Privacidad de la información - Information privacy

La privacidad de la información es la relación entre la recopilación y difusión de datos , la tecnología , la expectativa pública de privacidad y los problemas legales y políticos que los rodean. También se conoce como privacidad de datos o protección de datos .

La privacidad de los datos es un desafío, ya que intenta usar los datos mientras protege las preferencias de privacidad de un individuo y la información de identificación personal. Los campos de la seguridad informática , la seguridad de los datos y la seguridad de la información diseñan y utilizan software , hardware y recursos humanos para abordar este problema.

Autoridades

Leyes

Autoridades por país

Tipos de información

Varios tipos de información personal a menudo se encuentran bajo preocupaciones de privacidad.

Televisión por cable

Esto describe la capacidad de controlar la información que uno revela sobre uno mismo a través de la televisión por cable y quién puede acceder a esa información. Por ejemplo, terceros pueden rastrear programas de TV IP que alguien haya visto en un momento dado. "No se requiere agregar ninguna información en una transmisión de transmisión para una encuesta de calificación de audiencia, no se requiere que se instalen dispositivos adicionales en las casas de los espectadores u oyentes, y sin la necesidad de su cooperación, las calificaciones de audiencia se pueden realizar automáticamente en tiempo real."

Educativo

En el Reino Unido, en 2012, el Secretario de Educación Michael Gove describió la Base de datos nacional de alumnos como un "conjunto de datos enriquecido" cuyo valor podría "maximizarse" haciéndolo más accesible, incluso para las empresas privadas. Kelly Fiveash de The Register dijo que esto podría significar que "la vida escolar de un niño, incluidos los resultados de los exámenes, la asistencia, las evaluaciones de los maestros e incluso las características", podría estar disponible, con organizaciones de terceros responsables de anonimizar cualquier publicación, en lugar de anonimizar los datos. por el gobierno antes de ser entregado. Un ejemplo de una solicitud de datos que Gove indicó que había sido rechazada en el pasado, pero que podría ser posible con una versión mejorada de las regulaciones de privacidad, fue el "análisis de la explotación sexual".

Financiero

La información sobre las transacciones financieras de una persona, incluida la cantidad de activos, posiciones mantenidas en acciones o fondos, deudas pendientes y compras, puede ser sensible. Si los delincuentes obtienen acceso a información como las cuentas de una persona o los números de tarjetas de crédito, esa persona podría convertirse en víctima de fraude o robo de identidad . La información sobre las compras de una persona puede revelar mucho sobre la historia de esa persona, como los lugares que ha visitado, con quién se ha puesto en contacto, los productos que ha utilizado, sus actividades y hábitos, o los medicamentos que ha utilizado. ella ha usado. En algunos casos, las corporaciones pueden usar esta información para dirigirse a personas con marketing personalizado según las preferencias personales de esas personas, que esa persona puede o no aprobar.

Internet

La capacidad de controlar la información que uno revela sobre uno mismo a través de Internet, y quién puede acceder a esa información, se ha convertido en una preocupación creciente. Estas preocupaciones incluyen si el correo electrónico puede ser almacenado o leído por terceros sin consentimiento, o si terceros pueden continuar rastreando los sitios web que alguien visitó. Otra preocupación es si los sitios web visitados pueden recopilar, almacenar y posiblemente compartir información de identificación personal sobre los usuarios.

La llegada de varios motores de búsqueda y el uso de la minería de datos creó una capacidad para que los datos sobre personas se recopilen y combinen de una amplia variedad de fuentes con mucha facilidad. La FTC ha proporcionado un conjunto de pautas que representan conceptos ampliamente aceptados sobre las prácticas de información justa en un mercado electrónico llamado Principios de Práctica de Información Justa .

Para evitar revelar demasiada información personal, los correos electrónicos deben estar encriptados. La navegación de páginas web, así como otras actividades en línea, debe realizarse sin dejar rastro a través de "anonimizadores", en caso de que no sean confiables, mediante anonimizadores distribuidos de código abierto, las llamadas redes mixtas , como I2P o Tor - The Onion Router . Las VPN ( redes privadas virtuales ) son otro "anonimizador" que se puede utilizar para brindar a alguien más protección mientras está en línea. Esto incluye ofuscar y encriptar el tráfico web para que otros grupos no puedan verlo o minarlo.

El correo electrónico no es el único contenido de Internet con problemas de privacidad. En una época en la que hay cada vez más información en línea, los sitios de redes sociales plantean desafíos de privacidad adicionales. Las personas pueden ser etiquetadas en fotos o tener información valiosa expuesta sobre ellos mismos, ya sea por elección o inesperadamente por otros, lo que se conoce como vigilancia participativa . Los datos sobre la ubicación también se pueden publicar accidentalmente, por ejemplo, cuando alguien publica una imagen con una tienda como fondo. Se debe tener precaución al publicar información en línea, las redes sociales varían en lo que permiten a los usuarios hacer privado y lo que permanece accesible al público. Sin una configuración de seguridad sólida y una atención cuidadosa a lo que sigue siendo público, una persona puede ser perfilada mediante la búsqueda y recopilación de datos dispares, lo que en el peor de los casos conduce a casos de acoso cibernético o daño a la reputación.

Las cookies se utilizan en sitios web en los que los usuarios pueden permitir que el sitio web recupere cierta información de Internet del usuario que generalmente no menciona cuáles son los datos que se están recuperando. Es un método común utilizado para monitorear y rastrear la actividad de los usuarios en Internet. En 2018, el Reglamento General de Protección de Datos (GDPR) aprobó un reglamento que obliga a los sitios web a revelar visiblemente a los consumidores sus prácticas de privacidad de la información, conocidas como avisos de cookies. Esto se emitió para darles a los consumidores la opción de qué información sobre su comportamiento aceptan permitir que los sitios web rastreen, sin embargo, su efectividad es controvertida. Algunos sitios web pueden participar en prácticas engañosas, como colocar avisos de cookies en lugares de la página que no son visibles, o solo notificar a los consumidores que se está rastreando su información, pero no les permite cambiar su configuración de privacidad.

Ubicacional

A medida que avanzan las capacidades de seguimiento de la ubicación de los dispositivos móviles ( servicios basados ​​en la ubicación ), surgen problemas relacionados con la privacidad del usuario. Los datos de ubicación se encuentran entre los datos más confidenciales que se recopilan actualmente. La Electronic Frontier Foundation publicó recientemente una lista de información personal y profesional potencialmente sensible que podría inferirse sobre un individuo que solo conoce su rastro de movilidad. Estos incluyen los movimientos de la fuerza de ventas de la competencia, la asistencia a una iglesia en particular o la presencia de un individuo en un motel o en una clínica de abortos. Un estudio reciente del MIT realizado por de Montjoye et al. mostró que cuatro puntos espacio-temporales, lugares y tiempos aproximados, son suficientes para identificar de forma única al 95% de 1,5 millones de personas en una base de datos de movilidad. El estudio muestra además que estas limitaciones se mantienen incluso cuando la resolución del conjunto de datos es baja. Por lo tanto, incluso los conjuntos de datos burdos o borrosos proporcionan poco anonimato.

Médico

Es posible que las personas no deseen que sus registros médicos se revelen a otras personas debido a la confidencialidad y sensibilidad de lo que la información podría revelar sobre su salud. Por ejemplo, es posible que les preocupe que pueda afectar su cobertura de seguro o su empleo. O puede deberse a que no desearían que otros supieran acerca de condiciones o tratamientos médicos o psicológicos que los avergonzarían a sí mismos. Revelar datos médicos también podría revelar otros detalles sobre la vida personal. Hay tres categorías principales de privacidad médica: informativa (el grado de control sobre la información personal), física (el grado de inaccesibilidad física para los demás) y psicológica (el grado en que el médico respeta las creencias culturales, los pensamientos internos y los valores de los pacientes). , sentimientos y prácticas religiosas y les permite tomar decisiones personales). Los médicos y psiquiatras de muchas culturas y países tienen estándares para las relaciones médico-paciente , que incluyen el mantenimiento de la confidencialidad. En algunos casos, el privilegio médico-paciente está protegido legalmente. Estas prácticas se implementan para proteger la dignidad de los pacientes y para garantizar que los pacientes se sientan libres de revelar la información completa y precisa necesaria para que reciban el tratamiento correcto. Para ver las leyes de los Estados Unidos que rigen la privacidad de la información médica privada, consulte HIPAA y la Ley HITECH . La ley australiana es la Ley de Privacidad de 1988 de Australia , así como la legislación estatal sobre registros de salud.

Político

La privacidad política ha sido una preocupación desde que surgieron los sistemas de votación en la antigüedad. El voto secreto es la medida más simple y extendida para asegurar que las opiniones políticas no sean conocidas por nadie más que por los propios votantes; es casi universal en la democracia moderna y se considera un derecho básico de ciudadanía . De hecho, incluso cuando no existen otros derechos de privacidad , este tipo de privacidad sí existe con mucha frecuencia. Desafortunadamente, existen varias formas de fraude electoral o violaciones de la privacidad posibles con el uso de máquinas de votación digitales.

Legalidad

La protección legal del derecho a la privacidad en general, y de la privacidad de los datos en particular, varía mucho en todo el mundo.

Las leyes y regulaciones relacionadas con la privacidad y la protección de datos cambian constantemente, se considera importante mantenerse al tanto de cualquier cambio en la ley y reevaluar continuamente el cumplimiento de las regulaciones de privacidad y seguridad de los datos. Dentro del mundo académico, las Juntas de Revisión Institucional funcionan para asegurar que se tomen las medidas adecuadas para asegurar tanto la privacidad como la confidencialidad de los sujetos humanos en la investigación.

Las preocupaciones sobre la privacidad existen siempre que se recopila, almacena, utiliza y finalmente se destruye o elimina información de identificación personal u otra información confidencial , en forma digital o de otro modo. El control de divulgación inadecuado o inexistente puede ser la causa principal de los problemas de privacidad. Los mecanismos de consentimiento informado , incluido el consentimiento dinámico, son importantes para comunicar a los interesados ​​los diferentes usos de su información de identificación personal. Los problemas de privacidad de los datos pueden surgir en respuesta a información de una amplia gama de fuentes, como:

Protección de la privacidad en los sistemas de información

Dado que los sistemas de información heterogéneos con diferentes reglas de privacidad están interconectados y la información se comparte, se requerirán dispositivos de políticas para conciliar, hacer cumplir y monitorear una cantidad cada vez mayor de reglas (y leyes) de políticas de privacidad. Hay dos categorías de tecnología para abordar la protección de la privacidad en los sistemas informáticos comerciales : comunicación y aplicación.

Comunicación de políticas
  • P3P: la plataforma de preferencias de privacidad. P3P es un estándar para comunicar las prácticas de privacidad y compararlas con las preferencias de las personas.
Politica de ACCION
  • XACML: el lenguaje de marcado de control de acceso extensible junto con su perfil de privacidad es un estándar para expresar políticas de privacidad en un lenguaje legible por máquina que un sistema de software puede utilizar para hacer cumplir la política en los sistemas de TI empresariales.
  • EPAL : el lenguaje de autorización de privacidad empresarial es muy similar a XACML, pero aún no es un estándar.
  • WS-Privacy: "Privacidad del servicio web" será una especificación para comunicar la política de privacidad en los servicios web . Por ejemplo, puede especificar cómo se puede incrustar la información de la política de privacidad en el sobre SOAP de un mensaje de servicio web.
Protección de la privacidad en Internet

En Internet, muchos usuarios dan mucha información sobre sí mismos: los administradores de un servidor de correo electrónico pueden leer los correos electrónicos no cifrados, si la conexión no está cifrada (sin HTTPS ), y también el proveedor de servicios de Internet y otros las partes que olfatean el tráfico de red de esa conexión pueden conocer el contenido. Lo mismo se aplica a cualquier tipo de tráfico generado en Internet, incluyendo navegación web , mensajería instantánea y otros. Para no revelar demasiada información personal, los correos electrónicos se pueden cifrar y la navegación por páginas web, así como otras actividades en línea, puede realizarse sin dejar rastro a través de anonimizadores o mediante anonimizadores distribuidos de código abierto, las llamadas redes mixtas . Las redes mixtas de código abierto más conocidas incluyen I2P - The Anonymous Network y Tor .

Mejorar la privacidad a través de la individualización

La privacidad de la computadora se puede mejorar mediante la individualización . Actualmente, los mensajes de seguridad están diseñados para el "usuario medio", es decir, el mismo mensaje para todos. Los investigadores han postulado que los mensajes individualizados y los "empujones" de seguridad, elaborados en función de las diferencias individuales y los rasgos de personalidad de los usuarios, se pueden utilizar para mejorar aún más el cumplimiento de cada persona con la seguridad y la privacidad de las computadoras.

Problemas con el programa de puerto seguro de los Estados Unidos y el registro de nombres de los pasajeros

El Departamento de Comercio de los Estados Unidos creó el programa de certificación International Safe Harbor Privacy Principles en respuesta a la Directiva de 1995 sobre Protección de Datos (Directiva 95/46 / EC) de la Comisión Europea. Tanto Estados Unidos como la Unión Europea declaran oficialmente que están comprometidos con la protección de la privacidad de la información de las personas, pero el primero ha causado fricciones entre los dos al no cumplir con los estándares de las leyes más estrictas de la UE sobre datos personales. La negociación del programa Safe Harbor fue, en parte, para abordar este problema de larga duración. La Directiva 95/46 / CE declara en el Capítulo IV Artículo 25 que los datos personales solo pueden ser transferidos desde los países del Espacio Económico Europeo a países que brindan una protección adecuada de la privacidad. Históricamente, establecer la adecuación requería la creación de leyes nacionales ampliamente equivalentes a las implementadas por la Directiva 95/46 / UE. Aunque existen excepciones a esta prohibición general, por ejemplo, cuando la divulgación a un país fuera del EEE se realiza con el consentimiento de la persona pertinente (artículo 26 (1) (a)), su alcance práctico es limitado. Como resultado, el artículo 25 creó un riesgo legal para las organizaciones que transfieren datos personales de Europa a los Estados Unidos.

El programa regula el intercambio de información de registro de nombres de pasajeros entre la UE y los EE. UU. Según la directiva de la UE, los datos personales solo pueden transferirse a terceros países si ese país proporciona un nivel de protección adecuado. Se proporcionan algunas excepciones a esta regla, por ejemplo, cuando el propio responsable del tratamiento puede garantizar que el destinatario cumplirá con las normas de protección de datos.

La Comisión Europea ha creado el "Grupo de trabajo sobre la protección de las personas en lo que respecta al procesamiento de datos personales", comúnmente conocido como el "Grupo de trabajo del artículo 29". El Grupo de Trabajo asesora sobre el nivel de protección en la Unión Europea y terceros países.

El Grupo de Trabajo negoció con representantes de Estados Unidos sobre la protección de datos personales, los Principios de Puerto Seguro fueron el resultado. A pesar de esa aprobación, el enfoque de autoevaluación del puerto seguro sigue siendo controvertido con varios reguladores y comentaristas europeos de la privacidad.

El programa Safe Harbor aborda este problema de la siguiente manera: en lugar de imponer una ley general a todas las organizaciones en los Estados Unidos , la Comisión Federal de Comercio aplica un programa voluntario . Las organizaciones estadounidenses que se registran en este programa, habiendo autoevaluado su cumplimiento con una serie de estándares, se consideran "adecuadas" a los efectos del artículo 25. La información personal puede enviarse a dichas organizaciones desde el EEE sin que el remitente infrinja las Artículo 25 o sus equivalentes nacionales de la UE. El puerto seguro fue aprobado por la Comisión Europea el 26 de julio de 2000 por proporcionar una protección adecuada de los datos personales, a los efectos del artículo 25 (6).

En el marco del puerto seguro, las organizaciones de adoptados deben considerar cuidadosamente su cumplimiento de las obligaciones de transferencia ulterior , en las que los datos personales que se originan en la UE se transfieren al puerto seguro de EE. UU. Y luego a un tercer país. El enfoque de cumplimiento alternativo de " reglas corporativas vinculantes ", recomendado por muchos reguladores de privacidad de la UE, resuelve este problema. Además, cualquier disputa que surja en relación con la transferencia de datos de recursos humanos al puerto seguro de EE. UU. Debe ser escuchada por un panel de reguladores de privacidad de la UE.

En julio de 2007, se firmó un nuevo y controvertido acuerdo de registro de nombres de pasajeros entre los EE. UU. Y la UE. Poco tiempo después, la administración Bush otorgó una exención al Departamento de Seguridad Nacional , al Sistema de Información de Llegada y Salida (ADIS) y al Sistema Automatizado de Objetivos de la Ley de Privacidad de 1974 .

En febrero de 2008, Jonathan Faull , jefe de la Comisión de Asuntos Internos de la UE, se quejó de la política bilateral de Estados Unidos con respecto al PNR. EE.UU. había firmado en febrero de 2008 un memorando de entendimiento (MOU) con la República Checa a cambio de un plan de exención de visado, sin concertar previamente con Bruselas. Las tensiones entre Washington y Bruselas se deben principalmente a un menor nivel de protección de datos en los EE. UU., Especialmente porque los extranjeros no se benefician de la Ley de Privacidad de los EE. UU . De 1974 . Otros países a los que se contactó para un memorando de entendimiento bilateral fueron el Reino Unido, Estonia, Alemania y Grecia.

Ver también

Específico de informática
Organizaciones
Académicos que trabajan en el campo.

Referencias

Otras lecturas

enlaces externos

Internacional
Europa
America latina
Norteamérica
Revistas