Prácticas justas de información de la FTC

Pautas de privacidad en Internet

Los principios de prácticas justas de información (FIPPs) de la Comisión de los Estados Unidos son directrices que representan conceptos ampliamente aceptados en relación con las prácticas justas de información en un mercado electrónico. ^[1]

Introducción

Los Principios de Prácticas Justas de Información de la FTC son el resultado de la investigación de la comisión sobre la forma en que las entidades en línea recopilan y utilizan información personal y las salvaguardas para asegurar que la práctica sea justa y proporcione una protección adecuada de la privacidad de la información . ^[2] La FTC ha estado estudiando cuestiones de privacidad en línea desde 1995, y en su informe de 1998, ^[3] la Comisión describió los Principios de Prácticas Justas de Información ampliamente aceptados de Notificación, Elección, Acceso y Seguridad . ^[1] La comisión también identificó la Aplicación , el uso de un mecanismo confiable para proporcionar sanciones por incumplimiento como un componente crítico de cualquier programa gubernamental o autorregulador para proteger la privacidad en línea. ^{[1] [4]}

Historia y desarrollo

La práctica justa de información fue propuesta y denominada inicialmente ^[5] por el Comité Asesor del Secretario de los Estados Unidos sobre Sistemas Automatizados de Datos Personales en un informe de 1973, Records, Computers and the Rights of Citizens ^[6] , emitido en respuesta al creciente uso de sistemas automatizados de datos que contienen información sobre individuos. La contribución central del Comité Asesor fue el desarrollo de un código de práctica justa de información para sistemas automatizados de datos personales. La Comisión de Estudio de Protección de la Privacidad también puede haber contribuido al desarrollo de los principios de la práctica justa de información en su informe de 1977, Personal Privacy in an Information Society ^[7] .

A medida que las leyes de privacidad se extendieron a otros países de Europa, las instituciones internacionales abordaron la privacidad con un enfoque en las implicaciones internacionales de la regulación de la privacidad. En 1980, el Consejo de Europa adoptó un Convenio para la protección de las personas con respecto al procesamiento automático de datos personales . ^[8] Al mismo tiempo, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) propuso directrices de privacidad similares en las Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales. ^[9] Las Directrices de la OCDE, el Convenio del Consejo de Europa y la Directiva de Protección de Datos de la Unión Europea ^[10] se basaron en las FIP como principios básicos. Las tres organizaciones revisaron y ampliaron la declaración original de los EE. UU. sobre las FIP, y las Directrices de Privacidad de la OCDE fueron la versión citada con más frecuencia en los años posteriores. ^[11]

Principios

Los principios básicos de privacidad abordados por estos principios son:

1. Notificación/Concienciación ^[12] Se debe notificar a los consumidores sobre las prácticas de información de una entidad antes de que se recopile cualquier información personal de ellos. ^[12] Esto requiere que las empresas notifiquen explícitamente algunos o todos los siguientes puntos:

• identificación de la entidad que recoge los datos;
• identificación de los usos a que se destinarán los datos;
• identificación de los posibles destinatarios de los datos;
• la naturaleza de los datos recogidos y los medios por los que se recogen;
• si el suministro de los datos solicitados es voluntario u obligatorio;
• las medidas adoptadas por el recopilador de datos para garantizar la confidencialidad, integridad y calidad de los datos. ^[12]

2. Elección/Consentimiento ^[13] La elección y el consentimiento en el sentido de recopilación de información en línea significan dar a los consumidores opciones para controlar cómo se utilizan sus datos. En concreto, la elección se relaciona con usos secundarios de la información más allá de las necesidades inmediatas del recolector de información para completar la transacción del consumidor. Los dos tipos típicos de modelos de elección son "opt-in" o "opt-out". El método "opt-in" requiere que los consumidores den su permiso afirmativo para que su información se utilice para otros fines. Si el consumidor no da estos pasos afirmativos en un sistema de "opt-in", el recolector de información supone que no puede utilizar la información para ningún otro fin. El método de "opt-out" requiere que los consumidores denieguen afirmativamente el permiso para otros usos. Si el consumidor no da estos pasos afirmativos en un sistema de "opt-out", el recolector de información supone que puede utilizar la información del consumidor para otros fines. Cada uno de estos sistemas puede diseñarse para permitir que un consumidor individual adapte el uso que el recolector de información hace de la información a sus preferencias, marcando casillas para conceder o denegar permiso para fines específicos en lugar de utilizar un método simple de "todo o nada". ^[13]

3. Acceso/Participación ^[14] El acceso, tal como se define en los Principios de Prácticas Justas de Información, incluye no sólo la capacidad del consumidor de ver los datos recopilados, sino también de verificar y cuestionar su exactitud. Este acceso debe ser económico y oportuno para que sea útil para el consumidor. ^[14]

4. Integridad/Seguridad ^[15] Los recopiladores de información deben asegurarse de que los datos que recopilan sean precisos y seguros. Pueden mejorar la integridad de los datos comparándolos únicamente con bases de datos confiables y brindando acceso al consumidor para verificarlos. Los recopiladores de información pueden mantener sus datos seguros protegiéndolos contra amenazas de seguridad internas y externas. Pueden limitar el acceso dentro de su empresa únicamente a los empleados necesarios para protegerse contra amenazas internas, y pueden usar cifrado y otros sistemas de seguridad basados ​​en computadoras para detener las amenazas externas. ^[15]

5. Cumplimiento/Resarcimiento ^[16] Para garantizar que las empresas cumplan con los Principios de Prácticas Justas de Información, deben existir medidas de cumplimiento. La FTC identificó tres tipos de medidas de cumplimiento: autorregulación por parte de los recopiladores de información o un organismo regulador designado; recursos privados que otorgan causas civiles de acción a las personas cuya información ha sido utilizada indebidamente para demandar a los infractores; y cumplimiento gubernamental que puede incluir sanciones civiles y penales impuestas por el gobierno. ^[16]

Hacer cumplir los principios

En la actualidad, la versión de la FTC de los Principios de Información Justa son sólo recomendaciones para mantener prácticas de recopilación de datos respetuosas de la privacidad y orientadas al consumidor, y no son exigibles por ley. La aplicación y el cumplimiento de estos principios se lleva a cabo principalmente a través de la autorregulación. Sin embargo, la FTC ha realizado esfuerzos para evaluar las prácticas de autorregulación de la industria , ^[17] proporciona orientación para la industria en el desarrollo de prácticas de información, ^[18] y utiliza su autoridad bajo la Ley de la FTC para hacer cumplir las promesas hechas por las corporaciones en sus políticas de privacidad. ^[19]

Dado que las iniciativas de autorregulación no alcanzan a implementar idealmente los principios (el Informe de la FTC de 2000 señaló, por ejemplo, que las iniciativas de autorregulación carecían de políticas y prácticas significativas de control y cumplimiento), la Comisión recomienda que el Congreso de los Estados Unidos promulgue una legislación que, junto con los programas de autorregulación en curso, garantice una protección adecuada de la privacidad del consumidor en línea. ^[20] "La legislación recomendada por la Comisión establecería un nivel básico de protección de la privacidad para los sitios web comerciales orientados al consumidor" y "establecería normas básicas de práctica para la recopilación de información en línea... los sitios web comerciales orientados al consumidor que recopilan información de identificación personal de o sobre los consumidores en línea... estarían obligados a cumplir con las cuatro prácticas de información justa ampliamente aceptadas". ^[11]

Sin embargo, los principios forman la base de muchas leyes individuales tanto a nivel federal como estatal, lo que se denomina el "enfoque sectorial". Algunos ejemplos son la Ley de Informes Crediticios Justos , la Ley del Derecho a la Privacidad Financiera , la Ley de Privacidad de las Comunicaciones Electrónicas , la Ley de Protección de la Privacidad de Video (VPPA) y la Ley de Protección y Competencia de la Televisión por Cable . ^[21] Además, los principios siguen sirviendo como modelo para la protección de la privacidad en áreas de reciente desarrollo, como el diseño de programas de Redes Inteligentes. ^[22]

Otras propuestas en materia de “información justa”

La Organización para la Cooperación y el Desarrollo Económicos (OCDE) y la Unión Europea , entre otros, han adoptado enfoques más integrales para las prácticas justas en materia de información. Los principios de la OCDE brindan protección adicional a través del principio de participación individual , en el que se establecen requisitos específicos para el acceso y la modificación de la información recopilada personalmente por parte del individuo, y el principio de rendición de cuentas (el responsable del tratamiento de datos debe ser responsable de cumplir con las medidas que dan efecto a los principios establecidos anteriormente). ^{[23] [24]}

La Directiva de Protección de Datos de la Unión Europea es otro modelo de protección integral de la privacidad. ^{[25] [26]}

Crítica a los principios de la FTC

Algunos académicos critican los FIPP por su alcance menos amplio que los regímenes de privacidad de otros países, en particular de la Unión Europea y otros países de la OCDE. Además, la formulación de los principios por parte de la FTC ha sido criticada en comparación con los emitidos por otras agencias. La versión de 2000 de los FIP de la FTC es más breve y menos completa que los principios de protección de la privacidad emitidos por la Oficina de Privacidad del Departamento de Seguridad Nacional en 2008, que incluyen ocho principios estrechamente alineados con los principios de la OCDE. ^[21]

Algunos miembros de la comunidad de privacidad critican las FIPP por ser demasiado débiles, permitir demasiadas exenciones, no exigir una agencia de privacidad, no tener en cuenta las debilidades de la autorregulación y no seguir el ritmo de la tecnología de la información. ^[27] Muchos expertos en privacidad han pedido una legislación ómnibus de protección de la privacidad en los EE. UU. ^[28] en lugar de la actual combinación de autorregulación y codificación selectiva en ciertos sectores. ^[29]

Los críticos desde una perspectiva empresarial a menudo prefieren limitar los FIP a elementos reducidos de notificación, consentimiento y rendición de cuentas. Se quejan de que otros elementos son impracticables, costosos o incompatibles con los principios de apertura o libertad de expresión. ^[11]

Algunos comentaristas sostienen que los consumidores no tienen una voz justa en el proceso de consentimiento. Por ejemplo, los clientes proporcionan su información sanitaria, como su número de seguro social o el número de su tarjeta sanitaria, al pedir en línea una cita para un chequeo dental. A los clientes se les suele pedir que firmen un acuerdo en el que se estipula que "un tercero puede tener acceso a la información que usted proporciona bajo ciertas condiciones". Las condiciones determinadas rara vez se especifican en alguna parte del acuerdo. Más adelante, el tercero puede compartir la información con sus instituciones subsidiarias. Por lo tanto, el acceso a la información personal de los clientes está fuera de su control. ^[30]

Véase también

• Comisión Federal de Comercio
• Política de protección de la información
• Seguridad de la información
• Directiva de protección de datos

Referencias

1. Comisión Federal de Comercio de Estados Unidos, Principios de prácticas justas en materia de información. Archivado el 31 de marzo de 2009 en Wayback Machine.
2. "Privacidad: de los principios a la práctica". Información al consumidor . 2018-05-11 . Consultado el 2021-04-09 .
3. Comisión Federal de Comercio, Privacidad en línea: un informe al Congreso (junio de 1998).
4. "Privacidad en línea: prácticas justas de información en el mercado electrónico: informe de la Comisión Federal de Comercio al Congreso". Comisión Federal de Comercio . 2000-05-01 . Consultado el 2020-12-13 .
5. Comité Asesor del Secretario de los Estados Unidos sobre Sistemas Automatizados de Datos Personales, Registros, Computadoras y Derechos de los Ciudadanos , Capítulo IV: Salvaguardias recomendadas para los sistemas administrativos de datos personales (1973).
6. Comité Asesor del Secretario de Estados Unidos sobre Sistemas Automatizados de Datos Personales, Registros, Computadoras y Derechos de los Ciudadanos (1973).
7. Comisión de Estudio sobre Protección de la Privacidad, Privacidad personal en una sociedad de la información Archivado el 27 de noviembre de 2008 en Wayback Machine (julio de 1977).
8. Consejo de Europa, Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (28 de enero de 1981).
9. Organización para la Cooperación y el Desarrollo Económicos (OCDE), Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales (23 de septiembre de 1980).
10. Directiva de protección de datos de la Unión Europea, Directiva 95/46/CE http://docs.cpuc.ca.gov/published/proceedings/R0812009.htm Archivado el 11 de marzo de 2010 en Wayback Machine.
11. Robert Gellman, Prácticas justas de información: una historia básica (10 de abril de 2017).
12. Comisión Federal de Comercio, Principios de prácticas justas de información (FIP), 1. Aviso/Conocimiento. Archivado el 9 de marzo de 2010 en Wayback Machine .
13. Comisión Federal de Comercio, Principios de prácticas justas de información (FIP), 2. Elección/Consentimiento. Archivado el 9 de marzo de 2010 en Wayback Machine .
14. Comisión Federal de Comercio, Principios de prácticas justas de información (FIP), 3. Acceso/Participación. Archivado el 9 de marzo de 2010 en Wayback Machine .
15. Comisión Federal de Comercio, Principios de prácticas justas de información (FIP), 4. Integridad/Seguridad. Archivado el 9 de marzo de 2010 en Wayback Machine.
16. Comisión Federal de Comercio, Principios de prácticas justas de información (FIP), 5. Aplicación/Reparación. Archivado el 9 de marzo de 2010 en Wayback Machine.
17. Directrices de la Asociación Industrial de la FTC http://www.ftc.gov/reports/privacy3/industry.shtm#Industry%20Association%20Guidelines%20A Archivado el 30 de mayo de 2010 en Wayback Machine.
18. Protección de la información personal: una guía para empresas http://www.ftc.gov/infosecurity/
19. Cumplimiento de las promesas de privacidad: Sección 5 de la Ley de la FTC http://www.ftc.gov/privacy/privacyinitiatives/promises.html
20. Informe sobre privacidad de la FTC 2000 http://www.ftc.gov/reports/privacy2000/privacy2000.pdf
21. Departamento de Seguridad Nacional, Memorando de orientación sobre políticas de privacidad (2008) (Memorando número 2008-1), https://www.dhs.gov/xlibrary/assets/privacy/privacy_policyguide_2008-01.pdf
22. Presentación conjunta de la Electronic Frontier Foundation y el Centro para la Democracia y la Tecnología ante la Comisión de Servicios Públicos de California en relación con el Programa de Redes Inteligentes de California. http://www.cpuc.ca.gov/EFILE/CM/114696.pdf; https://www.eff.org/deeplinks/2010/03/new-smart-meters-energy-use-put-privacy-risk
23. Organización para la Cooperación y el Desarrollo Económicos (OCDE), Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales (23 de septiembre de 1980). http://www.oecd.org/document/18/0,3343,en_2649_34255_1815186_1_1_1_1,00.html
24. Pam Dixon, Una breve introducción a las prácticas justas de información, Foro Mundial de Privacidad (5 de junio de 2006).
25. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
26. Spiros Simitis , Del mercado a la polis: la Directiva de la UE sobre la protección de datos personales, 80 Iowa L. Rev. 445 (1995).
27. Annecharico, David (2002). "Transacciones en línea: cómo conciliar las disposiciones sobre privacidad de la Ley Gramm-Leach-Bliley con los principios de prácticas justas de información de la FTC". Instituto Bancario de Carolina del Norte . 6 : 637–664.
28. Paul M. Schwartz, Privacidad y democracia en el ciberespacio, 52 Vand. L. Rev. 1609 (1999); Joel R. Reidenberg, Restaurar la privacidad de los estadounidenses en el comercio electrónico, 14 Berkeley Tech. LJ 771 (1999).
29. Algunos ejemplos son la Ley de Informes Crediticios Justos , la Ley del Derecho a la Privacidad Financiera , la Ley de Privacidad de las Comunicaciones Electrónicas y la Ley de Protección de la Privacidad de los Videos . Beth Givens, A Review of the Fair Information Principles: The Foundation of Privacy Public Policy Archivado el 8 de abril de 2009 en Wayback Machine (publicado en 1997, actualizado en 2004).
30. Tavani, HT y Bottis M. (junio de 2010). El proceso de consentimiento en la investigación médica que involucra bancos de datos de ADN: algunas implicaciones y desafíos éticos. ACM SIGCAS Computers and Society, 40(2), 11-21. doi :10.1145/1839994.1839996

Enlaces externos

• Informe sobre privacidad de la FTC 2000
• Privacidad en línea de la FTC: un informe al Congreso
• Prácticas de información justas de la OCDE
• Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales
• La Ley de Privacidad de 1974, 5 USC  § 552a.