La privacidad de la información es la relación entre la recopilación y difusión de datos , la tecnología , la expectativa pública de privacidad , las normas de información contextual y las cuestiones legales y políticas que las rodean. [1] También se la conoce como privacidad de datos [2] o protección de datos .
Varios tipos de información personal suelen estar sujetos a preocupaciones de privacidad.
Esto describe la capacidad de controlar qué información uno revela sobre sí mismo a través de la televisión por cable y quién puede acceder a esa información. Por ejemplo, terceros pueden rastrear programas de TV IP que alguien ha visto en un momento dado. "La adición de cualquier información en una transmisión de transmisión no es necesaria para una encuesta de calificación de audiencia, no se requiere la instalación de dispositivos adicionales en las casas de los espectadores u oyentes, y sin la necesidad de su cooperación, las calificaciones de audiencia se pueden realizar automáticamente en tiempo real." [3]
En el Reino Unido, en 2012, el Secretario de Educación, Michael Gove, describió la Base de datos nacional de alumnos como un "rico conjunto de datos" cuyo valor podría "maximizarse" haciéndola más abiertamente accesible, incluso para las empresas privadas. Kelly Fiveash de The Register dijo que esto podría significar que "la vida escolar de un niño, incluidos los resultados de los exámenes, la asistencia, las evaluaciones de los maestros e incluso las características", podría estar disponible, y que las organizaciones de terceros serían responsables de anonimizar cualquier publicación, en lugar de que los datos sean anonimizados. por el gobierno antes de ser entregado. Un ejemplo de una solicitud de datos que Gove indicó que había sido rechazada en el pasado, pero que podría ser posible bajo una versión mejorada de las regulaciones de privacidad, fue para "análisis sobre explotación sexual". [4]
La información sobre las transacciones financieras de una persona, incluida la cantidad de activos, las posiciones mantenidas en acciones o fondos, las deudas pendientes y las compras, puede ser confidencial. Si los delincuentes obtienen acceso a información como las cuentas de una persona o sus números de tarjetas de crédito, esa persona podría convertirse en víctima de fraude o robo de identidad . La información sobre las compras de una persona puede revelar mucho sobre su historia, como los lugares que ha visitado, con quién tiene contacto, los productos que ha utilizado, sus actividades y hábitos, o los medicamentos que ha utilizado. En algunos casos, las corporaciones pueden utilizar esta información para dirigirse a personas con marketing personalizado según las preferencias personales de esas personas, que esa persona puede aprobar o no. [4]
A medida que se interconectan sistemas de información heterogéneos con diferentes reglas de privacidad y se comparte información, se requerirán dispositivos de políticas para conciliar, hacer cumplir y monitorear una cantidad cada vez mayor de reglas (y leyes) de políticas de privacidad. Hay dos categorías de tecnología para abordar la protección de la privacidad en los sistemas de TI comerciales : comunicación y aplicación de la ley.
La privacidad informática se puede mejorar mediante la individualización . Actualmente los mensajes de seguridad están diseñados para el "usuario medio", es decir, el mismo mensaje para todos. Los investigadores han postulado que los mensajes individualizados y los "empujones" de seguridad, elaborados en función de las diferencias individuales y los rasgos de personalidad de los usuarios, se pueden utilizar para mejorar aún más el cumplimiento de cada persona con la seguridad y privacidad informática. [5]
La capacidad de controlar la información que uno revela sobre uno mismo a través de Internet y quién puede acceder a esa información se ha convertido en una preocupación creciente. Estas preocupaciones incluyen si terceros pueden almacenar o leer el correo electrónico sin consentimiento o si terceros pueden continuar rastreando los sitios web que alguien visitó. Otra preocupación es si los sitios web que uno visita pueden recopilar, almacenar y posiblemente compartir información de identificación personal sobre los usuarios.
La llegada de varios motores de búsqueda y el uso de la minería de datos crearon la capacidad de recopilar y combinar datos sobre individuos de una amplia variedad de fuentes con mucha facilidad. [6] [7] [8] La IA facilitó la creación de información inferencial sobre individuos y grupos basada en enormes cantidades de datos recopilados, transformando la economía de la información. [9] La FTC ha proporcionado un conjunto de directrices que representan conceptos ampliamente aceptados sobre prácticas justas de información en un mercado electrónico, denominados Principios de Prácticas Justas de Información . Pero estos han sido criticados por su insuficiencia en el contexto de la información inferencial habilitada por la IA. [10]
En Internet, muchos usuarios revelan mucha información sobre ellos mismos: los correos electrónicos no cifrados pueden ser leídos por los administradores de un servidor de correo electrónico si la conexión no está cifrada (no HTTPS ), así como por el proveedor de servicios de Internet y otras partes. Al olfatear el tráfico de red de esa conexión se pueden conocer los contenidos. Lo mismo se aplica a cualquier tipo de tráfico generado en Internet, incluida la navegación web , la mensajería instantánea y otros. Para no revelar demasiada información personal, los correos electrónicos se pueden cifrar y la navegación por páginas web, así como otras actividades en línea, se puede realizar sin dejar rastro a través de anonimizadores o mediante anonimizadores distribuidos de código abierto, las llamadas redes mixtas . Las redes mixtas de código abierto más conocidas incluyen I2P – The Anonymous Network y Tor . [11]
El correo electrónico no es el único contenido de Internet que plantea problemas de privacidad. En una época en la que hay cada vez más información en línea, los sitios de redes sociales plantean desafíos adicionales para la privacidad. Las personas pueden ser etiquetadas en fotografías o exponer información valiosa sobre sí mismas, ya sea por elección propia o inesperadamente por parte de otros, lo que se conoce como vigilancia participativa . Los datos sobre la ubicación también pueden publicarse accidentalmente, por ejemplo, cuando alguien publica una imagen con una tienda como fondo. Se debe tener precaución al publicar información en línea. Las redes sociales varían en lo que permiten a los usuarios hacer privado y lo que permanece accesible públicamente. [12] Sin fuertes configuraciones de seguridad y una cuidadosa atención a lo que permanece público, se puede perfilar a una persona buscando y recopilando información dispar, lo que lleva a casos de acoso cibernético [13] o daño a la reputación. [14]
Las cookies se utilizan en los sitios web para que los usuarios puedan permitir que el sitio web recupere cierta información de Internet del usuario, pero generalmente no mencionan cuáles son los datos que se recuperan. [15] En 2018, el Reglamento General de Protección de Datos (GDPR) aprobó una regulación que obliga a los sitios web a revelar visiblemente a los consumidores sus prácticas de privacidad de la información, conocidas como avisos de cookies. [15] Esto se emitió para dar a los consumidores la opción de elegir qué información sobre su comportamiento aceptan que los sitios web rastreen; sin embargo, su eficacia es controvertida. [15] Algunos sitios web pueden participar en prácticas engañosas, como colocar avisos de cookies en lugares de la página que no son visibles o solo avisar a los consumidores que se está rastreando su información pero no permitirles cambiar su configuración de privacidad. [15] Aplicaciones como Instagram y Facebook recopilan datos del usuario para una experiencia de aplicación personalizada; sin embargo, rastrean la actividad del usuario en otras aplicaciones, lo que pone en peligro la privacidad y los datos de los usuarios. Al controlar la visibilidad de estos avisos de cookies, las empresas pueden recopilar datos de forma discreta, lo que les otorga más poder sobre los consumidores. [15]
A medida que avanzan las capacidades de seguimiento de ubicación de los dispositivos móviles ( servicios basados en la ubicación ), surgen problemas relacionados con la privacidad del usuario. Los datos de ubicación se encuentran entre los datos más confidenciales que se recopilan actualmente. [16] La Electronic Frontier Foundation publicó en 2009 una lista de información profesional y personal potencialmente confidencial que podría inferirse acerca de que un individuo conociera solo su rastro de movilidad . [17] Estos incluyen los movimientos de una fuerza de ventas competidora, la asistencia a una iglesia en particular o la presencia de un individuo en un motel o en una clínica de abortos. Un estudio reciente del MIT [18] [19] realizado por de Montjoye et al. demostró que cuatro puntos espacio-temporales, lugares y tiempos aproximados, son suficientes para identificar de forma única al 95% de 1,5 millones de personas en una base de datos de movilidad. El estudio muestra además que estas limitaciones se mantienen incluso cuando la resolución del conjunto de datos es baja. Por lo tanto, incluso los conjuntos de datos toscos o borrosos proporcionan poco anonimato.
Es posible que las personas no deseen que sus registros médicos sean revelados a otros debido a la confidencialidad y sensibilidad de lo que la información podría revelar sobre su salud. Por ejemplo, es posible que les preocupe que esto pueda afectar su cobertura de seguro o su empleo. O puede ser porque no desearían que otros supieran sobre ninguna condición o tratamiento médico o psicológico que les avergonzaría a ellos mismos. Revelar datos médicos también podría revelar otros detalles sobre la vida personal. [20] Hay tres categorías principales de privacidad médica: informativa (el grado de control sobre la información personal), física (el grado de inaccesibilidad física para los demás) y psicológica (el grado en que el médico respeta las creencias culturales e internas de los pacientes). pensamientos, valores, sentimientos y prácticas religiosas y les permite tomar decisiones personales). [21] Los médicos y psiquiatras en muchas culturas y países tienen estándares para las relaciones médico-paciente , que incluyen el mantenimiento de la confidencialidad. En algunos casos, el privilegio médico-paciente está protegido legalmente. Estas prácticas existen para proteger la dignidad de los pacientes y garantizar que los pacientes se sientan libres de revelar la información completa y precisa necesaria para recibir el tratamiento correcto. [22] Para ver las leyes de los Estados Unidos que rigen la privacidad de la información médica privada, consulte HIPAA y la Ley HITECH . La ley australiana es la Ley de Privacidad de 1988 de Australia, así como la legislación estatal sobre registros médicos.
La privacidad política ha sido una preocupación desde que surgieron los sistemas de votación en la antigüedad. El voto secreto es la medida más simple y más extendida para garantizar que nadie más que los propios votantes conozca las opiniones políticas; es casi universal en la democracia moderna y se considera un derecho básico de la ciudadanía . De hecho, incluso cuando no existen otros derechos de privacidad , este tipo de privacidad sí suele existir. Existen varias formas de fraude electoral o violaciones de la privacidad posibles con el uso de máquinas de votación digitales. [23]
La protección legal del derecho a la privacidad en general –y de la privacidad de los datos en particular– varía mucho en todo el mundo. [24]
Las leyes y regulaciones relacionadas con la Privacidad y la Protección de Datos cambian constantemente, se considera importante mantenerse al tanto de cualquier cambio en la ley y reevaluar continuamente el cumplimiento de las regulaciones de seguridad y privacidad de los datos. [25] Dentro del mundo académico, las Juntas de Revisión Institucional funcionan para asegurar que se tomen las medidas adecuadas para garantizar tanto la privacidad como la confidencialidad de los sujetos humanos en la investigación. [26]
Existen preocupaciones sobre la privacidad dondequiera que se recopile, almacene, utilice y finalmente destruya o elimine información de identificación personal u otra información confidencial , ya sea en forma digital o de otro modo. Un control de divulgación inadecuado o inexistente puede ser la causa fundamental de los problemas de privacidad. Los mecanismos de consentimiento informado , incluido el consentimiento dinámico, son importantes para comunicar a los interesados los diferentes usos de su información de identificación personal. Pueden surgir problemas de privacidad de datos en respuesta a información procedente de una amplia gama de fuentes, como por ejemplo: [27]
El Departamento de Comercio de Estados Unidos creó el programa de certificación de Principios Internacionales de Privacidad de Puerto Seguro en respuesta a la Directiva sobre Protección de Datos de 1995 (Directiva 95/46/EC) de la Comisión Europea. [31] Tanto los Estados Unidos como la Unión Europea declaran oficialmente que están comprometidos a defender la privacidad de la información de las personas, pero el primero ha causado fricciones entre los dos al no cumplir con los estándares de las leyes más estrictas de la UE sobre datos personales. La negociación del programa Safe Harbor tenía como objetivo, en parte, abordar este problema de larga data. [32] La Directiva 95/46/CE declara en el Capítulo IV, artículo 25, que los datos personales sólo podrán transferirse desde los países del Espacio Económico Europeo a países que proporcionen una protección adecuada de la privacidad. Históricamente, establecer la adecuación requirió la creación de leyes nacionales ampliamente equivalentes a las implementadas por la Directiva 95/46/UE. Aunque existen excepciones a esta prohibición general –por ejemplo, cuando la divulgación a un país fuera del EEE se realiza con el consentimiento de la persona pertinente (Artículo 26(1)(a))–, su alcance práctico es limitado. Como resultado, el Artículo 25 creó un riesgo legal para las organizaciones que transfieren datos personales de Europa a los Estados Unidos.
El programa regula el intercambio de información de registros de nombres de pasajeros entre la UE y EE.UU. Según la directiva de la UE, los datos personales solo pueden transferirse a terceros países si ese país proporciona un nivel adecuado de protección. Se prevén algunas excepciones a esta regla, por ejemplo cuando el propio responsable del tratamiento puede garantizar que el destinatario cumplirá las normas de protección de datos.
La Comisión Europea ha creado el "Grupo de Trabajo sobre la Protección de las Personas en lo que respecta al Tratamiento de Datos Personales", comúnmente conocido como "Grupo de Trabajo del Artículo 29". El Grupo de Trabajo asesora sobre el nivel de protección en la Unión Europea y terceros países. [33]
El Grupo de Trabajo negoció con representantes estadounidenses sobre la protección de datos personales y el resultado fueron los Principios de Puerto Seguro . A pesar de esa aprobación, el enfoque de autoevaluación del Puerto Seguro sigue siendo controvertido entre varios reguladores y comentaristas de privacidad europeos. [34]
El programa Safe Harbor aborda esta cuestión de la siguiente manera: en lugar de imponer una ley general a todas las organizaciones en los Estados Unidos , la Comisión Federal de Comercio aplica un programa voluntario . Las organizaciones estadounidenses que se registran en este programa, después de haber autoevaluado su cumplimiento de una serie de normas, se "consideran adecuadas" a los efectos del artículo 25. Se puede enviar información personal a dichas organizaciones desde el EEE sin que el remitente infrinja las normas. Artículo 25 o sus equivalentes nacionales de la UE. El puerto seguro fue aprobado por la Comisión Europea el 26 de julio de 2000 como protección adecuada de los datos personales, a los efectos del artículo 25(6) .
Según el Puerto Seguro, las organizaciones adoptadas deben considerar cuidadosamente su cumplimiento de las obligaciones de transferencia posterior , donde los datos personales originados en la UE se transfieren al Puerto Seguro de EE. UU. y luego a un tercer país. El enfoque de cumplimiento alternativo de " normas corporativas vinculantes ", recomendado por muchos reguladores de privacidad de la UE, resuelve este problema. Además, cualquier disputa que surja en relación con la transferencia de datos de recursos humanos al puerto seguro de EE. UU. debe ser examinada por un panel de reguladores de privacidad de la UE. [36]
En julio de 2007, se firmó un nuevo y controvertido acuerdo [37] sobre registro de nombres de pasajeros entre Estados Unidos y la UE. [38] Poco tiempo después, la administración Bush eximió al Departamento de Seguridad Nacional , al Sistema de Información de Llegadas y Salidas (ADIS) y al Sistema Automatizado de Objetivos de la Ley de Privacidad de 1974 . [39]
En febrero de 2008, Jonathan Faull , jefe de la Comisión de Asuntos Internos de la UE, se quejó de la política bilateral de Estados Unidos en relación con el PNR. [40] Estados Unidos había firmado en febrero de 2008 un memorando de entendimiento (MOU) con la República Checa a cambio de un plan de exención de visa, sin concertar previamente con Bruselas. [37] Las tensiones entre Washington y Bruselas se deben principalmente a un menor nivel de protección de datos en los EE.UU., especialmente porque los extranjeros no se benefician de la Ley de Privacidad de los EE.UU. de 1974 . Otros países a los que se contactó para un MOU bilateral fueron el Reino Unido, Estonia, Alemania y Grecia. [41]
{{cite book}}
: Mantenimiento CS1: falta la ubicación del editor ( enlace ) Mantenimiento CS1: otros ( enlace ){{cite web}}
: Mantenimiento CS1: varios nombres: lista de autores ( enlace ){{cite journal}}
: Mantenimiento CS1: varios nombres: lista de autores ( enlace ){{cite web}}
: Mantenimiento CS1: copia archivada como título ( enlace ){{cite book}}
: Mantenimiento CS1: otros ( enlace ){{cite web}}
: Mantenimiento CS1: URL no apta ( enlace )