Privacidad del consumidor o cliente y política de privacidad
La privacidad del consumidor, también conocida como privacidad del cliente, implica el manejo y la protección de la información personal confidencial proporcionada por los clientes en el curso de las transacciones diarias. Internet se ha convertido en un medio de comercio, lo que hace que la privacidad de los datos del consumidor sea una preocupación creciente.
Aquí explicamos qué es la privacidad de los datos, o privacidad del cliente, y definimos qué son y para qué sirven las políticas de privacidad.
Problemas de privacidad del consumidor
La información personal, cuando se usa indebidamente o se protege de manera inadecuada, puede resultar en robo de identidad, fraude financiero y otros problemas que colectivamente cuestan a las personas, empresas y gobiernos millones de dólares por año.
Las características comunes de privacidad del consumidor que ofrecen las corporaciones y agencias gubernamentales incluyen:
- listas de "no llamar"
- verificación de transacciones por correo electrónico o teléfono;
- tecnologías de no repudio para el correo electrónico;
- contraseñas y otras medidas de autorización;
- cifrado y descifrado de datos transmitidos electrónicamente;
- disposiciones de exclusión voluntaria en acuerdos de usuario para cuentas bancarias, servicios públicos, tarjetas de crédito y servicios similares;
- firmas digitales; y
- tecnología de identificación biométrica.
La aparición del comercio por internet y el big data a principios de la década de 2000 arrojó una nueva luz sobre los problemas de privacidad de los datos del consumidor. Si bien el Proyecto de la Plataforma para las Preferencias de Privacidad (P3P) del World Wide Web Consortium (W3C) surgió para proporcionar un método automatizado para que los usuarios de internet divulguen información personal a los sitios web, la recopilación generalizada de datos de actividad web no estaba regulada en gran medida.
Las formas en que se utilizan y recopilan los datos ahora son más amplias que nunca. Los datos han adquirido un nuevo valor para las corporaciones y, como resultado, casi cualquier interacción con una gran corporación, sin importar cuán pasiva sea, da como resultado la recopilación de datos del consumidor. Esto se debe en parte a que una mayor cantidad de datos conduce a un mejor seguimiento en línea, perfiles de comportamiento y marketing dirigido basado en datos.
El excedente de datos valiosos, combinado con una regulación mínima, aumenta la posibilidad de que la información sensible sea mal utilizada o manejada.
Leyes que protegen la privacidad del consumidor
La privacidad del consumidor se deriva de la idea de privacidad personal, la cual se ha presentado a nivel global como un derecho esencial en una serie de decisiones legales. Las Declaraciones de Derechos suelen usarse para proteger la privacidad personal de maneras que no se describen específicamente, sino que están implícitas.
Actualmente, EE.UU. se basa en una combinación de leyes estatales y federales aplicadas por varias agencias gubernamentales independientes, como la Comisión Federal de Comercio (FTC). A veces, estos pueden dar lugar a incongruencias y lagunas en la ley de privacidad de los EE.UU. ya que no existe una autoridad central que las haga cumplir.
Por el contrario, la legislación ha impuesto altos estándares de protección de la privacidad de datos en Europa. Por ejemplo, la Unión Europea aprobó el Reglamento general de protección de datos (GDPR) en 2018, que unificó las leyes de privacidad de datos en toda la UE y actualizó las leyes existentes para abarcar mejor las prácticas modernas de recopilación e intercambio de datos.
La ley también tuvo un efecto significativo en naciones fuera de Europa —incluido Estados Unidos— porque las corporaciones multinacionales que sirven a los ciudadanos de la UE se vieron obligadas a reescribir sus políticas de privacidad para cumplir con la nueva regulación. Las empresas que no cumplan podrían incurrir en enormes sanciones financieras. El ejemplo más notable es Google, que fue multado con $57 millones de dólares en virtud del GDPR en 2019 por no cumplir con las reglas de transparencia y consentimiento en el proceso de configuración de los teléfonos Android.
Muchos consideran que el GDPR es la primera legislación de este tipo y ha influido en otras naciones para que adopten regulaciones similares. La razón por la que el Reglamento ha sido posible para la UE es en gran parte porque muchas naciones europeas tienen autoridades centrales de privacidad de datos para aplicarlo.
En cuanto a Estados Unidos, la más notable de las leyes estatales es la Ley de Privacidad del Consumidor de California (CCPA), que se firmó en 2018 y entró en vigor el 1 de enero de 2020. La ley introduce un conjunto de derechos que anteriormente no se habían descrito en ninguna ley de EE.UU. Según la CCPA, los consumidores tienen varios privilegios, que una empresa está obligada a respetar a petición de los consumidores verificables. La ley da derecho a los consumidores a:
- Saber qué datos personales sobre ellos se están recopilando.
- Saber si se venden sus datos personales y a quién.
- Decir no a la venta de información personal.
- Acceder a sus datos personales recopilados.
- Eliminar los datos que se guardan sobre ellos.
- No ser sancionados ni cobrados por ejercer sus derechos en virtud de la CCPA.
- Los niños requieren el consentimiento de los padres para la recopilación de datos, y los consumidores de 13 a 16 años deben proporcionar un consentimiento afirmativo —opt-in— para la recopilación de sus datos personales.
La ley se aplica a las corporaciones que ganan $ 25 millones por año o recopilan datos sobre más de 50.000 personas. Las empresas que no cumplen se enfrentan a sanciones y multas considerables.
Actualmente, la ley solo se aplica a los residentes de California. Sin embargo, se espera que establezca un precedente para que otros estados tomen medidas similares. Varias empresas también han prometido respetar los derechos otorgados bajo la CCPA para los consumidores en los 50 estados, para no tener una política de privacidad completamente diferente para los californianos. Las empresas participantes incluyen:
- Starbucks
- Netflix
- UPS
- Microsoft
Vermont, Nevada, Maine y Nueva York son otros estados han promulgado o practican actualmente leyes similares a CCPA.
A los críticos de estas leyes les preocupa que aún se queden cortas y creen lagunas que podrían aprovechar quienes buscan hacer mal uso de los datos. Además, el aumento de las regulaciones de cumplimiento obliga a las corporaciones a adaptarse para cumplir, lo que crea más trabajo, posibles cuellos de botella e incluso puede obstaculizar el desarrollo de tecnología y servicios valiosos. Una multitud de leyes estatales únicas también pueden crear requisitos de cumplimiento conflictivos y terminar creando nuevos problemas tanto para los consumidores como para las corporaciones. Sin embargo, los defensores de la privacidad ven este esfuerzo algo concurrente a nivel estatal como un paso hacia una legislación federal integral en el futuro.
Políticas de privacidad
Una política de privacidad es un documento que explica cómo una organización maneja cualquier información de sus clientes, proveedores o empleados que haya reunido en sus operaciones.
La mayoría de sitios web pone sus políticas de privacidad a disposición de los visitantes del sitio. Una página de privacidad debe especificar cualquier información de identificación personal que se recopile, como nombre, dirección y número de tarjeta de crédito, así como otras cosas como el historial de pedidos, los hábitos de navegación, las cargas y descargas. La política también debe explicar si algunos datos pueden ser dejados en la computadora del usuario, tales como cookies. De acuerdo a las mejores prácticas, la política debe revelar si los datos pueden ser compartidos o vendidos a terceros y, si es así, con qué propósito.
No hay consenso en cuanto a si las políticas de privacidad son jurídicamente vinculantes y no hay una aplicación constante. En los Estados Unidos, la Comisión Federal de Comercio (FTC) promueve la aplicación de las leyes existentes y la autorregulación del sector. En general, para la FTC, las violaciones de datos no son suficientes para una acción legal si no hay pérdida de dinero asociado con la violación.
La Directiva de Protección de Datos de la Unión Europea se ha enfrentado a empresas como Google acerca de los cambios de privacidad que iban en contra de las leyes de la UE, amenazando con sanciones a la enorme empresa.
A menudo, la primera declaración que se encuentra en una política de privacidad en línea tiene el efecto de declarar que, al visitar la página web (lo que usted está haciendo, si está leyendo la política), usted está de acuerdo con los detalles de la política de privacidad del sitio
Por qué es necesaria la protección de la privacidad del consumidor
Una serie de violaciones de datos de alto perfil en las que las corporaciones no protegieron los datos de los consumidores de la piratería en Internet han llamado la atención sobre las deficiencias en la protección de datos personales. Varios de estos eventos fueron seguidos de multas gubernamentales y renuncias forzadas de funcionarios corporativos. En 2017, la letanía de violaciones de datos de clientes incluyó a Uber, Yahoo y Equifax, cada uno de los cuales proporcionó acceso no autorizado a cientos de miles, sino millones, de registros de clientes.
Los problemas de privacidad del consumidor han surgido a medida que empresas web destacadas como Google y Facebook se trasladaron a la cima de las filas comerciales utilizando los datos del navegador web para obtener ingresos. Otras empresas, incluidos los corredores de datos, los proveedores de cable y los fabricantes de teléfonos móviles, también han tratado de sacar provecho de los productos de datos relacionados.
Las medidas de privacidad que ofrecen a los usuarios estas empresas también son insuficientes. Un estudio de investigación publicado en 2019 mostró que existe un límite en la cantidad de protección que un usuario de las redes sociales puede obtener al autorregular su contenido utilizando la configuración de privacidad de una aplicación. Incluso cuando los usuarios de Twitter configuraron su cuenta en modo protegido —la configuración de privacidad más prominente— los investigadores encontraron que la información supuestamente protegida todavía se divulgaba continuamente.
La preocupación por el uso corporativo de los datos de los consumidores llevó a la creación del GDPR para frenar el uso indebido de datos. El reglamento requiere que las organizaciones que hacen negocios en la UE protejan adecuadamente los datos personales y permitan a las personas acceder, corregir e incluso borrar sus datos personales. Dichos requisitos de cumplimiento han llevado a un renovado énfasis en la gobernanza de datos, así como en técnicas de protección de datos como el anonimato y el enmascaramiento.
Futuro de la privacidad del consumidor
La reciente promulgación de amplias leyes de privacidad de datos indica una mayor preocupación por la privacidad del consumidor entre varias instituciones. A medida que avanza la tecnología y que los dispositivos conectados a internet se utilizan cada vez más en las tareas y transacciones diarias, los datos se vuelven más detallados y, por lo tanto, más valiosos para aquellos que pueden beneficiarse de ellos.
Por ejemplo, la inteligencia artificial (IA) y los algoritmos de aprendizaje automático a menudo requieren cantidades masivas de datos para entrenarlos previamente, establecer patrones y modelar la inteligencia. La inversión en el rápido crecimiento en estas tecnologías ávidas de datos indica que probablemente habrá un interés sostenido en la recopilación de datos en el futuro previsible y, en consecuencia, una mayor necesidad de políticas y marcos de privacidad del consumidor que aborden las nuevas tendencias en la recopilación de datos.
Un caso reciente que ejemplifica la forma en que estas tecnologías emergentes pueden continuar suscitando preocupaciones sobre la privacidad en el futuro es el Proyecto Nightingale. Project Nightingale es el nombre de la asociación entre Google y Ascension Health —el segundo sistema de salud más grande de los EE.UU.— que se reveló a fines de 2019. Google obtuvo acceso a más de 50 millones de registros médicos de pacientes a través de la asociación, con el objetivo de utilizando los datos para crear herramientas que mejoren la atención al paciente. Google también expresó planes para usar datos médicos emergentes (EMD) en este proceso, que son datos no médicos que se pueden convertir en información de salud confidencial utilizando IA.
Aunque el proyecto tiene como objetivo ayudar a millones y potencialmente podría cambiar el panorama de la atención médica para mejor, existen preocupaciones de privacidad notables, ya que los proveedores de atención médica de Ascension y sus pacientes no sabían que se estaban distribuyendo sus registros médicos. Algunos especulan que las reglas de HIPAA sobre el uso de datos por parte de terceros están desactualizadas, lo que permite una preocupante falta de transparencia en la asociación. Otros creen que la mayor parte de la preocupación en torno a la asociación está fuera de lugar.
En general, es probable que las tendencias en competencia de la tecnología de recopilación de datos cada vez más avanzada y las medidas y políticas mejoradas de privacidad del consumidor definan el futuro de la privacidad del consumidor. Es probable que las corporaciones encuentren nuevos métodos de recopilación de datos y es probable que los consumidores reaccionen con una mayor expectativa de transparencia.