Información jurídica inteligente
 España | 900 649 672

Marcos para la privacidad en el entorno de las operaciones en línea.

Document Citas 2 Citado por Relacionados
Vincent
AutorJos Dumortier y Caroline Goemans
CargoICRI

Asunto: La ausencia de garantías legales para el comercio y la falta de transparencia para los consumidores podría obstaculizar el desarrollo de una economía digital a nivel mundial. La Directiva Europea de protección de datos de 1995, que actualmente se está traspasando a la legislación nacional de los Estados Miembros, proporciona un marco legal general para la protección de los individuos en lo que se refiere al tratamiento de sus datos personales. Pero existe todavía una necesidad urgente de reglas prácticas y equilibradas en esta materia.

Relevancia: Cualquiera de estas reglas se beneficiaría de la autorregulación y del consenso entre todas las partes interesadas. A lo largo de los años se ha desarrollado y perfeccionado un conjunto de mecanismos para este proceso de formación de consenso dentro del contexto de la normalización. Considerando el conjunto de herramientas para la normalización en la discusión sobre la privacidad y el comercio electrónico, deberá prestarse una atención especial a determinadas condiciones que debe cumplir cualquier régimen correcto de autorregulación.

--------------------------------------------------------------------------------

Introducción

El comercio electrónico no puede concebirse sin el tratamiento de datos personales. A pesar del crecimiento explosivo del número de usuarios de Internet, de acuerdo con la Investigación Forrester, sobre un 70% de sitios Web sólo un 2% de los navegantes se convierten en compradores (Anwang, 1999). Por ello, el reto principal de un comerciante en línea es establecer una relación personal con el visitante del sitio Web, y adaptar los productos o los servicios ofrecidos a los clientes que pudieran estar interesados en ellos. Citando a un editorialista: "La batalla no es para los ojos; es una batalla para la confianza, para los corazones y para las mentes" (Miller 1999).

La creación de una relación personal con los clientes es una parte esencial del comercio electrónico; por ello, los negocios electrónicos no pueden concebirse sin el tratamiento de los datos personales

Personalización y protección de la privacidad: claves para un comercio electrónico eficaz

El éxito del comercio electrónico depende en gran manera de la posibilidad de presentar los productos y los servicios adecuados a la persona adecuada. La moderna tecnología de Web hace posible crear un entorno comercial personalizado para cada cliente en particular. La tienda en línea expone sólo mensajes comerciales que encajan perfectamente con el perfil del cliente.

Hasta ahora probablemente sólo hemos arañado la superficie de las posibilidades de personalización de la Web. En un futuro próximo, podemos esperar una personalización más integrada, donde se mantendrá el perfil del cliente a través de todos los canales de venta, y donde se emplearán técnicas mejores para gestionar las categorías de clientes y de productos y para ofrecer incentivos y promociones en tiempo real.

En el futuro, las tiendas en línea utilizarán cada vez más la información con perfil para personalizar el entorno, adaptándolo a cada cliente particular

Esta clase de personalización sólo será posible si el cliente tiene la garantía de que cualquier dato personal comunicado por él o recogido en otras fuentes no será utilizado indebidamente para otros fines. Un grave impedimento para el futuro desarrollo del comercio electrónico es el temor de los consumidores a que la información que comunican (o que generan) se utilice de un modo que ellos no autorizarían. Casi un 87% de los que contestaron a una reciente encuesta a usuarios experimentados de Internet en EE.UU. manifestó que estaban algo preocupados, o muy preocupados, por las amenazas a su privacidad en línea (Cranor, 1999).

Ley de protección de datos personales en la Unión Europea

Es evidente que el tratamiento de los datos personales en el contexto del comercio electrónico deberá mantenerse dentro de los límites de la ley. En la Unión Europea, el principal texto legal sobre esta materia es la Directiva Europea de Protección de Datos de 1995. La directiva contiene una serie de reglas generales que los Estados Miembros deberán traspasar a sus legislaciones nacionales antes de finales de octubre de 1998 (Directiva EC 1995).

La Directiva Europea de Protección de Datos de 1995 pretende garantizar los derechos de los individuos respecto a sus datos personales, y al mismo tiempo facilitar la libre circulación de estos datos dentro de la UE

La directiva persigue dos objetivos estrechamente ligados: por una parte, asegurar los derechos de los individuos respecto al tratamiento de sus datos personales, y por otra, facilitar que se beneficie el comercio con la garantía de que estos datos podrán circular libremente dentro de la Unión Europea. A este respecto, hay que tener en cuenta que la Directiva proporciona solamente un marco y que gran parte de la efectividad de la protección de datos personales dependerá de los diversos mecanismos de implementación.

La consecuencia de la Directiva Europea es que los principios de protección de datos tendrán que incorporarse dentro de una ley amplia. Estos principios son aplicables a todos los sectores de la economía y es necesario hacer posible la penalización del incumplimiento y que los individuos tengan derecho a compensaciones. La ley deberá incorporar mecanismos de procedimiento adicionales, tales como el establecimiento de autoridades supervisoras independientes con funciones de vigilancia y de investigación de reclamaciones.

Para el propietario de un sitio Web en Europa, esto significa que los datos personales de los posibles clientes no pueden ser tratados sin tener en cuenta su legislación nacional de protección de datos. En esta legislación encontrará un amplio conjunto de reglas y procedimientos generales, derivado directamente de la Directiva Europea. Sin embargo, queda por resolver un problema delicado en la traducción de este marco legal general a directrices específicas que puedan aplicarse directamente al contexto del comercio electrónico.

La Directiva pretende establecer códigos de conducta que se utilicen de un modo que tenga en cuenta las diferentes prácticas nacionales y sectoriales

Por ello, la propia Directiva establece que los Estados Miembros y la Comisión, en sus respectivas esferas de competencia, deben animar a las asociaciones comerciales, y a otras organizaciones representativas, a establecer códigos de conducta para facilitar la aplicación de la Directiva. Estos códigos deberán tener en cuenta las características específicas del tratamiento de los datos personales que se lleva a cabo en determinados sectores y deberán respetar las previsiones nacionales adoptadas para esta implementación. En la filosofía de la Directiva, las reglas particulares sobre protección de datos personales respecto al comercio en línea deberán desarrollarse en un código de conducta específico.

El planteamiento de EE.UU.

Los Estados Unidos han planteado de un modo diferente la reglamentación del uso de información personal. Las leyes europeas pretenden proteger los derechos individuales, más o menos de un modo preventivo, y confieren al Estado un papel activo como autoridad suprema, al menos en lo que se refiere al marco legal general. Por el contrario, la filosofía de la reglamentación de EE.UU. se basa más en una filosofía de intervención mínima por parte del estado. Para minimizar las intromisiones del estado en los flujos de información, los Estados Unidos plantean la reglamentación del tratamiento de datos personales más bien a través de la atención a la actividad sectorial y subsectorial diferenciada. Una ley amplia es muy poco frecuente (Schwarz y Reidenberg, 1996). No obstante, no deberían exagerarse los efectos prácticos del contraste entre los planteamientos establecidos a ambos lados del Atlántico.

En EE.UU. el planteamiento adoptado para el tema de la privacidad ha optado por un sistema con escasa intervención estatal

Una serie de asociaciones comerciales de EE.UU. ha promulgado directrices sobre prácticas de información honradas para promover normas de tratamiento de la información personal en industrias específicas. Las compañías han establecido políticas y prácticas, incluyendo códigos internos de conducta y procedimientos que ofrecen una protección suplementaria. Un número creciente de sitios Web de Internet presenta un botón que remite a una o más páginas que explican la política de privacidad del sitio.

En 1998, la Comisión Federal de Comercio (FTC, Federal Trade Commission) pidió a las asociaciones comerciales y a los grupos industriales que remitieran voluntariamente copias de sus directrices y principios sobre práctica de información en línea. El examen de estas directrices demostró que no todas ellas abordaban los principios básicos de práctica honrada de la información ampliamente aceptados en EE.UU. (FTC, 1998).

La Comisión Federal de Comercio ha llevado a cabo encuestas para evaluar la efectividad de la autorregulación de la privacidad en línea. Estas encuestas han demostrado que, en muchos casos, no se habían tenido en cuenta los principios básicos de información honrada, ampliamente aceptados

La FTC examinó también las prácticas de los sitios comerciales de la World Wide Web para determinar si la autorregulación es un medio efectivo para proteger la privacidad del consumidor en la Web. La encuesta, realizada en 1998, en 1.400 sitios Web mostró que los esfuerzos de la industria para fomentar la adopción voluntaria del principio más básico de información honrada ¿ notificar al cliente que los datos personales recogidos en el sitio Web serían compartidos con otros para fines directos de marketing ¿ se han quedado muy cortos en cuanto a lo que se necesita para la protección de los clientes. En consecuencia, la FTC en su Informe de 1998 concluyó que, a la vista de estos hallazgos, se necesitaban incentivos sustancialmente mayores para estimular la autorregulación y garantizar una implementación amplia de los principios básicos de privacidad.

En su Informe de 1999 la FTC afirmó que los resultados de dos nuevas encuestas de los sitios Web comerciales sugería que las empresas en línea habían dado mucha más noticia de sus prácticas de información que en 1998. Sin embargo, los nuevos resultados demostraron que, a pesar de estos esfuerzos, la inmensa mayoría de incluso los sitios Web más visitados, no habían implementado totalmente determinados principios de práctica honrada de la información. Los problemas se referían principalmente a la provisión de acceso razonable para los consumidores en línea a los datos personales proporcionados por ellos y obtenidos sobre ellos, y al mantenimiento de una seguridad adecuada para dicha información (FTC, 1999). Por ello, la FTC decidió establecer un Comité Asesor del Acceso y Seguridad en Línea (ACOAS, Advisory Committee on Online Access and Security). El objetivo del Comité es dar asesoramiento y recomendaciones a la FTC respecto a la implementación de estas prácticas por sitios Web nacionales comerciales. Un tema de debate en el contexto del ACOAS es cómo podrá ser obligatoria la implementación de todos los principios de práctica honrada de la información sin la promulgación de una legislación exhaustiva (FTC, ACOAS).

Flujo internacional de datos personales

Uno de los futuros objetivos de la Directiva Europea de Protección de Datos es evitar el abuso de datos personales procedentes de la UE en terceros países donde no esté garantizada la protección adecuada. Por ello, la Directiva no sólo reglamenta el tratamiento de los datos personales en la UE sino que también incluye previsiones para la transferencia de datos a terceros países. El principio básico es que los Estados Miembros permitirían este tipo de transferencia solamente si los terceros países en cuestión garantizaran un nivel de protección "adecuado". Puesto que en EE.UU. confían más en un planteamiento sectorial y autorregulado que en una legislación amplia para la protección efectiva de la privacidad, muchas organizaciones estadounidenses han expresado sus dudas acerca del impacto de la norma de "adecuación" en las transferencias de datos personales desde la UE a EE.UU.

La Directiva Europea de Protección de Datos también pretende controlar el flujo de datos personales a terceros países, permitiendo las transferencias solamente si el país en cuestión ofrece garantías adecuadas

Para proporcionar un marco más predecible y rentable para estas transferencias de datos el Departamento de Comercio de EE.UU. dictó bajo su autoridad estatutaria unos "principios de puerto seguro" para estimular, promover y desarrollar el comercio internacional. Los principios se desarrollaron consultando con la industria y el público en general. Están destinados únicamente para su utilización por organizaciones de EE.UU. que reciban datos personales de la UE y sólo con el fin de calificar el estatus de "puerto seguro" y la presunción de "adecuación" que ello crea. Las compañías de EE.UU. pueden incluirse en el "puerto seguro" por una autocertificación, sobre base totalmente voluntaria, de que se adhieren a estos principios de privacidad.

Actualmente los principios de "puerto seguro" están todavía en discusión. Uno de los problemas principales que queda por aclarar es el papel preciso que desempeñarán los diversos organismos de EE.UU. para hacer cumplir estos principios. Para la Comisión Europea, una condición previa para los principios de "puerto seguro" es que el planteamiento principal de autorregulación se haga cumplir realmente. Otro asunto es la petición de EE.UU de que se establezca un periodo de gracia, durante el cual las organizaciones estadounidenses tengan tiempo para prepararse para la entrada en el puerto seguro.

Las diferentes normas de protección de datos de EE.UU. y de la UE podrían ser abordadas por organizaciones individuales capaces de calificar el estatus de "puerto seguro" para satisfacer las exigencias de la UE

Sellos y otras herramientas y servicios de protección de datos

Incluso en EE.UU. se va entendiendo cada vez más que la simple publicación de algunos principios autodesarrollados sobre política de privacidad en el sitio Web no es suficiente para aumentar la confianza de los consumidores en línea respecto a la protección de sus datos personales. Un consumidor individual medio es generalmente incapaz de evaluar la calidad del código de privacidad de una compañía y no tiene medios para asegurarse de que la compañía cumple realmente con los propios principios que proclama.

Una posible respuesta a este problema es expedir "sellos" que certifiquen la política de información del sitio Web respecto a la información personal de los usuarios. Las compañías pueden someter su política de privacidad a una tercera parte más o menos neutral y obtener una "marca de confianza" si su política cumple determinados criterios. Lo que no está tan claro, sin embargo, es con qué efectividad se podrá controlar sistemáticamente el cumplimiento de la compañía con sus principios de privacidad. Las propias compañías siguen siendo también responsables del desarrollo de su propia política de privacidad. En la práctica, algunas de estas políticas son muy oscuras y difíciles de evaluar por un usuario ordinario de la Web.

Un planteamiento para el problema de la confianza del público en la privacidad en línea es la expedición de "sellos" o "marcas de confianza" que certifiquen de forma independiente el cumplimiento de un sitio con un código de conducta

Por ello, algunos servicios Web ofrecen negocios de comercio electrónico para favorecer la creación de una política de privacidad personalizada. Otros servicios no sólo expiden sellos y marcas de confianza sino que incluyen también un servicio de mediación en línea al que los clientes pueden dirigir sus quejas en caso de incumplimiento.

Poco a poco las herramientas y los servicios de protección de la privacidad se están convirtiendo en un negocio electrónico real por sí mismos. Por ejemplo, un servicio de la Web examina políticas de privacidad en una amplia serie de sitios Web y las evalúa de acuerdo con un sistema de cuatro estrellas. Un sitio de cuatro estrellas ¿ contacto (sólo) con autorización ¿ significa que este sitio no establece contacto con usted sin su permiso explícito y no comparte su información personalmente identificable con terceros. Por otra parte, si un sitio Web obtiene solamente una estrella, los consumidores saben que este sitio puede compartir su información personalmente identificable sin su permiso explícito.

Otro servicio lanzado recientemente procura facilitar que los consumidores posean su propio perfil y mantener privados sus datos de consumidores y usarlos para su beneficio, conveniencia y provecho. Una primera fase en el desarrollo del sistema da al proveedor, en nombre del consumidor, la autorización para ordenar a las empresas de marketing directo que eliminen de sus bases de datos el nombre del cliente y su información personal. Después de este proceso de "opt-out", el servicio comienza a actuar como intermediario personal para la distribución en línea de la información del perfil en nombre del consumidor individual.

Otros planteamientos incluyen la gestión por parte de los usuarios de sus propios perfiles y manteniendo privados sus datos. Para los que desean no revelar nada en absoluto existe una nueva gama de servicios de anonimato

Existe también una gama creciente de servicios de anonimato, que combinan el uso de seudónimos, codificación estricta e instalaciones de red. Un reciente servicio "proxy" permite a los usuarios bloquear la información que comúnmente se envía al sitio Web o también crear alias para registro en el sitio. Otro servicio envía el tráfico Internet del usuario a través de una serie de desviaciones favorecedoras de la privacidad e invita al usuario a crear varios seudónimos para utilizarlos en diferentes áreas de interés en línea. Sólo el usuario decide cuánta información personal constará en cada seudónimo y cuantos seudónimos diferentes quiere crear.

Para resumir, está naciendo una nueva industria con servicios que ayudan a los consumidores en línea a tener un mejor control del uso de sus datos. Prácticamente cada semana se anuncian nuevos servicios o herramientas para la protección de la privacidad. La amplia variedad de servicios y el constante desarrollo de nuevas ideas creativas en este campo constituyen sin duda un desarrollo muy positivo. Sin embargo, como la privacidad se convierte en una industria de sus propias normas, directrices y sistemas podría hacer que igualmente los consumidores y los editores de la Web levanten sus manos con frustración. Como en cualquier otro sector, la creatividad, la innovación y la competencia podrían obtener beneficios con un cierto grado de normalización (Lemley, 1996).

El papel de la normalización

Más que ningún otro campo, el comercio electrónico ha llegado a depender de las normas para asegurar la interoperabilidad y la adopción ubicua de la tecnología utilizada. Evidentemente, tanto las empresas como los usuarios podrán participar de forma más efectiva si los sistemas trabajan conjuntamente, y el proceso de normalización puede ofrecer una contribución significativa al logro de este éxito. Los consumidores individuales se sentirán más confiados si los sistemas funcionan sin solución de continuidad, de forma eficiente, segura y efectiva a través de planteamientos comunes. Este objetivo es el impulsor de una de las iniciativas de normalización dentro del contexto de Internet, conocida como "P3P". La Plataforma de Preferencias de Privacidad (P3P) es una iniciativa del Consorcio World Wide Web (W3C) que permite a los usuarios negociar con un servicio Web sobre el uso de información personal. La negociación se dirige mediante un procedimiento normalizado (W3C, 1999)

Cuadro 1: ¿Qué es la P3P?

Como primer paso para alcanzar un acuerdo, un servicio envía una propuesta legible por máquina en la que declara sus prácticas de privacidad. El conjunto de enunciados que podrían hacerse en una propuesta está definido por el vocabulario armonizado, que es un conjunto fundamental de declaraciones de práctica de la información. Los enunciados se analizan automáticamente por el browser de la Web del usuario y se comparan con las preferencias de privacidad establecidas por el usuario. Así el usuario no necesita leer las políticas de privacidad en cada sitio Web que visite. Si una propuesta coincide con las preferencias del usuario, el browser de la Web la aceptará automáticamente. Si la propuesta y las preferencias son incompatibles, el programa browser indicará al usuario que rechace la propuesta, que envíe al servicio una propuesta alternativa o que le pida otra propuesta.

Esta clase de normalización no es necesariamente un obstáculo para la innovación o la competencia. Por el contrario, basta con observar el mercado altamente competitivo de la telefonía móvil en Europa para ver cómo pueden ir cogidas de la mano las normas y la competencia. La normalización podría crear un mercado más transparente para los servicios de protección de la privacidad del consumidor. Mejoraría su capacidad para comparar las diversas ofertas y le haría más fácil cambiar de un proveedor a otro. Esto podría incluso bajar los precios de acceso al mercado y estimular la competencia.

La normalización podría crear un mercado más transparente para los servicios de protección de la privacidad del consumidor. Una iniciativa en esta dirección es la P3P, la Plataforma para la Privacidad Personal

El sistema de normalización subraya las fuertes posibilidades de creación de redes de la "comunidad de normas". El objetivo es aprovechar plenamente estas capacidades.

Conclusión

Para conseguir el éxito de cualquier iniciativa de normalización deben cumplirse determinadas condiciones. La primera condición para el éxito es invitar a todas las partes interesadas para que participen en la discusión. Esto incluye no sólo a las empresas y a los consumidores, sino también a los representantes del gobierno y a las autoridades supervisoras de la protección de datos. En segundo lugar, una iniciativa de normalización debe comenzar con una agenda abierta. La discusión no deberá fijarse sobre un producto en particular. La normalización debe considerarse fundamentalmente como un método de trabajo.

En tercer lugar, es importante para todas las partes tener presente en todo momento que todos deberían tener siempre algo que ganar. Cada una de las partes participantes tiene que tener un incentivo para continuar la discusión. En cuarto lugar, y más específicamente respecto a la protección de datos personales y el comercio electrónico, la iniciativa de normalización debe considerarse como un complemento del marco de regulación existente (Swire, 1996). Esta iniciativa deberá ayudar a las empresas a implementar con mayor efectividad las reglamentaciones legales y a aumentar la seguridad para los usuarios.

En quinto lugar, el objetivo debe seguir siendo reducir la complejidad y facilitar la protección de la privacidad, permitiendo al mismo tiempo un comercio electrónico competitivo. El aumento de la complejidad y la introducción de más burocracia no es un resultado deseable. Por último, aunque no menos importante, la normalización debe considerarse como un proceso permanente. Las normas son documentos vivos y su flexibilidad es una de las principales ventajas en comparación con otras formas de reglamentación.

La normalización no es ciertamente una panacea para la protección de la privacidad en el contexto del comercio electrónico. Debe discurrir conjuntamente con la tecnología y los servicios de mejora de la privacidad, y con la reglamentación o legislación gubernamental. Cualquier sistema de regulación para la protección de la privacidad debe tener siempre un cuádruple objetivo: a) reglas sustantivas que aseguren a los sujetos de datos individuales un alto nivel de protección; b) un buen nivel de cumplimiento de las reglas; c) apoyo y ayuda suficientes para los sujetos de datos individuales en el ejercicio de sus derechos; y, d) reparaciones adecuadas para la parte perjudicada cuando no se hayan cumplido las reglas.

--------------------------------------------------------------------------------

Palabras clave

privacidad, protección de datos personales, comercio electrónico, autorregulación, códigos de conducta, normalización

Referencias

Anwang, G., The Stuff You Want, PC Magazine, Vol. 18, N° 17, Octubre 5, 1999, p. 103.

Cranor, L.A., Reagle, J., and Ackermann, M., Beyond Concern: Understanding Net Users¿ Attitudes About Online Privacy, AT&T Labs Research Technical Report TR 99.4.3, 1999. http://www.research.att.com/projects/privacystudy

Directiva 95/46/EC del Parlamento Europeo y el Consejo de 24 de octubre de 1995 sobre la protección de los individuos respecto al tratamiento de datos personales y sobre la libre circulación de tales datos. ¿ Boletín Oficial L281, 23/11/1995 pp. 0031 - 0050.

http://europa.eu.int/eur-lex/en/lif/dat/1995/en_395L0046.html

Federal Trade Commission (FTC/ACOAS), Establishment of the Federal Trade Commission Advisory Committee on Online Access and Security and Request for Nominations.http://www.ftc.gov/acoas/index.htm

Federal Trade Commission, Self-Regulation and Privacy Online, Report to the Congress, 1999. http://www.ftc.gov/reports/privacy3/index.htm

Federal Trade Commission, Privacy Online: A Report to Congress, 1998.

http://www.ftc.gov/reports/privacy3/index.htm

Lemley, M., Antitrust and the Internet Standardization Process, 28 Conn. L. Rev. 1996, p. 1043.

Miller, M., E-Relationships Are Vital, PC Magazine, Vol. 18, N° 20, Noviembre 16, 1999, p. 4.

Schwartz, P., and Reidenberg, J., Data Privacy Law. A Study of US Data Protection, Michie Law Publishers, Charlottesville, 1996.

Swire, P., Self-Regulation and Government Enforcement in the Protection of Personal Information, Informe para la National Telecommunications and Information Administration (NTIA), 1996. http://www.acs.ohio-state.edu/units/law/swire1/psntia6.htm

US Department of Commerce, Elements of Effective Self-Regulation for Protection of Privacy, http://www.ecommerce.gov/staff.htm

World Wide Web Consortium, Platform for Privacy Preferences (P3P), Working Draft 26 Agosto 1999.

http://www.w3.org/p3p

Contactos

Jos Dumortier, K.U. Leuven, ICRI

Tel.: +32 016 32 51 49, fax: +32 016 32 54 38, correo electrónico: jos.dumortier@law.kuleuven.ac.be

Caroline Goemans, K.U. Leuven, ICRI

Tel.: +32 016 32 52 73, fax: +32 016 32 54 38, correo electrónico: caroline.goemans@law.kuleuven.ac.be

Sobre los autores

--------------------------------------------------------------------------------

Jos Dumortier es profesor de Derecho en la Universidad de Lovaina (Bélgica) y director del Centro Interdisciplinar de Legislación y Tecnología de la Información (ICRI). Como consultor del gobierno federal belga, ha participado intensamente en la transposición de la Directiva Europea de Protección de Datos a la legislación belga.

Caroline Goermans ha ejercido como abogado en prácticas y actualmente trabaja como investigador con dedicación completa en el Centro Interdisciplinar de Legislación y Tecnología de la Información. Junto con Jos Dumortier ha redactado un documento de base sobre protección de datos personales y normalización para el CEN/ISSS.

Voces del tesauro

Búsquedas relacionadas:

Otros documentos interesantes:

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR