Práctica de información justa de la FTC

Los principios de práctica justa de información (FIPP) de la Comisión de los Estados Unidos son directrices que representan conceptos ampliamente aceptados relacionados con la práctica justa de información en un mercado electrónico. ^[1]

Introducción

Los Principios de Prácticas Justas de Información de la FTC son el resultado de la investigación de la comisión sobre la forma en que las entidades en línea recopilan y utilizan información personal y salvaguardas para garantizar que la práctica sea justa y proporcione una protección adecuada de la privacidad de la información . ^[2] La FTC ha estado estudiando cuestiones de privacidad en línea desde 1995, y en su informe de 1998, ^[3] la Comisión describió los principios de notificación, elección, acceso y seguridad de las prácticas justas de información, ampliamente aceptados . ^[1] La comisión también identificó la aplicación de la ley , el uso de un mecanismo confiable para proporcionar sanciones por incumplimiento, como un componente crítico de cualquier programa gubernamental o de autorregulación para proteger la privacidad en línea. ^{[1] [4]}

Historia y desarrollo

La Práctica de Información Justa fue propuesta y nombrada inicialmente ^[5] por el Comité Asesor sobre Sistemas Automatizados de Datos Personales del Secretario de EE. UU. en un informe de 1973, Registros, Computadoras y Derechos de los Ciudadanos , ^[6] publicado en respuesta al uso creciente de sistemas de datos automatizados. que contiene información sobre individuos. La contribución central del Comité Asesor fue el desarrollo de un código de prácticas leales en materia de información para los sistemas automatizados de datos personales. La Comisión de Estudio de Protección de la Privacidad también puede haber contribuido al desarrollo de los principios de los FIP en su informe de 1977, Privacidad personal en una sociedad de la información . ^[7]

A medida que las leyes de privacidad se extendieron a otros países de Europa, las instituciones internacionales abordaron la privacidad centrándose en las implicaciones internacionales de la regulación de la privacidad. En 1980, el Consejo de Europa adoptó un Convenio para la protección de las personas en lo que respecta al procesamiento automático de datos personales . ^[8] Al mismo tiempo, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) propuso directrices de privacidad similares en las Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales. ^[9] Las Directrices de la OCDE, el Convenio del Consejo de Europa y la Directiva de protección de datos de la Unión Europea ^[10] se basaron en los FIP como principios básicos. Las tres organizaciones revisaron y ampliaron la declaración original de EE. UU. sobre los FIP, siendo las Directrices de Privacidad de la OCDE la versión más citada en los años siguientes. ^[11]

Principios

Los principios básicos de privacidad abordados por estos principios son:

1. Aviso/Conciencia ^[12] Se debe notificar a los consumidores sobre las prácticas de información de una entidad antes de que se recopile cualquier información personal de ellos. ^[12] Esto requiere que las empresas notifiquen explícitamente algunos o todos los siguientes:

• identificación de la entidad que recopila los datos;
• identificación de los usos que se darán a los datos;
• identificación de posibles destinatarios de los datos;
• la naturaleza de los datos recopilados y los medios por los cuales se recopilan;
• si el suministro de los datos solicitados es voluntario o requerido;
• las medidas tomadas por el recolector de datos para garantizar la confidencialidad, integridad y calidad de los datos. ^[12]

2. Elección/Consentimiento ^[13] La elección y el consentimiento en el sentido de recopilación de información en línea significan dar a los consumidores opciones para controlar cómo se utilizan sus datos. Específicamente, la elección se relaciona con usos secundarios de la información más allá de las necesidades inmediatas del recopilador de información para completar la transacción del consumidor. Los dos tipos típicos de modelos de elección son "optar por participar" o "optar por no participar". El método de 'inscripción voluntaria' requiere que los consumidores den permiso afirmativamente para que su información se utilice para otros fines. Sin que el consumidor tome estas medidas afirmativas en un sistema de "inscripción voluntaria", el recopilador de información asume que no puede utilizar la información para ningún otro propósito. El método de "exclusión voluntaria" requiere que los consumidores rechacen afirmativamente el permiso para otros usos. Sin que el consumidor tome estas medidas afirmativas en un sistema de "exclusión voluntaria", el recopilador de información asume que puede utilizar la información del consumidor para otros fines. Cada uno de estos sistemas puede diseñarse para permitir que un consumidor individual adapte el uso de la información por parte del recopilador de información para que se ajuste a sus preferencias marcando casillas para otorgar o denegar permiso para propósitos específicos en lugar de utilizar un método simple de "todo o nada". ^[13]

3. Acceso/Participación ^[14] El acceso, tal como se define en los Principios de prácticas justas de información, incluye no sólo la capacidad del consumidor de ver los datos recopilados, sino también de verificar y cuestionar su exactitud. Este acceso debe ser económico y oportuno para que sea útil para el consumidor. ^[14]

4. Integridad/Seguridad ^[15] Los recopiladores de información deben asegurarse de que los datos que recopilan sean precisos y seguros. Pueden mejorar la integridad de los datos cotejándolos únicamente con bases de datos acreditadas y proporcionando acceso al consumidor para verificarlos. Los recopiladores de información pueden mantener sus datos seguros protegiéndolos contra amenazas de seguridad internas y externas. Pueden limitar el acceso dentro de su empresa solo a los empleados necesarios para protegerse contra amenazas internas, y pueden usar cifrado y otros sistemas de seguridad basados ​​en computadora para detener amenazas externas. ^[15]

5. Aplicación/Reparación ^[16] Para garantizar que las empresas sigan los Principios de Prácticas Justas de Información, deben existir medidas de aplicación. La FTC identificó tres tipos de medidas de cumplimiento: autorregulación por parte de los recopiladores de información o de un organismo regulador designado; recursos privados que brindan causas de acción civil para personas cuya información ha sido utilizada indebidamente para demandar a los infractores; y aplicación gubernamental que puede incluir sanciones civiles y penales impuestas por el gobierno. ^[dieciséis]

Hacer cumplir los principios

Actualmente, la versión de la FTC de los Principios de información justa son solo recomendaciones para mantener prácticas de recopilación de datos orientadas al consumidor y respetuosas con la privacidad, y no son exigibles por ley. La aplicación y el cumplimiento de estos principios se realizan principalmente mediante la autorregulación. Sin embargo, la FTC ha realizado esfuerzos para evaluar las prácticas de autorregulación de la industria , ^[17] brinda orientación a la industria en el desarrollo de prácticas de información, ^[18] y utiliza su autoridad bajo la Ley de la FTC para hacer cumplir las promesas hechas por las corporaciones en sus políticas de privacidad. ^[19]

Dado que las iniciativas de autorregulación no alcanzan la implementación ideal de los principios (el Informe de la FTC de 2000 señaló, por ejemplo, que las iniciativas de autorregulación carecían de políticas y prácticas significativas de seguimiento y aplicación), la Comisión recomienda que el Congreso de los Estados Unidos promulgue legislación que, junto con programas continuos de autorregulación, garantizará una protección adecuada de la privacidad del consumidor en línea. ^[20] "La legislación recomendada por la Comisión establecería un nivel básico de protección de la privacidad para los sitios web comerciales orientados al consumidor" y "establecería normas básicas de práctica para la recopilación de información en línea... sitios web comerciales orientados al consumidor que recopilan información de identificación personal de o sobre los consumidores en línea... estarían obligados a cumplir con las cuatro prácticas de información justa ampliamente aceptadas". ^[11]

Sin embargo, los principios forman la base de muchas leyes individuales tanto a nivel federal como estatal, lo que se denomina "enfoque sectorial". Algunos ejemplos son la Ley de Informes Crediticios Justos , la Ley del Derecho a la Privacidad Financiera , la Ley de Privacidad de las Comunicaciones Electrónicas , la Ley de Protección de la Privacidad de los Vídeos (VPPA) y la Ley de Competencia y Protección de la Televisión por Cable . ^[21] Además, los principios continúan sirviendo como modelo para la protección de la privacidad en áreas de reciente desarrollo, como en el diseño de programas Smart Grid. ^[22]

Otras propuestas sobre la 'información justa'

La Organización para la Cooperación y el Desarrollo Económico (OCDE) y la Unión Europea , entre otros, han adoptado enfoques más integrales para las prácticas de información justas. Los principios de la OCDE brindan protecciones adicionales a través del principio de Participación Individual donde se establecen requisitos específicos para el acceso y la modificación de la información recopilada personalmente por parte del individuo y el principio de Responsabilidad (un controlador de datos debe ser responsable de cumplir con las medidas que dan efecto a los principios establecidos anteriormente). ). ^{[23] [24]}

La Directiva de Protección de Datos de la Unión Europea es otro modelo para protecciones integrales de la privacidad. ^{[25] [26]}

Críticas a los principios de la FTC

Algunos académicos critican los FIPP por tener un alcance menos completo que los regímenes de privacidad de otros países, en particular de la Unión Europea y otros países de la OCDE. Además, la formulación de los principios por parte de la FTC ha sido criticada en comparación con los emitidos por otras agencias. La versión 2000 de los FIP de la FTC es más breve y menos completa que los principios de protección de la privacidad emitidos por la Oficina de Privacidad del Departamento de Seguridad Nacional en 2008, que incluyen ocho principios estrechamente alineados con los principios de la OCDE. ^[21]

Algunos miembros de la comunidad de la privacidad critican a los FIPP por ser demasiado débiles, permitir demasiadas exenciones, no exigir una agencia de privacidad, no tener en cuenta las debilidades de la autorregulación y no seguir el ritmo de la tecnología de la información. ^[27] Muchos expertos en privacidad han pedido una legislación general de protección de la privacidad en los EE.UU. ^[28] en lugar de la actual combinación de autorregulación y codificación selectiva en ciertos sectores. ^[29]

Los críticos desde una perspectiva empresarial a menudo prefieren limitar los FIP a elementos reducidos de notificación, consentimiento y responsabilidad. Se quejan de que otros elementos son impracticables, costosos o incompatibles con los principios de apertura o libertad de expresión. ^[11]

Algunos comentaristas sostienen que los consumidores no tienen participación justa en el proceso de consentimiento. Por ejemplo, los clientes proporcionan su información de salud, como su número de seguro social o número de tarjeta sanitaria, mientras programan en línea una cita para un chequeo dental. Comúnmente se pide a los clientes que firmen un acuerdo que establezca que "un tercero puede tener acceso a la información que usted proporciona bajo ciertas condiciones". Ciertas condiciones rara vez se especifican en alguna parte del acuerdo. Posteriormente, el tercero podrá compartir la información con sus instituciones subsidiarias. Por tanto, el acceso a la información personal de los clientes está fuera de su control. ^[30]

Ver también

• Comisión Federal de Comercio
• Política de protección de la información
• Seguridad de información
• Directiva de protección de datos

Referencias

1. Comisión Federal de Comercio, Principios de prácticas justas de información. Archivado el 31 de marzo de 2009 en Wayback Machine .
2. "Privacidad: de los principios a la práctica". Información al consumidor . 2018-05-11 . Consultado el 9 de abril de 2021 .
3. Comisión Federal de Comercio, Privacidad en línea: informe al Congreso (junio de 1998).
4. "Privacidad en línea: prácticas justas de información en el mercado electrónico: informe de la Comisión Federal de Comercio al Congreso". Comisión Federal de Comercio . 2000-05-01 . Consultado el 13 de diciembre de 2020 .
5. Comité Asesor del Secretario de Estados Unidos sobre sistemas automatizados de datos personales, registros, computadoras y derechos de los ciudadanos , Capítulo IV: Salvaguardias recomendadas para los sistemas administrativos de datos personales (1973).
6. Comité Asesor del Secretario de Estados Unidos sobre sistemas automatizados de datos personales, registros, computadoras y derechos de los ciudadanos (1973).
7. Comisión de estudio de protección de la privacidad, Privacidad personal en una sociedad de la información Archivado el 27 de noviembre de 2008 en Wayback Machine (julio de 1977).
8. Consejo de Europa, Convenio para la protección de las personas con respecto al procesamiento automático de datos personales (28 de enero de 1981).
9. Organización para la Cooperación y el Desarrollo Económicos (OCDE), Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales (23 de septiembre de 1980).
10. Directiva de protección de datos de la Unión Europea, Directiva 95/46/EC http://docs.cpuc.ca.gov/published/proceedings/R0812009.htm Archivado el 11 de marzo de 2010 en Wayback Machine.
11. Robert Gellman, Prácticas justas de información: una historia básica (10 de abril de 2017).
12. Comisión Federal de Comercio, Principios de prácticas justas de información (FIP), 1. Aviso/Conciencia. Archivado el 9 de marzo de 2010 en Wayback Machine .
13. Comisión Federal de Comercio, Principios de prácticas justas de información (FIP), 2. Elección/Consentimiento. Archivado el 9 de marzo de 2010 en Wayback Machine .
14. Comisión Federal de Comercio, Principios de prácticas justas de información (FIP), 3. Acceso/Participación. Archivado el 9 de marzo de 2010 en Wayback Machine .
15. Comisión Federal de Comercio, Principios de prácticas justas de información (FIP), 4. Integridad/Seguridad. Archivado el 9 de marzo de 2010 en Wayback Machine .
16. Comisión Federal de Comercio, Principios de prácticas justas de información (FIP), 5. Aplicación/reparación. Archivado el 9 de marzo de 2010 en Wayback Machine .
17. Directrices de la Asociación de la Industria de la FTC http://www.ftc.gov/reports/privacy3/industry.shtm#Industry%20Association%20Guidelines%20A Archivado el 30 de mayo de 2010 en Wayback Machine.
18. Protección de la información personal: una guía para empresas http://www.ftc.gov/infosecurity/
19. Hacer cumplir las promesas de privacidad: Sección 5 de la Ley de la FTC http://www.ftc.gov/privacy/privacyinitiatives/promises.html
20. Informe de privacidad de la FTC 2000 http://www.ftc.gov/reports/privacy2000/privacy2000.pdf
21. Departamento de Seguridad Nacional, Memorando de orientación sobre políticas de privacidad (2008) (Número de memorando 2008-1), https://www.dhs.gov/xlibrary/assets/privacy/privacy_policyguide_2008-01.pdf
22. Presentación conjunta de Electronic Frontier Foundation y Center for Democracy and Technology con la Comisión de Servicios Públicos de California sobre el programa Smart Grid de California. http://www.cpuc.ca.gov/EFILE/CM/114696.pdf; https://www.eff.org/deeplinks/2010/03/new-smart-meters-energy-use-put-privacy-risk
23. Organización para la Cooperación y el Desarrollo Económicos (OCDE), Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales (23 de septiembre de 1980). http://www.oecd.org/document/18/0,3343, es_2649_34255_1815186_1_1_1_1,00.html
24. Pam Dixon, Breve introducción a las prácticas justas de información Foro mundial sobre privacidad (5 de junio de 2006).
25. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos
26. Spiros Simitis , Del mercado a la polis: la directiva de la UE sobre protección de datos personales, 80 Iowa L. Rev. 445 (1995).
27. Annecharico, David (2002). "Transacciones en línea: cuadrar las disposiciones de privacidad de la Ley Gramm-Leach-Bliley con los principios de práctica de información justa de la FTC". Instituto Bancario de Carolina del Norte . 6 : 637–664.
28. Paul M. Schwartz, Privacidad y democracia en el ciberespacio, 52 Vand. L.Rev.1609 (1999); Joel R. Reidenberg, Restauración de la privacidad de los estadounidenses en el comercio electrónico, 14 Berkeley Tech. LJ 771 (1999).
29. Algunos ejemplos son la Ley de informes crediticios justos , la Ley de derecho a la privacidad financiera , la Ley de privacidad de las comunicaciones electrónicas y la Ley de protección de la privacidad de los videos . Beth Givens, Una revisión de los principios de información justa: la base de la política pública de privacidad Archivado el 8 de abril de 2009 en Wayback Machine (publicado en 1997, actualizado en 2004).
30. Tavani, HT y Bottis M. (junio de 2010). El proceso de consentimiento en la investigación médica que involucra bancos de datos de ADN: algunas implicaciones y desafíos éticos. ACM SIGCAS Computadoras y Sociedad, 40(2), 11-21. doi :10.1145/1839994.1839996

enlaces externos

• Informe de privacidad de la FTC 2000
• Privacidad en línea de la FTC: un informe al Congreso
• Prácticas justas de información de la OCDE
• Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales
• Ley de Privacidad de 1974, 5 USC  § 552a.