ a b c Robert Gellman, Prácticas justas de información: una historia básica (10 de abril de 2017).
- ^ a b c Comisión Federal de Comercio, Principios de prácticas de información equitativa (FIP), 1. Aviso / Conciencia. Archivado el 9 de marzo de 2010 en Wayback Machine.
- ^ a b Comisión Federal de Comercio, Principios de prácticas de información equitativa (FIP), 2. Elección / consentimiento. Archivado el 9 de marzo de 2010 en Wayback Machine.
- ^ a b Comisión Federal de Comercio, Principios de prácticas de información equitativa (FIP), 3. Acceso / Participación. Archivado el 9 de marzo de 2010 en Wayback Machine.
- ^ a b Comisión Federal de Comercio, Principios de prácticas de información equitativa (FIP), 4. Integridad / seguridad. Archivado el 9 de marzo de 2010 en Wayback Machine.
- ^ a b Comisión Federal de Comercio, Principios de prácticas de información equitativa (FIP), 5. Cumplimiento / reparación. Archivado el 9 de marzo de 2010 en Wayback Machine.
- ^ Directrices de la Asociación de la industria de la FTC http://www.ftc.gov/reports/privacy3/industry.shtm#Industry%20Association%20Guidelines%20A Archivado el 30 de mayo de 2010 en Wayback Machine
- ^ Protección de la información personal: una guía para empresas http://www.ftc.gov/infosecurity/
- ^ Cumplimiento de las promesas de privacidad: Sección 5 de la Ley de la FTC http://www.ftc.gov/privacy/privacyinitiatives/promises.html
- ^ Informe de privacidad de la FTC 2000 http://www.ftc.gov/reports/privacy2000/privacy2000.pdf
- ^ a b Departamento de Seguridad Nacional, Memorándum de orientación sobre políticas de privacidad (2008) (Número de memorándum 2008-1), https://www.dhs.gov/xlibrary/assets/privacy/privacy_policyguide_2008-01.pdf
- ^ Electronic Frontier Foundation y Center for Democracy and Technology Joint Filing con la Comisión de Servicios Públicos de California con respecto al programa Smart Grid de California. http://www.cpuc.ca.gov/EFILE/CM/114696.pdf ; https://www.eff.org/deeplinks/2010/03/new-smart-meters-energy-use-put-privacy-risk
- ^ Organización para la Cooperación y el Desarrollo Económicos (OCDE), Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales (23 de septiembre de 1980). http://www.oecd.org/document/18/0,3343,en_2649_34255_1815186_1_1_1_1,00.html
- ^ Pam Dixon, Una breve introducción al Foro de privacidad mundial de prácticas de información justas (5 de junio de 2006).
- ^ Directiva 95/46 / CE http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML
- ^ Spiros Simitis , Del mercado a la polis: Directiva de la UE sobre la protección de datos personales, 80 Iowa L. Rev. 445 (1995).
- ^ Annecharico, David (2002). "Transacciones en línea: cuadrar las disposiciones de privacidad de la ley Gramm-Leach-Bliley con los principios de prácticas de información equitativa de la FTC" . Instituto Bancario de Carolina del Norte . 6 : 637–664.
- ^ Paul M. Schwartz, Privacidad y democracia en el ciberespacio, 52 Vand. L. Rev. 1609 (1999); Joel R. Reidenberg, Restauración de la privacidad de los estadounidenses en el comercio electrónico, 14 Berkeley Tech. LJ 771 (1999).
- ^ Algunos ejemplos son la Ley de informes crediticios justos , la Ley del derecho a la privacidad financiera , la Ley de privacidad de las comunicaciones electrónicas y la Ley de protección de la privacidad de los videos . Beth Givens, Una revisión de los principios de información justa: La base de la política pública de privacidad Archivado el 8 de abril de 2009 en Wayback Machine (publicado en 1997, actualizado en 2004).
- ^ Tavani, HT y Bottis M. (2010, junio). El proceso de consentimiento en la investigación médica que involucra bancos de datos de ADN: algunas implicaciones y desafíos éticos. ACM SIGCAS Computers and Society, 40 (2), 11-21. doi : 10.1145 / 1839994.1839996
enlaces externos
- Informe de privacidad de la FTC 2000
- Privacidad en línea de la FTC: un informe para el Congreso
- Prácticas justas de información de la OCDE
- Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales
- La Ley de Privacidad de 1974 , 5 USC § 552a .