Privacidad @ ciberespacio Un estudio internacional comparativo sobre la privacidad de los consumidores en Internet.
Privacidad @ ciberespacio Un estudio internacional comparativo sobre la privacidad de los consumidores en Internet.
Oficina para las Economías Desarrolladas y las Economías en Transición.
Privacidad @ ciberespacio
Colofón
Este informe ha sido producido por el Programa de Economías Desarrolladas y Economías en Transición de Consumers International, con el apoyo financiero del Directorado General de la Comunidad Europea XXIV (Protección Sanitaria del Consumidor y Política del Consumidor)
Asistencia: Jo Mills, Consumers International Edición: Alina Tugend Traducción al español: Ana Isabel Huerta Diaz Diseño y producción: Steve Paveley
Consumers International desearía agradecer también la colaboración de sus organizaciones miembros que tomaron parte en el proyecto (dispone de una lista completa en la página 00) y especial agradecimiento a David Banistar, Privacidad Internacional. Investigación y redacción: Kate Scribbins Coordinación: Naja Felter, Consumers International
2
Enero 2001 ISBN 19023 91 31 68
Contents
Contents
Introducción
5
Resultados de la investigación: valoración global
6
Recomendaciones sobre la política Recolección de información personal Uso y divulgación de información personal Acceso Seguridad Supervisión y conformidad con las normas Indemnizaciones Políticas de privacidad Acción del consumidor Los/as niños/as
8 8 8 9 9 9 9 9 9 10
Antecedentes ¿Cuál es la finalidad de este estudio? ¿Qué es la privacidad? Privacidad, protección de datos y comercio electrónico Privacidad y seguridad en Internet Correo electrónico chatarra Leyes de la privacidad Europa y Estados Unidos Los/as niños/as y la privacidad en Internet
11 11 12 12 13 13 14 14 15
La investigación El equipo del proyecto Lista de participantes Metodología Proceso de elección de los sitios Cobertura de nuestra valoración
17 17 17 17 17 18
¿Que es lo que realmente sucede cuando los consumidores compran a través de Internet? Resultados
20 20
Resultados en detalle La pagina web intento ubicar una cookie en su computadora Planes de certificación Contenido de las políticas de privacidad Información Elección Acceso Seguridad Otros aspectos:
22 22 25 25 26 26 27 27 27
3
Privacidad @ ciberespacio
1 2 3 4 5 6
4
Apéndice 1: Cookies
28
Apéndice 2: Leyes de la privacidad Leyes sectoriales Autorregulación
30 31 31
Apéndice 3: Tecnologías de la privacidad Limites de la tecnología
33 33
Apéndice 4: Cuestionario Información personal recolectada por el sitio Información sobre la política de privacidad La política de privacidad Cookies Seguridad de la información relativa al pago Conclusiones
35 35 37 38 39 39 39
Apéndice 5: Los participantes
40
Apéndice 6: Cinco pasos para proteger su privacidad online
42
Notas de pie de página
43
Introducción
Introducción El crecimiento de Internet y del comercio electrónico ha creado amenazas para la privacidad de los consumidores a una escala sin precedentes. Actualmente, los datos sobre la vida privada del usuario son un libro abierto para aquellos que quieran localizar tal información, ya que los consumidores no son conscientes, a menudo, de que cada vez que usan Internet dejan detrás un rastro con su información. Por ejemplo, solo un numero limitado de consumidores tiene conocimiento de que las compañías utilizan complicadas bases de datos para crear el perfil de los consumidores y así poder hacer una publicidad a medida. Algunas compañías utilizan esta información para fijar los precios de los productos, e incluso elevándolos para algunos de los consumidores. La información personal y financiera es robada a diario y usada de forma fraudulenta para comprar productos o conseguir crédito. Sin embargo, es más preocupante el robo de documentos trascendentales, como datos médicos o financieros que previamente estaban almacenados en bases de datos separadas y que, ahora, pueden ser ubicados online, con frecuencia, sin previo consentimiento del consumidor o sin la protección adecuada de su privacidad. El estudio llevado a cabo por Consumers International revela que, lamentablemente, los sitios de Internet que venden productos o servicios a consumidores de Estados Unidos y Europa no alcanzan los estándares internacionales para la protección de datos. La mayoría de los sitios recolectan información personal pero no proporcionan información de cómo serán utilizados estos datos, como se procede con la seguridad y de los derechos tienen los consumidores sobre su propia información.
A pesar de que la Unión Europea mantiene una legislación rigurosa en esta área, los sitios alojados en servidores de la Unión Europea no proveen una información mas completa a sus consumidores de lo que lo hacen los sitios alojados en Estados Unidos. Además, en los sitios de USA podemos encontrar algunas de las mejores políticas de privacidad. La confidencialidad y seguridad conllevan a preocupaciones que podrían ser consideradas como uno de los motivos por los que los consumidores son reacios a adquirir productos online. Si los actores de política y compañías no abordan las materias sobre protección de datos, estas preocupaciones se verán aumentadas de forma creciente y el comercio electrónico puede sufrir serias consecuencias. El objetivo de este proyecto de investigación es determinar la cantidad de información que es recolectada sobre los consumidores cuando estos hacen uso de Internet – navegando, para investigación personal o realizando compras – y ver cuantas paginas web toman medidas para la protección de la información del consumidor. Mediante la valoración de mas de 750 paginas, Consumers International pretendió establecer si existía una diferencia significante en el planteamiento de los sitios alojados en la Unión Europea y en Estados Unidos. Inicialmente, este informe introduce los antecedentes de algunos de los temas relacionados con el comercio electrónico. En la página 00, ofrecemos una valoración global y unas conclusiones claves así como unas recomendaciones basadas en los resultados del estudio del sitio. En la página 00 se describe detalladamente el método de valoración. El análisis exhaustivo de los resultados en la valoración de la página web es ofrecido en la página 00.
5
Privacidad @ ciberespacio
Resultados de la investigación: valoración global A pesar del hecho de que la mayoría de los sitios recolectaba información personal de los usuarios, solo una minoría proporcionaba una política de privacidad conteniendo información significante sobre el uso que se hace de los datos. Lamentablemente, los sitios, tanto en USA como en la UE, apenas alcanzan los estándares establecidos por las directrices internacionales para la protección de datos. La mayoría de estos, incluso, ignoran los principios básicos para el uso justo de la información, tales como comunicar a los consumidores detalles del uso que se va a hacer de su información; como se puede acceder a ella; las posibilidades de elección que el consumidor tiene acerca de este uso; y que tipo de seguridad se mantiene sobre la posible divulgación de estos datos. Esta negligencia generalizada en el ejercicio del buen uso de la privacidad ha aumentado las preocupaciones sobre el medio de comercio electrónico, donde las tecnologías para la recolección y uso de información se están desarrollando rápidamente. A pesar de la existencia de una legislación en la Unión Europea en esta área, investigadores concluyeron que los sitios alojados en la UE no ofrecían una información mas completa o una opción más amplia de elección a sus usuarios que los sitios alojados en USA. Además, los sitios alojados en USA tendían a establecer un nivel alto los estándares de las políticas de privacidad. Dado que los consumidores en Estados Unidos carecen de protección legal en esta área, las compañías tienen que hacer un esfuerzo mayor para reasegurar que la privacidad de sus usuarios este protegida. Por otra parte, aunque los consumidores de la UE están protegidos por la ley y, además, cuentan con un comisario que velara por la protección de datos en cada país y, además, tienen derecho a una compensación ante la transgresión de la ley, los sitios de la UE no ofrecen una información mas detallada de lo que lo hacen los sitios alojados en USA. En realidad, parece que muchos de los 6
sitios alojados en la UE fallan en el cumplimiento de sus normas, las cuales dictaminan que se debe dar al consumidor el derecho a negarse a que su información sea utilizada para un marketing directo.
Conclusiones clave En la siguiente sección proporcionamos un resumen de las conclusiones más significativas de la valoración de la web. En las páginas 00 ofrecemos una visión más amplia de estas conclusiones y de los hechos que las respaldan. • Por encima del 66% de los sitios web recolectaban algún tipo de información personal cuando el usuario realizaba una visita. • De estos, casi todos pedían datos que facilitasen la labor de identificación o de contacto de la persona. Los detalles recolectados con mayor frecuencia eran nombre, dirección de E-mail, dirección postal y numero de teléfono. Los sitios web de carácter informativo fueron una excepción, ya que tedian a recolectar solo el lugar de residencia para proveer noticias locales o información metereológica. • La mayoría de los sitios permitían que el usuario visitase y navegase sin recolectar abiertamente información sobre ellos, pero les incitaba a divulgar datos personales para que estos pudiesen disfrutar del sitio incondicionalmente, por ejemplo, mediante la personalización del sitio o suscripción como miembro. Esto permitía que el consumidor recibiera información que podía ser relevante para su vida (noticias locales, predicción metereológica, boletines...), de esta forma, el sitio podía recolectar gran cantidad de información sobre el consumidor. • El 58% de los sitios que recolectaban información tenían una política de privacidad. Dentro de los sitios que recogían información personal de los usuarios, los sitios dedicados a la salud eran los menos propensos a ofrecer una política de
Resultados de la investigación: valoración global
privacidad. Por el contrario, los sitios financieros así como los más populares alojados en USA junto con los más populares de la Unión Europea eran los que ofrecían mas a menudo una política de privacidad. (Vea en la página 00 las definiciones de las categorías de los sitios).
distribución o de transferir la información a afiliados o terceras partes. Los sitios más populares alojados en USA eran más propensos a ofrecer esta opción que los sitios alojados en la Unión Europea, a pesar de la existencia de una legislación que lo hace obligatorio en la UE.
• Sin embargo, las políticas de privacidad no son siempre de fácil acceso, y solo un 32.5% de los sitios que recogían información y tenían una política de privacidad avisaron a los usuarios de la existencia de esta en el momento en el que la información estaba siendo recolectada; este porcentaje se elevaba a un 63% dentro de los sitios más populares alojados en USA. Los sitios deberían indicar su política de privacidad desde la página principal, aunque investigadores revelaron que solo un 39% de ellos lo hacían. Los sitios alojados en USA tenían mas probabilidad de cumplir con este requisito que los alojados en la Unión Europea; de este modo, un 97.5% de los sitios más populares alojados en USA indicaban la existencia de una política de privacidad.
• La existencia de un documento llamado política de privacidad no es muy significativa si no proporciona una información adecuada al consumidor. Solo un numero limitado de las políticas de privacidad que Consumers International analizo contenían algo mas que información básica y proporcionaban información completa sobre el control que los consumidores pueden ejercer sobre su propia información.
• La inmensa mayoría de los sitios web no ofrecían la opción de excluir al cliente en su lista de
• Sin embargo, una política de privacidad no es muy útil si la compañía no la cumple. Consumers International descubrió que algunas compañías no cumplen con su propia política de privacidad. Por lo tanto, la obligatoriedad de atenerse a sus políticas y el derecho a una compensación para los consumidores si esta es violada es vital.
7
Privacidad @ ciberespacio
Recomendaciones sobre la política
En las tres ultimas décadas, distintos países han creado un conjunto de principios para la protección de datos. Estos son conocidos como “principios de la información justa” (FIPS). El Departamento para la Salud, Educación y Bienestar de Estados Unidos propuso por primera vez estos principios en 1974 y, posteriormente, fueron adoptados como leyes en numerosos países. En 1981, la Organización para la Cooperación y Desarrollo Económico divulgo unas directrices más extensas basadas en los FIPS1 y el Consejo de Europa las incorporo a un tratado para el procesamiento de información personal en sistemas computerizados, el cual se extendió ampliamente en Europa2. A pesar de la gran aceptación de estas practicas, la investigación llevada a cabo por Consumers International muestra que la mayoría de los sitios hace caso omiso de los principios básicos del uso justo de la información, tales como dar a los consumidores el derecho a controlar la recolección de su información, el derecho a acceder a ella y corregirla y garantizar la seguridad de sus datos. Debido a que muchas de las compañías ignoran los principios básicos sobre la información justa, los políticos, tanto a nivel nacional como internacional, necesitan tomar medidas urgentes para garantizar una protección adecuada de los consumidores. Los siguientes principios necesitan ser incorporados a las practicas del ejercicio interno de las compañías y así como a las leyes vigentes de los gobiernos nacionales:
Recolección de información personal La información solo debería ser recolectada si es esencial para la transacción y si se produce recolección de información que no sea necesaria, esto debería ser opcional y claramente identificable por el usuario. La información confidencial (definida en acuerdos internacionales tales como la Convención COE 108 8
y la Directriz para la Protección de Datos de la Unión Europea) sobre los consumidores solo debería ser recolectada en casos excepcionales. Esta información debe ser obtenida directamente del usuario, y este debe dar su consentimiento expreso para que esta sea recolectada por otras fuentes, las cuales deben expresar los motivos por los que la requieren. La información debería ser recogida de forma objetiva y de acuerdo con la ley. De esta forma, los sitios deberían recolectar la información personal de forma transparente, excluyendo el uso de gusanos web y cookies en la pagina web cuando no existe un consentimiento previo por parte del consumidor. Cuando se haga uso de encuestas, concursos u otras formas de interacción para recolectar datos, debe indicarse de forma clara lo que se esta haciendo y como de va a utilizar esa información.
Uso y divulgación de información personal La información personal debería utilizarse solo para el propósito por el cual se ha recogido, salvo que el consumidor haya dado previo consentimiento, como es requerido por ley y debería mantenerse solo por el tiempo requerido para el cumplimiento del propósito por el que se ha recolectado. La información confidencial solo debería ser utilizada o divulgada si existe un consentimiento previo por parte del usuario. Si la organización que recolecta información le ofrece diferentes opciones relacionadas con la utilización o divulgación de esta -tales como su transferencia a otra compañía –, entonces la información personal debería estar disponible online y el consumidor debería tener la opción de responder online. No se debería aconsejar que el consumidor escribiera a una dirección distinta a la original y así limitar el uso de sus datos personales.
Recomendaciones sobre la política
Si se produce la disolución de una compañía, se declara en bancarrota, es adquirida por otra organización o cambia su situación legal, esta debería obtener consentimiento previo de los consumidores para poder transferir la información relativa a ellos a otra organización. Si el consumidor no concede este permiso, la información debería ser destruida.
dirigirse a estos para la resolución de un posible conflicto. Los gobiernos nacionales también deberían establecer un cuerpo de vigilancia o supervisión para garantizar el cumplimiento de estas políticas y facilitar sanciones adecuadas para los infractores.
Indemnizaciones Todas las obligaciones mencionadas afectan de igual forma a terceras partes que reciben la información del consumidor así como a la organización que la recolecta originariamente.
Acceso Los sitios deberían proporcionar a los usuarios el acceso a la información que retienen sobre ellos, así como información de los sistemas que afectan a sus derechos legales en el procesamiento automático, donde se utiliza una computadora para tomar decisiones sobre información que es retenida. Los usuarios deberían obtener un acceso rápido y gratuito. Las paginas web deberían utilizar ciertos métodos para verificar que las demandas de los consumidores para el acceso a los datos son genuinas, y así evitar la divulgación de datos personales a impostores, pero siempre que estos no sirvieran para obtener información adicional. Un individuo debe ser capaz de proporcionar una información completa y correcta y de modificarla cuando proceda. De la misma forma, los sitios deben explicar claramente a los usuarios como corregir o borrar sus datos.
Seguridad Las organizaciones tienen la obligación de tomar medidas técnicas y administrativas para garantizar que la recolección, almacenamiento y divulgación de la información sean seguros. El nivel de seguridad debería ser establecido en base al nivel de confidencialidad de la información recogida.
Supervisión y conformidad con las normas Una organización debería ofrecer información especifica sobre su política y practicas en lo referente a la gestión de la información personal de los individuos. Una organización es responsable de la información personal que esta bajo su control y, por lo tanto, debería designar a una persona o personas responsables directamente del cumplimiento de los principios de la privacidad y cualquiera podría
Los consumidores deberían tener acceso a un mecanismo independiente de compensación que sea barato, rápido y efectivo. Los políticos deben dar prioridad de forma urgente al tema de las indemnizaciones ínter fronterizas.
Políticas de privacidad Todos los sitios que recolectan información de los usuarios deberían proporcionar una política de privacidad que de a conocer abiertamente la regulación adoptada en el tema de la privacidad. La política de privacidad debería ser expuesta de forma clara y prominente desde la página principal, y en cada lugar de la página donde la información sea recolectada; del mismo modo debe estar redactada de forma clara e inteligible. Esta debe incluir: • la identidad de la compañía que posee y gestiona la página web en cuestión • el tipo de información que recolecta • por que la información es almacenada y para que es utilizada • con quien se comparte esta información (incluyendo una lista de los afiliados) y las opciones que el usuario tiene en este proceso • el periodo de tiempo que la información es almacenada • como se garantiza la seguridad de la información • como los consumidores pueden acceder a esta información, alterarla o borrarla • como la certificaron de la privacidad puede cambiar en el futuro • la información de la persona de contacto responsable de la privacidad de los datos • la información del cuerpo pertinente encargado de la supervisión
Acción del consumidor Los consumidores deberían considerar la existencia y contenidos de una política de privacidad antes de proporcionar cualquier tipo de información al sitio. Esto es especialmente importante cuando se realizan compras en una pagina alojada en un servidor de un país extranjero. 9
Privacidad @ ciberespacio
Si el consumidor esta preocupado por la privacidad de sus datos, entonces no debería utilizar los sitios que no ofrezcan una protección adecuada de sus datos. Además, deberían considerar el uso de diferentes cuentas de E-mail o un servicio que permita la navegación anónima en Internet. Consumers International ha desarrollado una serie de consejos prácticos para los consumidores que quieran proteger su privacidad online. Por favor, vea el apéndice 6 para mayor información.
Los/as niños/as No se debería incitar a los niños/as y jóvenes para que divulguen información propia, sobre su hogar o sobre otras personas; la divulgación de esta información no debería condicionar el acceso la pagina web.
10
Tampoco se les debería ofrecer recompensas (dinero, regalos o cualquier otra cosa de valor monetario) por la entrega de información. No se deberían utilizar métodos poco transparentes para la recolección de datos de los niños/as, tales como encuestas o competiciones. Ninguna de estas recomendaciones es particularmente radical o se refieren a algo que no debería ser una practica común para las compañías. Además, en la mayoría de los casos, todo lo que Consumers International reivindica es que las compañías cumplan con la legislación y regulación existente en lo referente a la privacidad de la información personal.
Antecedentes
Antecedentes
Internet ha transformado dramáticamente el mundo. Actualmente, se estima que 377 millones de personas están online3 y están utilizando la red para leer las noticias, hablar con amigos, comprar mercancías, escuchar música y otras innumerables actividades. Un numero significante de personas está haciendo uso de Internet para comprar bienes o servicios. A medida que las diversas redes de computadoras, telefonías, televisión, cable y satélite emergen, la mayoría de las actividades que se lleven a cabo en el mundo desarrollado estarán conectadas con la tecnología online. Un estudio llevado a cabo por Forrester estima que el volumen de negocios de las ventas a consumidores de Internet alcanzaran 108 billones de dólares en el 2002.
Mientras las tecnologías están avanzando a una velocidad vertiginosa, las políticas sobre su uso y la protección tradicional de la que los consumidores han disfrutado en la ultima generación se han quedado atrás. A esto cabe añadir que es necesario abordar urgentemente nuevas materias como la definición de jurisdicción y ley, en un contexto donde tienen lugar transacciones entre individuos de diferentes países y continentes.
Cuando investigamos sobre las preocupaciones relacionadas con las compras online, la invasión de la privacidad resulto alcanzar el primer lugar en la lista. Así lo revelo también un estudio realizado por American Express, en el que el 79% de 11.000 consumidores en 70 países se refirieron a la privacidad y a la seguridad como una de sus mayores preocupaciones a la hora de realizar compras online4.
¿Cuál es la finalidad de este estudio?
Este temor esta frenando a los consumidores en el uso del comercio electrónico, ya que están preocupados ante el potencial abuso en la utilización de su información personal por parte de las compañías de comercio electrónico. Un estudio llevado a cabo por la liga nacional de consumidores llego a la conclusión de que la privacidad constituía una de las mayores preocupaciones para los consumidores y que un 57% de los encuestados no había realizado ninguna compra online en los doce meses anteriores debido al temor de una posible malversación de los detalles de su tarjeta de crédito o información personal. Otros consumidores alegaban dar información personal falsa para su propia protección. Un estudio llevado a cabo por Forrester estima que las ventas a través del comercio electrónico se redujeron en 2.8 billones de dólares en 1999 debido a las preocupaciones sobre la privacidad.
Algunas tecnologías están emergiendo para proveer protección a los consumidores, pero sus posibilidades son limitadas. Un hecho que es incluso más confuso para los consumidores es que la tecnológica invasiva de la privacidad, la cual recolecta la información, promueve de forma engañosa la protección de la privacidad.
El actual proyecto de investigación actual surgió de un proyecto previo coordinado por Consumers International y que fue llevado a cabo por el mismo equipo de investigación global. Consumers@Shopping, un estudio internacional comparativo de comercio electrónico, publicado por Consumers International en septiembre de 1999, analiza lo que le sucedió a un grupo de consumidores cuando compraron una serie de productos en Internet. La finalidad era averiguar la facilidad de compra en Internet, identificar áreas problemáticas y determinar las prácticas correctas e incorrectas en ese momento. Las compras fueron efectuadas a finales de 1998 y principios de 1999, tanto localmente como en el extranjero. Dentro de los problemas que se identificaron podemos mencionar a las compañías proporcionaban información incorrecta los consumidores, notables retrasos en el envió de la mercancía, o productos que nunca llegaron a su destino y la demora en la devolución del dinero pagado por este concepto cuando no se cumplía con las condiciones establecidas. Una de las materias objetivo de criticas en el informe de 1999 fue el planteamiento de las paginas en el tema de la protección de los datos y de la
11
Privacidad @ ciberespacio
privacidad. Mientras que casi todas ellas requerían ciertos datos de información personal, solo unas cinco explicaban el uso que se hacia de esta información. La mayoría de los consumidores esperan dar la mínima información posible y solo si es esencial para la transacción. En cualquier caso, no desean que la información sea utilizada para otros propósitos que no estén específicamente relacionados con la compra que este realizando en ese momento. Las conclusiones de Consumers@Shopping indicaron que la privacidad en el comercio electrónico constituye un aspecto de gran interés, y demostró que existe una necesidad de información más clara y detallada por parte de los sitios.
¿Qué es la privacidad? La privacidad es descrita como “el derecho a que te dejen en paz”. Se entiende como la relación entre el individuo y la sociedad, incluyendo gobiernos, compañías y otros individuos. La privacidad es reconocida como un derecho fundamental en la Declaración Universal de los Derechos Humanos, adoptada por Naciones Unidas en 1948 y por otros tratados internacionales. La variedad de materias que se engloban dentro del vocablo privacidad es muy amplia. Aquí se incluyen las comunicaciones y documentos secretos, la protección de la familia, de la casa y de la integridad en cuestión. Dentro del comercio electrónico, la protección de la privacidad incluye el establecimiento de normas y limites en la recolección, administración y uso de la información personal que es requerida por las compañías u otras organizaciones intermediarias entre estas y los consumidores. Esto es lo que se denomina comúnmente como “protección de datos” El interés por la protección de datos surgió en los 60, con el incremento del uso de computadoras por la sociedad. La recolección y uso de información personal por sistemas computerizados muy avanzados provoco la demanda de normas especificas sobre la recolección y administración de esta información personal.
Privacidad, protección de datos y comercio electrónico El comercio electrónico ha provocado nuevas preocupaciones sobre la privacidad debido a la magnitud y detalle de la información personal que es recolectada de los consumidores. Esta es mucho mayor que la que se recoge en las transacciones offline. En el entorno de Internet, las compañías pueden recolectar, analizar y utilizar información sobre los 12
consumidores con mas facilidad y eficiencia. Las posibilidades de comparación, almacenamiento e interrelación de la información para crear una imagen de los gustos del consumidor son muy grandes. Siempre han existido preocupaciones sobre la forma en que las compañías utilizan la información personal, pero lo que constituye incluso un problema mayor es la facilidad con la que esta es recolectada y manipulada en Internet. Dentro de este marco tan complejo, cabe mencionar un problema añadido y es el hecho de que Internet – utilizado para la comprar o simplemente para buscar información- tiene el potencial de abrirse a mercados en otros países, lo que presenta una diversidad en las leyes vigentes sobre la protección de datos. Existe una diferencia significativa en el proceso de recolección de la información sobre los consumidores que compran online y los que lo hacen de la forma tradicional, en las tiendas o por correo postal. Una de las diferencias más significativas es que la mayoría de las compañías online siguen la pista de las visitas que los consumidores hacen al sitio y de lo que compran y mantienen información de los movimientos del individuo, incluso si no realizan ninguna compra, lo que no es probable que suceda en transacciones offline. Por otra parte, datos como el nombre, dirección postal y quizás el numero de telefoneo del consumidor son recogidos prácticamente en cada compra online como condición de pago con la tarjeta de crédito o para enviarlo por correo postal. Las computadoras que mantienen un registro de todas sus actividades en el sistema capturan de forma rutinaria todos estos particulares. La información varia desde lo más trivial a lo mas personal. En una transacción normal de comercio electrónico, esta información no incluiría solo datos del producto adquirido, sino también datos de todos los productos que se vieron. Las compañías ofrecen también servicios, como E-mail o carteras de acciones gratuitas a cambio de información sobre el consumidor, tal como así lo demuestran diversos estudios. En muchos casos, los consumidores no están siendo informados de la recolección de esta información y no es extraño que esta sea utilizada para crear una publicidad a medida. Compañías como Netzero ofrecen acceso gratuito la red a cambio de poder vigilar los movimientos de los usuarios con propósitos publicitarios. Los sitios web conocidos como “portales” ofrecen páginas personalizadas donde el usuario puede abrir una cuenta gratuita para acceder una selección de noticias, información bursátil o “chatear” con otros usuarios una vez que se han registrado y han comunicado sus nombres, direcciones e intereses.
Antecedentes
Un concepto clave en el marketing online es la personalización, donde los comerciantes pueden recolectar suficiente información sobre los consumidores y así determinar sus inclinaciones hacia ciertos productos, e identificar una publicidad especifica para estos. El valor de esta información es lo que hace que muchas de estas compañías dot.com tengan una cotización tan alta en el mercado bursátil. Estas comparten, comercian o venden la información a terceras partes sin el consentimiento expreso de los consumidores o sin que estos tengan conocimiento de esa transacción.
Privacidad y seguridad en Internet La seguridad en Internet también crea serias preocupaciones con relación a la privacidad. Muchas de las paginas web que retienen información personal están aseguradas de forma limitada ante la divulgación accidental o intentos deliberados de penetración en los sistemas computerizados con fines fraudulentos5. Cada semana se descubre, al menos, un fallo de la seguridad en el software utilizado comúnmente por los consumidores y por algunos negocios y es normal que queden grietas en la seguridad que lleva a la divulgación de información personal o datos financieros. Muchas compañías de comercio electrónico responden a estas preocupaciones alegando que usan encriptaciones en la comunicación entre el usuario y el servidor -para prevenir que terceras partes espíen- cuando el usuario esta proporcionando información personal. Sin embargo, esta protección es aparente en gran medida ya que la información es muy vulnerable una vez que ha sido recolectada e incluida en bases de datos online. Diariamente se producen filtraciones de información personal y sobre el crédito, involucrando millones de datos. Cientos de miles de clientes de CDuniverse tuvieron que obtener nuevas tarjetas de crédito después de que la base de datos fuera robada y ofrecida en venta en Internet. En agosto de 2000, Káiser Permanente, famosa aseguradora de la salud de Estados Unidos, admitió que había comprometido la confidencialidad y privacidad de sus socios al enviar 800 millones mensajes vía E-mail, muchos de ellos conteniendo información muy personal, a los socios equivocados6. En muchos casos, el consumidor ni siquiera tiene conocimiento de que su información personal esta siendo divulgada en la red. Tenemos dos ejemplos ilustrativos que son estremecedores. En Michigan durante meses los datos médicos, incluyendo números de la seguridad social, nombres y códigos de diagnósticos de miles de pacientes, fueron publicados en Internet. El departamento de la
seguridad social de Estados Unidos retiro esta base de datos de Internet en 1977 sin consulta previa7.
Correo electrónico chatarra Una de las manifestaciones de la invasión de Internet es la innumerable cantidad de correo electrónico no solicitado o deseado que es remitido a los consumidores cada día. Este tipo de correo, denominado “correo electrónico chatarra”, es una molestia. El Gartner Group estima que el 90% de los usuarios de Internet reciben un E-mail de este tipo cada semana y un 50% recibe unos seis o siete cada semana8. Se estima que en el 20059 un consumidor recibirá un promedio de 1.600 E-mail chatarra cada año. El correo chatarra es un claro ejemplo de la deficiencia en la aplicación de unas practicas informativas justas. Las direcciones de los consumidores son adquiridas, utilizadas y transferidas por compañías de comercio electrónico, sustraídas secretamente de chateos en las paginas web y grupos de discusión sin previo consentimiento. Los consumidores tienen muy pocos recursos para poder atenuar este problema ya que una vez que la dirección del consumidor esta en la lista de distribución es muy difícil de revertir. Gran cantidad de este correo chatarra no tiene una dirección donde usted puede dirigirse, e incluso si la tienen estos distribuidores de correo chatarra utilizan estas contestaciones para verificar direcciones que están en uso que, a su vez, pueden venderlas por una cantidad mayor. También plantea ciertos problemas la filtración de estos mensajes no deseados, ya que provienen de miles de direcciones diferentes. Muchos de estos correos chatarra son recibidos con cabeceras engañosas como “relacionado con su mensaje” y así incitar a los consumidores proceder con su lectura. El correo electrónico chatarra se acumula en las diferentes secciones de la cuenta de E-mail de los consumidores, dificultando la tarea de localización de E-mail importantes y muchos usuarios se ven forzados a cambiar sus direcciones de E-mail y proveedor para evitar este problema; otros, incluso, dejan de usar el E-mail porque están cansados de recibir tanta “chatarra”. Este correo chatarra también es costoso para el consumidor, ya que, en muchas partes del mundo, tiene que pagar a la compañía de teléfonos o al proveedor de los servicios por los minutos usados o por bajar la información. Además, muchos proveedores de Internet tienen que invertir en recursos extra para la contratación de mas personal y compra de equipos técnicos adicionales para poder hacer frente a la sobrecarga de correo electrónico que reciben, costes que son cargados, en ultima instancia, a sus consumidores. América Online (AOLI) estima que un tercio de los E-mail que recibe en sus servidores, entre 10 y 24 millones
13
Privacidad @ ciberespacio
de mensajes cada día, es correo chatarra. Una asociación de la industria estimo que, en 1999, 2 dólares de cada factura del consumidor serian dedicados a mitigar este problema.
La Directriz de Telecomunicaciones de 1977 establece una protección especifica, cubriendo la telefonía, la televisión digital, las redes móviles y otros sistemas de telecomunicaciones11.
Los comerciantes pueden utilizar el correo chatarra para vigilar las actividades de los consumidores. El correo chatarra es enviado en formato html y cuando es leído por los usuarios de AOL u otros programas comunes de E-mail puede enviar mensajes a redes publicitarias como DoubleClick, vinculándose con las direcciones de E-mail y sus cookies. (Una cookie es un pequeño bloque de información que es almacena por su navegador en el disco duro de su computadora. Contiene un numero de identificación único y puede ser usado para registrar lo que el usuario hace mientras esta navegando en Internet- Por favor vea el apéndice 4 para mayor información). En el futuro, los publicistas planean combinar el marketing con la localización de los celulares para que los comerciantes puedan enviar mensajes a los teléfonos para alertar a los usuarios de ofertas de compra, mientras están en restaurantes seleccionados o de compras en un almacén determinando, por ejemplo. Una practica más común en el uso de correo chatarra es la oferta de ciertos planes fraudulentos o pornografía.
Dentro de todos los esfuerzos que la Unión Europea esta haciendo, la capacidad de ejecución de las leyes es un concepto clave. En UE existe una preocupación por los individuos que son objetivo potencial como fuente de información, los cuales se amparan en derechos englobados en normas explícitas. Estos pueden dirigirse a una persona u autoridad y darle poder para actuar en su nombre en caso de conflicto. Cada país de la UE tiene un Comisario o agencia que ejecuta las normas y se espera de los países con los que Europa mantiene relaciones provean un nivel similar de supervisión. La Directiva impone sobre los estados miembros la obligación de asegurar que la información relativa a los ciudadanos europeos tenga el mismo nivel de protección cuando es exportada y procesada en países fuera de la UE. Muchos países fuera de la UE han adoptado leyes similares. Esto es especialmente común en países de Europa Central y del Este donde están intentando entrar en la UE y en le Consejo de Europa. Muchos países del Hemisferio Oeste se están haciendo progresos en este sentido.
Leyes de la Privacidad En la era moderna, podemos encontrar un precedente a la protección de la privacidad contenido en la Declaración Universal de los Derechos Humanos de 1948, la cual protege, de forma especifica, la privacidad territorial y de las comunicaciones. También reconoce que los individuos tienen derecho legal a la protección ante la violación de su intimidad. Actualmente, 30 países tienen un sistema completo de leyes que regulan el procesamiento y utilización de la información personal. Otros 20 países están considerando de forma activa nuevas leyes.
14
La adopción de las leyes sobre la protección de datos por la Unión Europea, en 1995 y 1997, fue un hito determinante para la armonización de las leyes en los distintos países de la UE, cuyo objetivo era asegurar un nivel de consistencia en la protección de los ciudadanos y la libre circulación de información personal dentro de este marco. Las Directrices se convirtieron en un punto de referencia para establecer unos estándares de privacidad, las cuales no solo reforzaron la protección de datos sino que llegaron a formar la base para la creación una serie de nuevos derechos. La Directriz de Protección de Datos de 1995 (Directriz sobre la Protección de Datos (95/96/ec) que empezó a tener vigencia en octubre de 2000) constituye un precedente de la ley nacional sobre procesamiento de información personal, tanto en archivos electrónicos como manuales 10.
Por favor vaya al apéndice 2 para obtener información mas detallada sobre las leyes de la privacidad.
Europa y Estados Unidos El principal objetivo de Consumers International en la coordinación de este informe fue la comparación de experiencias entre los consumidores de Estados Unidos (USA) y de la Unión Europea (UE), ya que existen diferencias significativas en los planteamientos de la regulación. Las practicas de la privacidad en USA son voluntarias y a menudo dependen de los intereses de los negocios. Sin embargo, en la Unión Europea, muchos de los derechos de los consumidores están recogidos en la legislación tanto a nivel nacional como europeo. Las organizaciones de consumidores han expresado gran preocupación porque los consumidores de la Unión Europea pueden ser vulnerables ante el abuso en la utilización de sus datos personales al realizar compras o al hacer uso de los sitios web alojados en Estados Unidos. Siguiendo a la aprobación de la directriz para la protección de datos de la UE, un gran numero de compañías americanas empezaron a temer por la reducción del suministro de datos procedentes de países europeos debido a la falta de leyes existente en este campo en USA. Esto llevo a que el gobierno y la industria de USA presionaran a la UE y países
Antecedentes
miembros para que reconocieran al sistema americano como apto. En 1998, USA inicio unas negociaciones llamadas “puerto seguro” para llegar a un acuerdo con la UE y así asegurar la continuación del intercambio de información personal. Las negociaciones en la redacción del borrador de los principios duraron cerca de dos años y fueron objeto de una marcada critica por parte de los defensores de la privacidad (12footnote) y del Parlamento Europeo 13. Finalmente, en julio de 2000, la Comisión aprobó el acuerdo del “puerto seguro”14. Bajo este acuerdo, las compañías de USA, voluntariamente, pueden auto certificar su adherencia a un conjunto de principios basados, vagamente, en unas practicas justas en la utilización de información, desarrolladas por el Departamento de Comercio de USA y por la Comisión Europea. De esta forma, estas compañías pueden seguir recibiendo información personal de la EU. Las compañías americanas han podido adherirse a este acuerdo desde noviembre de 2000, aunque este proceso esta resultando lento en la primera etapa, y solo una compañía lo había hecho hasta diciembre de 2000, existe in periodo de gracia para que las compañías americanas que lo ratifiquen. La Comisión prometió reiniciar las negociaciones si las nuevas medidas adoptadas resultaban inadecuadas para los ciudadanos europeos. Además, existen serias preocupaciones sobre la protección que esta propuesta puede ofrecer a los consumidores. Una de las debilidades más notorias de este acuerdo es su capacidad de ejecución ya que se basa en un sistema de autorregulación donde las compañías, simplemente, se comprometen a la noviolación de las practicas de la privacidad que han ratificado. No existe una obligación para su cumplimiento o para una revisión sistemática y los consumidores no tienen derecho alguno a reclamar o solicitar compensación ante la violación de su privacidad. Este acuerdo solo compromete a las compañías bajo supervisión de la Comisión Federal de Comercio y del Departamento de Transporte (excluyendo los sectores financieros y de telecomunicaciones); se otorgan exenciones especiales a la información personal publica protegida por la ley de Estados Unidos. Esto no afecta a Internet o al comercio electrónico salvo en el caso de que una compañía europea de comercio electrónico transfiera información de sus clientes a una compañía americana que se haya adherido al acuerdo. Consumers International recomienda varios cambios para mejorar el acuerdo: • la creación de un único punto de contacto así como de un procedimiento simplificado para todas las reclamaciones de los consumidores;
• la publicación bianual de informes sobre el cumplimento y eficacia de los principios que las compañías han alcanzado; • la creación de sanciones, incluyendo multas, renovación de la privacidad, si es posible y compensación; • el establecimiento de un cuerpo internacional de comercio electrónico con jurisdicción sobre la privacidad para poder realizar auditorias, establecer normas, promover mejores practicas y la publicación de informes.
Los/as niños/as y la privacidad en Internet Los padres, educadores y otras personas han expresado una gran preocupación por el tema de la protección de la privacidad de los/as niños/as en Internet, especialmente por que estos constituyen el objetivo de un lucrativo mercado para las ventas y para los publicistas online. Un informe revolucionario realizado por el Centro de Educación sobre los Medios de Comunicación titulado “Web del engaño: las amenazas del marketing online para los/as niños/as”15 revelo que el marketing se dirigía a los/as niños/as de dos formas: 1) intrusión en la privacidad de los/as niños/as mediante la demanda de información personal y vigilando el uso de las computadoras online; y 2) explotación de los usuarios, jóvenes y vulnerables, de computadoras mediante unas formas de publicidad injusta y engañosa. En informe revelo que sitios web demandaban información personal detallada, incluyendo nombre, dirección, edad y hábitos. Algunos sitios prometían regalos, tales como camisetas o juegos, a cambio de esta información. Otros sitios ridiculizaban a los/as niños/as que no accedían a estas demandas, mientras que los que lo hacían podían disfrutar de juegos. Otros sitios demandaban, incluso, detalles financieros de sus padres. La publicidad engañosa creada para los niños/as causa una preocupación especial. Este informe revelo también que los publicistas hacían confusos los limites entre la publicidad y la información ofrecida en las web dedicadas a los/as niños/as. Se incorporaban logotipos publicitarios en los personajes de los dibujos animados, designados para atraer la atención de los/as niños/as y animarles a comprar esos productos. Incluso algo aparentemente beneficioso, como las compañías que colaboran con las escuelas para incrementar el acceso online, tiene connotaciones negativas 16. Una compañía llamada Zapme, en
15
Privacidad @ ciberespacio
cooperación con otras como Amazon, Xerox y Yahoo, ofrecía computadoras, platos satélite y acceso a Internet gratuitos a cambio de tener acceso a la información sobre los estudiantes, a los que se les asignaba una identificación electrónica con sus nombres, direcciones y números de teléfono. Entonces, esta información era transferida a compañías publicitarias para la creación de un tipo de marketing individualizado. Este procedimiento fue interrumpido después de que un grupo de educadores, consumidores y grupos pro-privacidad escribieron a todos los gobernadores de Estados Unidos pidiéndoles su anulación. Otras compañías ofrecieron dinero a los colegios que alentasen a los/as niños/as para la suscripción de cuentas gratuitas de sus servicios. En Estados Unidos, una vez reconocido este abuso, el Congreso de USA aprobó el Acta de Privacidad Online de los/as Niños/as (COPPA) en 1998. Esta acta requiere el consentimiento de los padres antes de que la información sea recolectada para niños menores de 13 años y permite el acceso de los padres a esta información17.
16
Consumers International asesoro a varias paginas web dedicadas a los/as niños/as en su acercamiento a las normas de la privacidad, en total 102 paginas en Estados Unidos y la Unión Europea. Los resultados indicaron que la situación es todavía muy preocupante ya que la mayoría de las compañías están dispuestas a vender de artículos online pero solo unos pocos se adhieren a un ejercicio adecuado de la privacidad. Estos resultados mostraban también que solo un 12% de las paginas ofrecían una política de privacidad clara y fácil de entender, mientras que solo un 10% requerían el consentimiento de los padres antes de que los niños/as revelasen la información, y pedían a estos/as que comunicasen a sus padres que habían revelado información al sitio o por otra parte habían ofrecido enviar E-mail a los padres informándoles de que la información había sido revelada. Aunque esta consulta fue realizada a una escala relativamente pequeña, Consumers International concluyo que hay una indicación muy clara de que las paginas web que escogen a los/as niños/as como objetivo actúan con un acercamiento a la privacidad muy limitado. También concluyo que este es un tema que merece un estudio separado.
La investigación
La investigación El equipo del proyecto El estudio fue llevado a cabo por un equipo internacional de investigación, contando con la participación de 14 organizaciones de consumidores de todo el mundo. El equipo al completo se reunió para discutir sobre los resultados y para ponerse de acuerdo en las conclusiones y recomendaciones.
Lista de participantes Australia Bélgica Dinamarca Holanda Francia Hong Kong Japón Noruega Polonia Suecia Reino Unido Estados Unidos Coordinador
Australian Consumer Association Verbruikersunie Danish Consumer Council/Forbrugerradet Consumentenbond UFC-Que Choisir Hong Kong Consumer Council Consumer Law News Network Norwegian Consumer Council Polish Consumer Federation Konsumentverket Consumers Association and National Consumer Council American Council For Consumer Interest Consumers International (ODTE)
Metodología La investigación consistió en una valoración, a gran escala, de los usuarios de Internet. Los participantes valoraron un total de 751 sitios, alojados principalmente en servidores de la Unión Europea y de Estados Unidos. El objetivo del proyecto era determinar el planteamiento de los sitios en el tema de la protección de datos; por lo tanto los investigadores se concentraron en los tipos de sitios donde seria más probable que se pidiera a los consumidores la divulgación de información personal al realizar compras o simplemente buscar información en la red. La investigación se centro en sitios comerciales, financieros y de salud, además, se estudiaron los sitios más populares o los mas
visitados en la red. Los investigadores realizaron un estudio diferente de los sitios creados especialmente para los/as niños/as. La categoría de sitios comerciales cubría negocios que vendían productos a los consumidores, y abarcaban una amplia gama de compañías incluyendo concesionarios de coches, restaurantes y tiendas, aunque no todos los sitios incluidos en esta categoría vendían productos online; estos últimos ofrecían información online sobre su gama de productos, localización de los almacenes y catálogos. La categoría financiera incluía bancos, compañías de seguros, asesorías mercantiles, intermediarios online, compañías hipotecarias y uniones crediticias; no todos ellos vendían productos online. La categoría sobre la salud englobaba los sitios de asesoría general, de médicos, odontólogos y sitios que ofrecían consejo sobre hospitales, comerciantes de productos relacionados con la salud y servicios dedicados a la salud entre otros. La categoría más popular cubría una amplia gama de sitios visitados con mayor frecuencia, incluyendo sitios portales, proveedores de para el acceso a Internet e E-mail, sitios de noticias, deportes, viajes, revistas, sitios de empleo conectados a las cadenas de radio y televisión, directorios online así como sitios de juegos y entretenimiento. La valoración de los sitios más importantes dentro de cada categoría podría haber ofrecido una visión incompleta de Internet; por ello, se eligió como representativa una selección de aquellos sitios con los que el consumidor tendría mas posibilidad de encontrarse al navegar en el ciberespacio. Los resultados del proyecto ofrecen una perspectiva del planteamiento sobre el tema de la privacidad de los diferentes sitios gestionados por compañías de pequeño, mediano y gran tamaño.
Proceso de elección de los sitios Dun and Bradstreet, una compañía de listados, creo una lista de 300 sitios alojados en servidores de USA y otros 300 alojados en servidores de la Unión Europea para cada una de las categorías comercial, financiera y de salud. El director del proyecto eligió
17
Privacidad @ ciberespacio
compañías de forma aleatoria de entre los listados que habían sido seleccionados para cada categoría. La lista de los Estados Unidos se constituyo proporcionalmente al total de direcciones de cada país de la Unión Europea dentro de la selección global realizada por Dun and Bradstreet. Los investigadores procedieron entonces a eliminar los sitios que no tenían como objetivo a los consumidores. Los investigadores ofrecieron una lista de los 100 sitios más relevantes dentro de la categoría más popular al director del proyecto, el cual utilizo un proceso de selección aleatorio para crear un muestrario para los Estados Unidos y la Unión Europea. Se excluyeron los sitios que no tenían como objetivo a los consumidores, los que tenían contenido pornográfico o los que simplemente no eran accesibles. Para los sitios dedicados a los/as niños/as, se hicieron uso de las subcategorías www.yahooligans.com de los Estados Unidos, y los investigadores debían ofrecer una lista de al menos diez sitios dentro de cada sub-categoría. El director del proyecto procedió de la misma forma, a partir de una selección aleatoria, creando una muestra para cada país incluido en el estudio. Para el estudio principal se valoraron 751 sitios, los cuales se incluían en distintas categorías de la siguiente forma: Salud: Financiera: Comercial: Más popular: (Sin especificar:
173 185 214 177 3)
Los sitios estaban alojados en los servidores de los siguientes países: Estados Unidos: Unión Europea: Reino Unido: Dinamarca: Francia: Bélgica: Alemania: Suecia: Hong Kong:
340 339, de los cuales 83 86 25 10 83 52 69
Además, se completaron 102 cuestionarios sobre sitios dedicados a los/as niños/as. El numero de sitios valorados durante este estudio es lo suficientemente grande como para que Consumers International establezca unas sólidas conclusiones sobre el proceso de recolección de datos y la protección ofrecida en USA y la UE en el momento en que el estudio estaba siendo llevado a cabo. 18
Las valoraciones tuvieron lugar desde mayo a julio de 2000. El numero de cuestionarios que fueron completados por cada organización el siguiente: Australia
Australian Consumers Association
29
Bélgica
Verbruikersunie
9
Dinamarca
Danish Consumer Council/Forbrugerradet
19
Holanda
Consumentenbond
68
Francia
UFC-Que Choisir
25
Hong Kong
Hong Kong Consumer Council 119
Japón
Consumer Law News Network 65
Noruega
Norwegian Consumer Council
92
Polonia
Polish Consumer Federation
31
Suecia
Konsumentverket
51
Reino Unido Consumers Association
Estados Unidos
46
National Consumer Council
24
American Council For Consumer Interest Consumers International
87 86
Cobertura de nuestra valoración Consumers International quería averiguar si es posible que un consumidor pueda navegar en la red y buscar información sin tener que revelar información personal y en caso contrario, las compañías requerían información. Se planteaba la cuestión de sí estos sitios demandaban información obvia, tal como nombres y direcciones, o por el contrario requerían datos que los consumidores podían considerar mas personales, como edades u ocupaciones. ¿Ofrecían estas compañías la opción de aceptar o rechazar esta demanda?, o ¿Era un requisito obligatorio si el consumidor quería navegar en la web? Consumers Intenational intento también investigar la posición de las compañías respecto a protección de la privacidad de los datos de los consumidores. ¿Tenia la compañía una política de privacidad , es decir, un documento que explica lo que se hace con la información personal del consumidor y porque?, ¿Ofrecía la suscripción del consumidor a su lista de distribución?, ¿Estaba el consumidor de acuerdo con que su información fuera divulgada a compañías asociadas o incluso a compañías que no tenían relación alguna con la original? Si la compaña tenia una política de privacidad, ¿Era fácil de encontrar?.
La investigación
Estas eran algunas de las incógnitas que se trataron de descifrar. Además de investigar si las compañías tenían una política de privacidad, también se valoro la medida en que estas ofrecían una información adecuada y diferentes opciones. Mediante una visita a una página web, los investigadores determinaban si esta requería la divulgación de información por parte de los consumidores para acceder a la misma. En tal caso, los investigadores completaban un cuestionario detallado con la información que era recolectada, las opciones de lo que se podía hacer con esta información, si la web tenia una política de privacidad y el contenido de esta.
• • • • •
si era difícil encontrar la política de privacidad contenido de esta política de privacidad si la web pertenecía a algún plan de certificación si la web explicaba el uso de cookies si la web daba información de la seguridad en los medios de pago
Por favor, vea el apéndice 4 para una información mas completa sobre el cuestionario.
Los investigadores debían recopilar la siguiente información:
El proyecto define “recolección de información” como cualquier tipo de demanda de información personal durante o previo al uso de la web. Los investigadores destacaron las encuestas y concursos como métodos no transparentes de recolección de información, además de otros. Sin embargo, cuando la web recogía solo la dirección de E-mail para poder responder, y esto era voluntario sin condicionar el uso de la web, entonces no se consideraba que estaba recolectando información.
• tipo de información requerida por la web (por ejemplo: nombre, dirección, fecha de nacimiento, ocupación) y si esta era opcional u obligatoria • en que etapa se recogía esta información (si el usuario tenia que dar esa información antes de empezar a utilizar la web o simplemente cuando quería comprar algo o personalizar la página) • aviso al consumidor de la política de privacidad de la web • posibilidad de excluirse de las listas de distribución de la pagina web • si la web recolectaba información por otras vías tales como encuestas o promociones • si la web tenia una política de privacidad
Cuando los investigadores indagaban sobre la política de privacidad lo hacían mediante la búsqueda de una explicación clara sobre el uso que se iba a hacer de la información recolectada del consumidor; esto puede ser denominado de diferentes formas en distintos países. Se indagaba sobre que tipo de información se recogía, que se hacia con esta, con quien se compartía y como se protegía esta información. Si los investigadores no la encontraban de esta forma, utilizaban la herramienta de “búsqueda” por palabras. Si este método no ofrecía resultados satisfactorios, ellos enviaban un E-mail a la web requiriendo información sobre su política de privacidad.
19
Privacidad @ ciberespacio
¿Que es lo que realmente sucede cuando los consumidores compran a través de Internet? La valoración, realizada a gran escala, de las practicas y políticas de la web descritas en la sección previa nos proporciona una indicación bastante clara de lo que las compañías dicen que hacen con la información de los consumidores. Sin embargo, esto no se cumple siempre en la practica. Consumers International quería averiguar si las compañías cumplen siempre con sus promesas. Para ello, los investigadores llevaron a cabo un pequeño estudio para comprender mejor como se protege y respeta la privacidad del consumidor en una situación real de compra en Internet. Dado que este estudio fue llevado a pequeña escala no ofrece una indicación cuantitativa del comportamiento de las paginas web en general, aunque proporciona una idea de los posibles problemas con los que nos podemos encontrar. Este equipo creo un numero de identificadores de Email para ser utilizados única y exclusivamente en este ejercicio. Luego paso a realizar compras de una serie de productos que incluían libros, CDs, productos farmacológicos, productos infantiles, chocolates y vinos, en web de Estados unidos y de la Unión Europea (Reino Unido, Alemania, Francia y Dinamarca). También se realizaron compras en paginas web dedicadas a bodas y clubs de fans.
20
Cuando la web ofrecía al consumidor la opción de incluir su nombre en una lista de distribución, el investigador procedía a realizar dos compras, cada una de ellas bajo el nombre de diferentes personas, usando los distintos identificadores de E-mail. En una de las compras, el investigador opto por excluirse de la lista de distribución que le enviaría información promocional en el futuro y decidió no permanecer en la lista de distribución de la propia compañía o en la de una tercera parte. Luego pasaba a realizar otra compra utilizando el segundo identificador y, esta vez, indicaba que si deseaba recibir información adicional en el futuro.
Si la web no ofrecía la posibilidad de elección, los investigadores realizaban solo una compra prestando especial atención a la política de privacidad de la compañía y al marketing posterior. En total, los investigadores realizaron 52 compras en 16 paginas web en Estados Unidos y 16 en la Unión Europea. De estas web, 10 no ofrecían la opción de marketing posterior mientras que el resto si lo hacían. Estas compras se realizaron en octubre de 2000 y el informe muestra los resultados de cualquier E-mail enviado con posterioridad hasta noviembre de 2000. Aquí cabe considerar que algunas compañías tardan cierto tiempo en enviar la información comercial, y que el proceso de venta de nombres a terceras partes que utilizaran esa información con fines comerciales también requiere de un cierto espacio de tiempo. Por lo tanto, este puede ser interpretado como un informe provisional que será complementado con resultados mas concluyentes.
Resultados La mayoría de las paginas web ofrecían al consumidor la opción de incluir o excluir sus datos en las listas de distribución. De entre los 21 identificadores que declararon su deseo de no recibir información adicional de la compañía, de sus afiliados o de terceras partes, la mayoría no recibieron ningún tipo de comunicación posterior. Sin embargo, en tres casos, las compañías hicieron caso omiso de este deseo y enviaron E-mail con contenidos publicitarios. Estas paginas web eran www.lalibraire.com (web comercial de libros y discos), www.healthshop.com (web americana comercial de productos relacionados con la salud) y www.bbr.com (comerciante ingles de vinos Berry Bros). En uno de los casos en que un identificador adquirió un producto de www.cdnow.com, posteriormente, recibió un E-mail de una tercera parte vendiendo diplomas universitarios, aunque este identificador no recibió ningún E-mail con
¿Que es lo que realmente sucede cuando los consumidores compran a través de Internet?
posterioridad de la compañía misma. Existe la posibilidad de que esta tercera parte enviase E-mail ciegos a este proveedor de direcciones ya que ninguno de los otros cuatro identificadores que utilizaba este proveedor de E-mail recibieron información de características similares. Según el estudio comparativo, de los 21 identificadores que declararon el deseo de recibir E-mail adicionales de cualquier tipo, mas de la mitad (12) recibieron E-mail posteriores procedentes de la compañía misma. Solo dos de ellos recibieron correo postal - uno de www.thenufactory.com, comerciante americano especializado en frutas secas y nueces y otro, de nuevo procedente de www.bbr.com. Pero ninguno de ellos recibió E-mail o correo postal de terceras partes. De los 10 identificadores a los que no se les ofreció la opción de elección de marketing posterior, siete no recibieron correo electrónico o postal mientras que tres recibieron E-mail. Estos procedían de www.harvard.com (comerciante americano de libros), de www.babyworld.co.uk, comerciante ingles de productos infantiles) y www.rougeblanc.com (comerciante francés de vinos). La conclusión a la que se ha llegado en este ejercicio es que cualquiera que sea la política de privacidad de la página web, el consumidor no puede tener certeza absoluta de que en todos los casos la web se regirá por esta política. Esto queda demostrado ya que, en tres de veintiún casos, la web utilizaba los datos personales de sus clientes con propósitos comerciales, a pesar de que el consumidor había expresado explícitamente su deseo de exclusión. Estos resultados están basados en un seguimiento a corto plazo. Puede que a medida que pasa el tiempo, Consumers International encuentre mas compañías que están incumpliendo las promesas hechas a los consumidores. Una opción de exclusión que aparecía en muchas de las paginas web francesas resulto ser muy interesante. Los procedimientos requeridos para que el consumidor optase por su exclusión de la lista de distribución resultaban muy incómodos. Algunos de
ellos no ofrecían el método habitual para excluirse de la recepción de E-mail con posterioridad, mediante la elección de una casilla concreta en la pagina, mientras estaban realizando un pedido. A este efecto, en el proceso de compra, las web avisaban a los consumidores, y no de forma prominente, sobre sus derechos bajo el Articulo 36 de la Ley Francesa de Información y Libertad, donde es necesario enviar a la compañía una carta postal para prevenir la recepción envió de información comercial en el futuro. Este es el caso de las web www.lalibraire.com y www.avecbebe.com. Por otra parte, las paginas web francesas www.rougeblanc.com y www.nature-bio.com ni siquiera hacían referencia a la a la citada Ley o proveían la opción de exclusión en las listas de distribución. Por otra parte, los investigadores revelaron conclusiones muy preocupantes sobre la seguridad en el pago a través de tarjetas de crédito. Este era el caso de varias paginas web que no tenían una conexiones seguras para la transmisión de datos personales y detalles de las tarjetas de crédito. Dos de los casos mas alarmantes eran web alojadas en servidores de Estados Unidos. Uno de ellos, www.3tee.com (comerciante estadounidense de camisetas) requería información adicional antes de finalizar el pedido, a través de un E-mail no encriptado que incluía toda la información personal y detalles de la tarjeta de crédito que el consumidor había proporcionado al realizar el pedido (aunque el pedido mismo seria realizado a través de un sistema encriptado). En otro de los casos, el comerciante estadounidense www.cdworld.com envió dos E-mail pidiendo confirmación adicional sobre los detalles de la tarjeta de crédito para ser enviada por fax, argumentando que no procesarían el pedido si no recibían esta verificación. Paradójicamente, aunque los investigadores no procedieron con esta verificación, el pedido fue procesado. Por el contrario, cuando otro identificador realizo otro pedido en la misma compañía, utilizando el mismo método de pago, la compañía no requirió esta verificación.
21
Privacidad @ ciberespacio
Resultados en detalle
¿Recolectaban las paginas web información personal? Justo por encima de dos tercios de las web valoradas (67%) recolectaban algún tipo de información sobre el visitante en algún punto de la visita y solo por debajo de un tercio (32%) no lo hacían. Las paginas web clasificadas dentro de la categoría mas popular eran mas propensas a buscar información del usuario ya que un 74% de ellas la requerían. Dentro de las web en las categorías comercial y financiera un 73% y 70%, respectivamente, demandaban información. Las web dedicadas a la salud eran menos proclives en la demanda de información y solo un 50% de ellas lo hacían. Mientras que el porcentaje total de paginas web que recolectaban información en Estados Unidos y en la Unión Europea era muy similar, los resultados obtenidos en las distintas categorías de paginas web de ambos grupos difieren notablemente. Las web financieras alojadas en servidores de USA eran mas propensas a recolectar información que las de la UE. Las web financieras permitían que los consumidores probasen sus productos, lo que constituye una diferencia significativa. Dentro de la categoría comercial, muchas de las web de USA valoradas estaban constituidas por negocios locales (tales como concesionarios de coches o restaurantes), los cuales daban información detallada sobre sus productos pero no ofrecían a los consumidores la opción de compra online. Esta practica no se repetía con tanta frecuencia en las web comerciales de la UE, y esto explica porque las web de USA son menos proclives a recolectar información personal que las de la UE dentro de esta categoría. Tabla 1: la web recolecta información Total Mas popular Financiera Comercial Salud Promedio 22
USA % 80 84 61 47 66
UE % 72 48 79 47 63
La pagina web trato de ubicar una cookie en su computadora Consumers International pidió a los investigadores que configurasen sus navegadores para que les avisaran cada vez que una cookie fuera ubicada en su computadora. Descubrieron que por encima de un tercio de las paginas web visitadas ubicaban una , y aunque la mayoría de ellas ubicaban una o dos, se encontraron casos en los que se llegaba a ubicar hasta cincuenta cookies. Las web americanas, dentro de la categoría mas popular, eran las mas propensas a ubicar cookies, donde llegaban a hacerlo en un 92% de los casos. Tabla 2: Web que ubicaban al menos una cookie
Mas popular Financiera Comercial Salud
USA % 92 22 30 22
UE % 47 24 32 15
Casi todas las paginas web (un 99%) que requerían información recolectaban datos que les servirían para identificar personalmente al usuario (por ejemplo, nombre, dirección, numero de crédito o de la seguridad social). Las web dentro de la categoría mas popular eran menos propensas a recolectar información de este tipo y solo un 87.5% de ellas lo hacían. Entre el 96% y el 100% de las web incluidas en otras categorías recolectaban información de identificación personal. Muchas otras paginas web recolectaban información que les permitiría llegar a conocer algo sobre el usuario (y por lo tanto de sus hábitos de compra), tal como lugar de residencia, edad y ocupación. De esta forma muchas paginas web tienen la capacidad de construir un perfil del consumidor para así enfocar sus actividades de marketing. Los datos que eran recolectados con mayor frecuencia eran el nombre, dirección de E-mail y dirección postal, así como la edad o fecha de
Resultados en detalle
Tabla 3: ¿Que tipo de información recogía la web?, ¿Era obligatorio u opcional? Obligatorio USA % UE %
Opcional USA%
UE%
Total USA%
UE%
Identificación personal Nombre
50
74
44
24
94
98
Dirección
38
61.5
38
27
76
88.5
E-mail
43
60
42
30.5
85
90.5
Teléfono
36
35
34
41
70
76
Fax
5
7
11
25
16
32
10
4.5
7
5.5
17
Deudas de la tarjeta de crédito 1 Identificacion demográfica Código postal
37
57
42
27
79
84
Ciudad
37.5
58
40
26
77.5
84
País
19
24
26
19
45
43
Fecha de nacimiento
10
15
10
12
20
27
Ocupación
6
6
9
6
15
12
Genero
1
5
1
2
2
7
Estado civil
1
3
0
1
1
4
nacimiento, ocupación, genero, numero de fax y detalles de la tarjeta de crédito.
política de privacidad en 292 (58%) de las web visitadas que recolectaban información personal.
Si la web requería algún tipo de información del consumidor, era probable que recogiera de 6 a 8 datos.
De las paginas web que recolectaban información de los usuarios, las web dentro de la categoría de salud eran las que ofrecían en menor proporción una política de privacidad. Las web alojadas en servidores de USA dentro de la categoría de mas popular ofrecían con mas frecuencia una política de privacidad. Esta categoría de web alojadas en servidores de la UE también ofrecía con bastante frecuencia una política de privacidad.
¿En que momento de la visita se recolectaba la información? Solo 15 de las paginas web visitadas, o un 7% del total, insistían en recibir información antes de permitir al consumidor su visita a la web, siendo mas común la recolección una vez que el usuario había navegado en la web, aunque esta era necesaria entes de que realizase una compra o solicitase un tipo de información especifica. Esta es una característica común en todos los tipos de web. Las paginas web alojadas en servidores de USA dentro de la categoría mas popular eran mas proclives a la recolección de información antes de permitir al usuario utilizar la web, aunque esto sucedía solo en un numero reducido de casos. La pregunta demandada con mas asiduidad era el país donde el consumidor estaba alojado.
¿Tenia la web una política de privacidad? Después de estudiar cuidadosamente cada pagina web, los investigadores pudieron encontrar una
¿Alertaba la pagina web al usuario de la existencia de una política de privacidad cuando la información estaba siendo recolectada? Si una web tiene una política que explica lo que hace con la información proveída por el consumidor, el lugar mas obvio para colocarla y así alertar al consumidor, es en el punto en que la información esta siendo recolectada, en vez de dejar al consumidor que intente encontrarla por si mismo. Solo un tercio (32%) de los sitios que recolectaban información personal y a su vez tenían una política de privacidad se tomaron la molestia de alertar al visitante en el momento en que la información estaba siendo recogida. La única categoría que respondió de forma mas satisfactoria en este sentido fue la mas popular dentro de las web alojadas en USA. Casi dos tercios (62.5%) de estas web que 23
Privacidad @ ciberespacio
tenían una política de privacidad alertaban al consumidor de la existencia de esta en el punto en que la información estaba siendo recolectada.
¿Era fácil encontrar la política de privacidad? Si una compañía tiene una política de privacidad, aparentemente para el beneficio de los consumidores, tendría sentido que esta fuera fácilmente accesible. Esta política no es de mucha utilidad si los consumidores no pueden encontrarla cuando la necesitan. Idealmente, esta debería estar ubicada en la página principal y debería referirse a ella claramente cuando la información esta siendo recolectada. Paradójicamente, los investigadores encontraron que esto solo sucede en muy pocos casos. Los investigadores concluyeron que, por encima de un tercio de los casos (39%), la pagina web señalaba la existencia de la política de privacidad desde la página principal y el momento en que la información seria recolectada. En este caso, las web estadounidenses se comportaban con mas rigurosidad que las web de la UE, donde un 97.5% de las web en la categoría mas popular señalaban sus políticas claramente. Incluso cuando la política de privacidad era indicada en la página principal, no siempre era fácil encontrarla. Así, los resultados mostraban que solo en un 63% de los casos estudiados se podía encontrar la política de privacidad de forma sencilla una vez que se indicaba su existencia en la página principal, mientras que el 37% restante no ofrecía tantas facilidades. Cuando no se indicaba la existencia de la política de privacidad en la página principal, se pedía que los investigadores intentaran encontrarla pulsando en diferentes opciones de la pantalla. Solo uno de cada cinco (20.5%) era capaz de encontrara de esta forma. Si no lo conseguían de esta forma, se procedía a la utilización de la herramienta de “búsqueda” (si la web disponía de esta facilidad). Aunque solo un 18.5% de las web no tenían aparentemente una política de privacidad, si tenían herramienta de búsqueda, y cuando se procedió a su utilización para la búsqueda de la política de privacidad solo se tuvo éxito en dos de los casos. Si, una vez llevado a cabo todo este proceso, los investigadores no encontraban la política de privacidad, entonces procedían a enviar un E-mail a la web preguntando por la existencia de una política de privacidad. Se enviaron 177 E-mail en total aunque solo 30 paginas web, o 17% de ellas, 24
contestaron. Este bajo nivel de respuesta refleja una actuación muy pobre por su parte dado el alto nivel de preocupación mostrada por los consumidores en el tema de la protección de sus datos personales. Una contestación rápida es esencial para crear la confianza de los consumidores en el comercio electrónico. La situación actual nos hace ver que todavía tenemos un largo camino para poder proporcionar un buen servicio a los consumidores. Cuando las compañías contestaban a estos E-mail demandando información sobre su política de privacidad nos encontramos con respuestas muy diversas. Las mas típicas eran: • los datos son tratados con confidencialidad. • los datos no son recolectados para ninguna actividad de marketing • los datos no son almacenados Otros sitios web malinterpretaron la pregunta y dieron respuestas relacionadas con la forma en que la información es encriptada para garantizar una trasmisión segura. Otros argumentaron que tenían planes de incluir una declaración de privacidad en su web en un futuro cercano.
¿Se les daba a los usuarios la opción de aceptar o rechazar las opciones de como se iba a utilizar su información personal? Las compañías pueden utilizar los datos de los consumidores para fines de marketing de diferentes maneras. Pueden incluir esos datos en su lista de distribución interna para poder enviar información especial sobre de ofertas promociónales o nuevos productos. En otros casos, puede que tengan la intención de pasar esa información a compañías afiliadas o asociadas o incluso vender el nombre del cliente como parte de la lista a una compañía totalmente diferente. El consumidor debería tener el derecho a excluirse de cualquiera de estas listas. Algunas compañías tienen una política de no traspaso de información personal a otras compañías. Aun así, estas deberían ofrecer la opción de excluirse también el la recepción de información promocional no deseada. La ley de la Comunidad Europea requiere que las compañías que planean utilizar los datos de los consumidores con propósitos comerciales ofrezcan la opción de que estos lo acepten o lo rechacen, aunque esto no es obligatorio en Estados Unidos. A pesar de las diferencias existentes en lo que se refiere a aspectos legales, los investigadores descubrieron que las web alojadas en EU eran mas propicias a ofrecer la opción a los consumidores de
Resultados en detalle
si querían que sus datos fueran utilizados o fueran traspasados con fines comerciales. Las web dentro de la categoría mas popular tendían a actuar de forma mas positiva en este aspecto tanto en USA como en la UE, aunque las web alojadas en USA eran las que mejor actuaban. Sin embargo, todas las web en general eran muy decepcionantes por los bajos niveles de opciones dados a los usuarios.
¿Le ofreció la pagina web la opción de aceptar o rechazar la ubicación de sus datos en su propia lista de distribución? Si 20%
No 80%
La única categoría que actuó relativamente bien fue la mas popular (el 42.5% ofrecía la opción)
¿Le ofreció la web la opción de aceptar o rechazar la ubicación de sus datos en la lista de distribución de terceras partes? Si 9.5%
No 87% Sin determinar 3.5%
De nuevo, la categoría mas popular actuó de forma mas positiva (el 47.5 ofrecía una opción)
invitaciones para enviar comentarios por E-mail, así como facilidades para solicitar un catalogo o unirse a un club. Tales métodos para la recolección de información pueden ser causa de preocupación si no se avisa a los consumidores con claridad de que la información personal esta siendo recogida y utilizada por la web.
Planes de certificación Los planes de certificación constituyen un esfuerzo para mejorar la confianza de los consumidores en las compras online. Estos certificados son básicamente unos sellos de aprobación concedidos a algunas paginas web de Internet, los cuales indican que las compañías operan dentro de un conjunto de estándares que han sido ratificados. Algunos de estos planes de certificación son gestionados por la industria, mientras que en otros casos son gestionados por grupos independientes o por consumidores. Estos “sellos de aprobación” deberían proporcionar al consumidor la confianza de que están realizando compras en un medio relativamente seguro. Hay que destacar que muy pocas de las paginas web que valoramos en nuestro estudio formaban parte de un plan de certificación. La mayoría de aquellas que si lo ofrecían estaban alojadas en servidores de Estados Unidos, donde estos planes de certificación han existido por un periodo de tiempo mas largo.
¿Dónde era ofrecida la opción de exclusión? La información sobre las opciones ofrecidas al consumidor sobre la forma en que sus datos personales son utilizados debería ser accesible y transparente. Estas opciones deberían ser ofrecidas de forma prominente en el momento en el que se requiere la información al consumidor. Puede que muchos usuarios no sean conscientes de que tienen esta opción, por lo tanto no buscan tal información. Menos de la mitad (48%) de las pocas web que ofrecían la opción de exclusión, lo hacían en el momento en que los datos estaban siendo recogidos. En un 37% de los casos, los investigadores tuvieron que dirigirse a la política de privacidad para encontrar la opción de exclusión.
¿Existían otros métodos para la recolección de información personal? Setenta y seis web (15%) intentaron recolectar información por otros métodos. Los concursos eran los métodos mas frecuentes utilizados por las compañías para la recolección de información. Otros métodos utilizados eran las encuestas,
El tamaño del sondeo es muy pequeño como para poder decir que la pertenencia a un plan de certificación mejora la posición de la web en el tema de la privacidad.
Contenido de la política de privacidad Aunque el hecho de tener una declaración de lo que la web hace con la información es mejor que no tener nada, cabe decir que, lamentablemente, muchas de las políticas de privacidad son inadecuadas. Para que los consumidores estén informados, la pagina web debería indicar: la información que es recolectada y como es utilizada; las opciones que los consumidores tienen sobre el uso que se va a hacer de sus datos; el acceso que los consumidores tienen a esa información y como modificarla, como se garantiza la seguridad de los datos; y quien es responsable de los datos dentro de la organización. Los investigadores también estudiaron si las paginas web informaban a los consumidores del periodo de tiempo que mantenían sus datos y como podía cambiar su política en el futuro, ya que una web podía tener una buena política en el 25
Privacidad @ ciberespacio
momento en que el consumidor estaba usando la web, pero esta podía cambiar en el futuro, bien debido a un cambio interno de política o a debido a que la web es comprada por otra compañía. De forma idónea, la web debería informar a los consumidores sobre esta posibilidad, y explicar la forma en que informarían al consumidor de cualquier cambio significativo en la política. Cuando los investigadores se encontraban con una web que ofrecía una política de privacidad, ellos buscaban estos aspectos claves dentro de la misma. En esta sección, los porcentajes se refieren al numero total de web que recogían información sobre los usuarios y que al mismo tiempo tenían una política de privacidad. Los investigadores concluyeron que el contenido de la política de privacidad era muy similar tanto para las paginas web alojadas en servidores en USA como las que estaban alojadas en la UE.
Información ¿Que tipo de información se persigue sobre el consumidor? Un promedio de un 39% de las políticas informaba al consumidor sobre el tipo de información que buscaban. mas popular 54% financiera 36% comercial 28% salud 17%
¿Porque se busca la información sobre el consumidor? Esta era la segunda característica mas común de las políticas de la web alojadas en servidores de USA como en la UE , ya que un 48% de ellas informaba sobre esta cuestión mas popular 61% financiera 39% comercial 35% salud 28%
¿Con quien se comparte la información y cual es propósito? Un promedio de un 42.5% de las web cubría este aspecto. mas popular 54% financiera 42% comercial 32% salud 22%
Elección ¿Cuales son las opciones disponibles para el consumidor sobre lo que se va a hacer con su información personal? Un promedio del 17% informaba a los consumidores sobre esta opción. mas popular 26% financiera 16% comercial 12% salud 0%
¿Que se hace con la información recolectada? Esta es la característica mas común en las políticas de privacidad tanto en las web alojadas en servidores de USA como en la UE, un 52% de las políticas indicaba lo que se hacia con la información recolectada mas popular 69% financiera 47% comercial 42% salud 33%
26
¿Pueden los consumidores borrar sus nombres de las listas de distribución?, y si es así, ¿Como? Un promedio del 14% de las web informaba a los consumidores sobre esto. mas popular 13% financiera 14% comercial 11% salud 17%
Resultados en detalle
Acceso ¿Pueden los consumidores corregir y actualizar su información personal retenida?, y si es así, ¿Como? Un promedio del 31% incluían esto en sus políticas. mas popular 44% financiera 26% comercial 22% salud 22%
¿Pueden los consumidores acceder a la información personal las paginas web guardan sobre ellos?, y si es así, ¿Como? Un promedio del 18% políticas de las web cubrían este aspecto. mas popular 17% financiera 20.5% comercial 17% salud 11%
¿Pueden los consumidores borrar información personal?, y si es así, ¿Como? Un promedio del 16% de las web ofrecía información referente a este aspecto. mas popular 24% financiera 11% comercial 11% salud 11%
Seguridad ¿Cómo se gestiona la seguridad de los datos ? Un promedio del 18% políticas de las web cubría este aspecto mas popular 20% financiera 26% comercial 22% salud 6%
Otros aspectos: ¿Se indica el nombre de la persona responsable de los datos que se han divulgando?
¿Por cuanto tiempo es retenida la información? Un promedio del 6% las políticas incluía este aspecto mas popular 8% financiera 0% comercial 7% salud 17%
¿Existe una garantía del tiempo que la política de la web permanecerá sin cambios o de que pueda cambiar en el futuro? Un promedio del 4% las políticas incluía este aspecto mas popular 5% financiera 4.5% comercial 2.5% salud 0% Generalmente, el numero de paginas web que se referían a alguno de estos puntos clave de información es muy pequeño. Solo las web alojadas en servidores de USA dentro de la categoría mas popular destaco por encima de las demás, ya que un 88% de ellas comunicaba al consumidor la información que buscaba; un 85% decía la razón por la que se solicitaba la información; el 78% les decía con quien compartía la información mientras que un 66% decía a los consumidores como corregir y actualizar la información. El resto de las categorías no tenían un comportamiento satisfactorio, ya que la gran mayoría no cumplía con ninguno de los criterios necesarios para una política de privacidad adecuada. Esto nos lleva a la preocupante conclusión de que solo una minoría de las paginas web que recolectan información dicen en realidad el uso que las compañías hacen de esta. Incluso cuando se ofrece una política, no se ofrece la información clave que los consumidores necesitan. Esta deficiencia en la mayoría de las paginas web es muy preocupante, especialmente, desde que las directrices sobre las practicas de información han sido ratificadas y muestra también una falta de consideración por los consumidores. Si las web de Internet no tienen mas cuidado con las políticas de privacidad, puede que vean la confianza de los consumidores – y su disposición a utilizar los servicios online- mermados.
Un 5% de las políticas cubría este aspecto. mas popular 6% financiera 4.5% comercial 5% salud 0% 27
Privacidad @ ciberespacio
Apéndice 1: Cookies
Las compañías de comercio electrónico utilizan numerosos métodos para identificar y localizar a los consumidores. Una de las técnicas más comunes utilizadas actualmente es la cookie. Una cookie es un pequeño bloque de información que almacena el navegador en el disco duro de su computadora y que contiene una cifra única generada por esta página web. Esta cifra esta formada por una serie de números y letras inteligibles solo para la página web, aunque puede contener también el nombre de la cuenta y contraseña del usuario, así como su dirección de Internet.
financieros, de los usuarios a través de la ubicación de las cookies.
Las cookies fueron creadas por Netscape, servidor y navegador de Internet, para mejorar su capacidad de localización de los usuarios cuando estos realizan una sola visita a la web. La cookie también puede notificar a la web que el usuario ha vuelto a la misma y puede así identificar las actividades del usuario a través de las diferentes visitas que éste realiza.
Existen métodos más irrevocables para la identificación de usuarios. En 1999, Intel anuncio que estaba incluyendo un numero de serie en los microprocesadores de cada nuevo Pentium III, el cual podía ser accedido por las páginas web y las redes de corporaciones internas. La mayoría de los fabricantes suprimieron estos números después del anuncio de un boicot por parte de los consumidores; en el año 2000 Intel anuncio que dejaría de introducir esos números de serie en futuros microprocesadores. Poco después, se descubrió que varias compañías, incluyendo Microsoft y RealAudio, estaban utilizando una red interna de números que resulta ser otro tipo de localizador 20. El Grupo de Trabajo de Ingenieros de Internet ha desarrollado las especificaciones de la próxima versión de Internet determinando unos protocolos llamados IPv6 que asignaran un numero identificador único y permanente a cada dispositivo conectado a la red, y podría llegar a incluirse en el futuro en los refrigeradores y en los aparatos de video 21.
El uso de cookies se extendió enormemente cuando se descubrió que se podía usar una sola cookie a través de diferentes páginas web si esta era enviada desde una única tercera parte. Esto condujo al desarrollo de redes de compañías de publicidad que identificaban las páginas web que los usuarios visitaban y desarrollaban perfiles de sus gustos o preferencias. Por lo tanto, estas compañías utilizan esta información para realizar un tipo de publicidad especifica. Las cookies no están asociadas con una identidad real. El mayor servicio de publicidad es DuobleClick, el cual tiene acuerdos con mas de 11.000 páginas web y mantiene cookies en 100 millones de usuarios, cada una ligada a cientos de piezas de información sobre los hábitos de navegación del usuario. En 1999 DoubleClick introdujo una compañía offline de marketing directo de los Estados Unidos y anuncio que iba a empezar a extraer datos de marketing offline, así como el perfil de los usuarios. Este anuncio creó una marcada controversia y el proyecto ha sido paralizado por el momento. Se revelo también que DoubleClick recibía información personal, incluyendo detalles 28
Otra forma más discreta de ubicar a los usuarios de Internet implica el uso de gusanos web. Estos son imágenes invisibles que ubican cookies e informan de que el usuario ha visitado la página web o ha leído un E-mail formateado de manera especial. Hasta julio de 2000, DoubleClick ha colocado gusanos Web en más de 60.000 páginas web (18 footnote). Los gusanos pueden ser utilizados también para agrupar cookies con direcciones de E-mail.
El creciente uso de dispositivos inalámbricos también es causa de serias preocupaciones. Varios proveedores de teléfonos celulares de USA revelan el numero de teléfono de sus usuarios y la dirección de Internet cuando estos usan su celular para acceder a Internet. Existe un creciente numero de programas y dispositivos para el control de las actividades que el usuario lleva a cabo y que envían la información
Apéndice 1: Cookies
recolectada a la compañía que los creo. En algunos casos, el software recoge un identificador único. En otros casos, como ocurre con RealPlayer, el software recolecta ese identificador único además de información detallada de la música que el usuario estaba escuchando en ese momento. Recientemente, se ha empezado a enviar a los lectores de Wired, Forbes u otras revistas un escáner de códigos de barras inalámbrico llamado “CueCat”. Usando este dispositivo, los lectores pueden visitar las páginas web simplemente leyendo los códigos de barras de revistas y periódicos o aquellos códigos para shows de televisión o anuncios publicitarios. Al mismo tiempo, los dispositivos contienen un numero de identificación y mantienen una detallada base de datos sobre las actividades de los usuarios. Cuando los aficionados empezaron a desarrollar su propio software borrando el numero de identificación y eludiendo la base de datos corporativa, los abogados de estas compañías les amenazaron por violación de la propiedad intelectual. La convergencia de las redes de comunicaciones, computadoras y medios de comunicación de masas hacia una red interactiva mediante la combinación de la televisión e Internet es el siguiente paso en el progreso de la tecnología que esta teniendo lugar en la actualidad. Poco a poco, se esta aumentando el numero de cajas de televisión inteligente por cable, las cuales tienen unos sistemas de recepción extensiva e interactiva, a través de distintas jurisdicciones en el mundo. Estos nuevos sistemas están siendo desarrollados, como ocurría con sus predecesores, para controlar cualquier actividad de sus usuarios cuando
navegan en Internet a través de estas cajas. También han sido designados también para controlar los shows y anuncios comerciales que los usuarios ven y usar esa información para crear publicidad a su medida 22. La industria denomina esta modalidad como “T-Commerce”, Comercio por Televisión. Se espera que millones de usuarios utilicen esta modalidad en los próximos años, y que los ingresos, para justificar el alto costo de las cajas, alcancen 5 billones de dólares en el 2004. El gigante de los medios de comunicación Rupert Murdoch alegó sobre la caja en un informe de NewsCorp: “Nos informara sobre quien son nuestros consumidores y también de lo que compran, lo que ven, lo que leen y lo que quieren23”. Al contrario de lo que ocurre con las computadoras personales, las cuales proporcionan al usuario control sobre sus acciones y elecciones, los nuevos sistemas de TV se basan en una “caja negra” sellada y controlada solo por la compañía, lo que otorga al usuario un control mínimo. En las cajas WebTV, los usuarios no tienen la opción de rechazar las cookies o borrarlas. Los sistemas son cerrados y es difícil, si no imposible, que incluso los usuarios mas capacitados identifiquen lo que el sistema esta haciendo. Esto impide que los usuarios sean capaces de usar su propio software. Mientras tanto, existen compañías que han desarrollado dispositivos que filmaban automáticamente shows de televisión para los telespectadores y realizaran recomendaciones de nuevos shows basándose en su comportamiento anterior. Estos sistemas envían información sobre los hábitos de los telespectadores a las oficinas centrales.
29
Privacidad @ ciberespacio
Apéndice 2: Leyes sobre la privacidad La ley es una faceta importante en la protección de la privacidad en el comercio electrónico así como en otras áreas. La protección de la privacidad esta profundamente arraigada en la historia, remontando sus orígenes a los tiempos de la Biblia. Mas recientemente, distintos países han empezado a adoptar leyes protegiendo a los ciudadanos de la publicación de su información personal. Francia prohibió la publicación de datos privados y estableció severas sanciones para los infractores en 1858 24. El código criminal Noruego prohibió la publicación de información relativa a “asuntos personales o domésticos” en 1889 25. En 1890, los abogados americanos Samuel Warren y Louis Brandeis escribieron un estudio sobre el derecho a la intimidad, describiendo la privacidad como “el derecho a que le dejen en paz a uno 26”. Siguiendo esta publicación, el concepto de privacidad empezó a ser considerado gradualmente como parte común de la ley en USA. En los tiempos modernos, podemos encontrar una referencia a la privacidad, a nivel internacional, en la Declaración Universal de los Derechos Humanos de 1948, la cual declara, específicamente, la protección de la privacidad territorial y de las comunicaciones. También reconoce que los individuos tienen el derecho de protección legal ante la violación de su intimidad. El interés en el derecho a la privacidad se vio incrementado en los años 60 y 70 con la llegada de la información tecnológica. El potencial de vigilancia de los sistemas de computadores propicio la demanda de normas especificas que regulasen la recopilación y manejo de información personal. El génesis de la legislación moderna en esta área puede ser trazada con la primera ley mundial de protección de datos decretada en la tierra de Hesse en Alemania en 1970. A esta le siguieron leyes nacionales en Suecia (1973), Estados Unidos (1974), Alemania (1977) y Francia (1978) 27. Actualmente, mas de 30 países tienen un sistema completo de leyes que regulan el proceso de la 30
utilización de información personal. Otros 20 países están considerando nuevas leyes de una forma activa. La mayoría de los países a lo largo de todo el mundo poseen diferentes leyes dedicadas a la protección de la privacidad de una forma u otra. La adopción de las leyes sobre la protección de datos por la Unión Europea, en 1995 y 1997, fue un hito determinante en la armonización de las leyes a través de los países de la UE. Esta adopción aseguraba un nivel de consistencia en la protección de la privacidad de los ciudadanos y en la libre circulación de información personal dentro de este marco. Las Directrices se convirtieron en un punto de referencia para establecer un nivel de privacidad, las cuales no solo reforzaron la protección de datos sino que llegaron a constituir la base para una serie de nuevos derechos. La Directriz de Protección de Datos de 1995 constituye un precedente de la ley nacional sobre procesamiento de información personal tanto en archivos electrónicos como manuales 28. La Directriz de Telecomunicaciones de 1977 establece una serie de protecciones especificas, cubriendo la telefonía, la televisión digital, las redes móviles y otros sistemas de telecomunicaciones 29.
En julio de 2000, la Comisión Europea hizo publica una propuesta sobre una nueva directriz para “el procesamiento de la información personal y la protección de la intimidad en el sector de las telecomunicaciones 30”. Esta sustituirá a la Directriz de Comunicaciones de 1977 existente mediante el desarrollo de una categoría de las comunicaciones electrónicas tecnológicamente mas neutral. Estas nuevas provisiones podrían, por ejemplo, asegurar la protección del “trafico” de información transmitida a través de Internet, prohibir los E-mail comerciales no deseados (correo electrónico chatarra), y proteger a los usuarios de teléfonos celulares del control de su localización y prevenir su vigilancia. La Directriz también proporciona a los suscriptores de servicios de comunicaciones electrónicas (tales como GSM y E-mail) el derecho
Apéndice 2: Leyes sobre la privacidad
a elegir si quieren ser inscritos en un directorio publico. Dentro de todos los esfuerzos que la UE esta haciendo, la obligatoriedad es un concepto clave. En la UE existe una preocupación por las personas que son objetivo potencial del abuso en la utilización de datos personales, los cuales se amparan en derechos englobados en normas explícitas. Estos pueden ir a una persona y autorizarla para actuar en su nombre. Cada país de la UE tiene un Comisario o agencia que ejecuta las normas y se espera de los países con los que Europa mantiene relaciones provean un nivel similar de supervisión. La Directiva impone sobre los estados miembros la obligación de asegurar que la información relativa a los ciudadanos europeos tenga el mismo nivel de protección cuando es exportada y procesada en países fuera de la UE. Muchos países fuera de la UE han adoptado leyes similares. Esto es especialmente común en países de Europa Central y del Este donde están intentando entrar en la UE y en el Consejo de Europa. Muchos países del Hemisferio Oeste están haciendo progresos. En Canadá, el Parlamento Federal aprobó el llamado Bill C-6, una Acta de Documentos Electrónicos y Protección de la Información Personal, en abril de 2000 31. Esta adapta el Código de Privacidad Internacional de la Asociación de Normas Canadiense a la ley para compañías que procesan información personal “en el ejercicio de una actividad comercial” y para empleados regulados federalmente por sus empleadores. Dentro de tres años, la Acta cubrirá sectores regulados provincialmente si la provincia no adopta, por sí misma, leyes “sustancialmente similares”, tal como la Ley de Québec. En Chile y Argentina se han aprobado también leyes basadas en las Directrices de la UE. Asia, Hong Kong y Taiwán ya han adoptado las leyes y cerca de una docena de países está considerando la adopción de nuevas leyes en la protección de datos.
Leyes Sectoriales Algunos países, como USA, han evitado la adopción normas generales de protección de datos y actúan a favor de las leyes gobernantes en áreas específicas como las de datos médicos o financieros. En tales casos, esta imposición es llevada a cabo mediante una serie de mecanismos. El mayor inconveniente ante esta situación es la necesidad de introducir una legislación nueva con cada tecnología que se desarrolle con lo que la protección se queda a menudo detrás. La falta de protección legal en la información medica y genética en USA es un claro ejemplo de sus limitaciones. También se enfrenta al problema
de falta de una agencia de supervisión. En muchos países, las leyes sectoriales son utilizadas para complementar la legislación existente, aportando una protección mas rigurosa para ciertas categorías de información, como telecomunicaciones, archivos policiales o datos sobre el crédito de los consumidores. Otros países como Corea del Sur y México han adoptado leyes especificas en comercio electrónico que también protegen la privacidad.
Autorregulación Otro método de protección de la privacidad es a través de la autorregulación de la industria, mediante la cual las compañías e industria establecen códigos de practica y se comprometen a un auto control. La autorregulación tiene diferentes connotaciones en la UE y en USA. En USA, donde no existe una legislación exhaustiva para la protección de la privacidad, no se requiere que la industria alcance unos estándares mínimos y hay muy poca evidencia de que se cumplan regularmente los objetivos de los códigos. También su ejecución supone un problema. En Europa existe una cierta polémica sobre la autorregulación, pero en el contexto de la UE entendemos como autorregulación el desarrollo, por parte de la industria, de códigos alojados en los estándares de las leyes de protección nacional de datos y se asegura su ejecución a través de las agencias nacionales de protección de datos. La industria, en un intento por promover la autorregulación, se esta concentrando en la adopción de políticas de privacidad de las web que proporcionen cierta información a los consumidores sobre los detalles que estas recogen y de cómo son recogidos y divulgados. La mayoría de las páginas web de comercio electrónico mas importantes en USA ya han adoptado estas políticas. Los consumidores han encontrado numerosos problemas con estas normas. La preocupación principal es que en un contexto donde no existe una regulación adecuada tal como el caso de USA, no hay unos estándares mínimos para la creación de estas políticas. Muchas de las políticas sobre la privacidad simplemente informan de la recopilación de una serie de datos sobre de los consumidores y su intención de usar esa información con propósitos desconocidos a su discreción y divulgar dicha información a un número de organizaciones exteriores por razones no especificadas. En una serie de encuestas llevadas a cabo, la Comisión Federal de Comercio de USA y grupos independientes como EPIC se ha 31
Privacidad @ ciberespacio
llegado a la conclusión de que la mayoría de las políticas de privacidad no protegen adecuadamente la privacidad de los consumidores. Dado que no existe un marco legal, las compañías pueden cambiar las políticas de privacidad según su conveniencia. El comerciante de libros Amazon.com ha cambiado su política recientemente pasando de prometer que nunca venderá información personal de sus clientes a notificar que puede que lo haga en un momento dado en el futuro. DoubleClik paso de ofrecer un sistema de mensajes semianonimos a intentar agrupar datos obtenidos online con información personal obtenida offline. Estos cambios en la posición de algunas compañías producen un cierto tipo de problemas Cuando una
32
compañía se declara bancarrota o es adquirida por otra compañía, la protección de la privacidad se pone en duda. La información incluso puede ser también ubicada en el registro publico dado que esta constituye el único activo de la empresa. Cuando Living.com se declaro en bancarrota, el tesoro publico coloco los nombres y direcciones de miles de clientes en la red. Finalmente, la aplicación de las políticas de privacidad, en países que carecen de leyes al respecto como USA, es limitada. En el mejor de los casos, el consumidor puede solicitar a la Comisión Federal de Comercio o al Abogado General del Estado el cumplimiento de las promesas que las compañías habían hecho, aunque esto sea difícil de alcanzar.
Apéndice 3: Tecnologías de la Privacidad
Apéndice 3: Tecnologías de la Privacidad En muchos casos existen herramientas de lucha disponibles para la protección de la privacidad de los usuarios. Estas son conocidas como “tecnologías de mejora de la privacidad” (PETs) e incluye navegadores anónimos, encriptadores y remailers. La Comisión Europea, en 1998, examinó algunas PETs y declaro que estas herramientas no sustituirían al marco legal pero podrían ser utilizadas para complementar las leyes ya existentes 32. La encriptación se ha convertido en una de las herramientas más importantes para protección en contra de la vigilancia de los usuarios. Mediante la encriptación, el mensaje es codificado y el destinatario real será el único capaz de descodificarlo y, por tanto, de leer el contenido. Pretty Good Privacy (PGP) es el programa de encriptación más conocido y tiene cientos de miles de usuarios, incluyendo grupos de derechos humanos 33. GNU Privacy Guard es un programa abierto que esta siendo desarrollado como un sustituto gratuito que permitirá un completo conocimiento de la fuente del sistema para asegurar que no exista una vigilancia secreta 34. Los remailers anónimos son repetidores de correo anónimo. Pueden ser una compañía, organización o entidad privada que posee cuentas de correo electrónico configuradas de tal forma que reciben correos de terceros, les eliminan las cabeceras y nombres originales y los envían al destinatario original del mensaje después de un intervalo aleatorio de tiempo y de mezclarlos, de manera que resulte imposible analizar el trafico. Esto ha generado la oposición de por parte de la policía y los servicios de inteligencia. En Finlandia, un remalier anónimo muy popular tuvo que cerrar debido a razones legales ya que forzó al operador a revelar el nombre de uno de sus usuarios. En este contexto se han desarrollado herramientas más avanzadas para fusionar las funciones de los remailers anónimos y de los encriptadores. Los remailers anónimos de Mixmaster utilizaban las
conexiones de los encriptadores entre remailers anónimos para ocultar la identidad del remitente original, mediante el envió del mensaje aleatoriamente a través de una serie de remailers antes de alcanzar su destino final. Disponemos de otras herramientas muy útiles que permiten al usuario navegar de forma anónima. Muchos de estos servicios previenen la ubicación de cookies, o de aplicaciones que pueden ser utilizadas para vigilar al consumidor cuando utiliza su computadora. Los mas sofisticados, como Freedom.net, proporcionan una conexión totalmente encriptada entre el usuario y los servidores de una cierta compañía y así prevenir la grabación del texto, encriptando las cabeceras, con lo que el usuario puede recibir su E-mail y navegar en Internet sin que la compañía reconozca quien esta haciendo uso del sistema.
Limites de la tecnología Los usuarios deberían ser conscientes de que no todas las herramientas para la protección de su privacidad son efectivas. Una de las mayores limitaciones es el hecho de que casi ninguna de estas se encargan de la protección de la privacidad una vez que la información ha sido recolectada. La encriptación resulta útil para asegurar que la información personal sea protegida mientras esta siendo transmitida, pero no hace referencia a como las compañías utilizan la información una vez que esta es recolectada. La industria también ofrece otras muchas herramientas que no protegen la privacidad. Muchos de los sistemas, como Microsoft’s Passport y World Wide Web Consortium’s (W3C) Platform for Privacy Preferneces , están diseñados para poder compartir la información de una forma más sencilla y no para proteger a los consumidores 35. La industria de USA utiliza frecuentemente estas herramientas para evadirse de las leyes. 33
Privacidad @ ciberespacio
Las exageraciones del marketing promueven con bastante frecuencia estas herramientas como protectoras de la privacidad, pero en realidad no cumplen con su labor. American Express anuncio en octubre de 2000 su programa de “Pagos Privados”, el cual permitiría la creación de números de tarjetas de crédito de un solo uso para compras online. Este sistema evitaría que las tarjetas de crédito del usuario fueran robadas o utilizadas con otras
34
intenciones, pero aun así, seria necesaria la transferencia de información personal al comerciante y Amex guardaría los datos de la compra. Finalmente, cabe concluir que muchas de estas herramientas no son seguras, algunas de ellas tienen un diseño muy pobre, mientras que otras pueden haber sido designadas simplemente para facilitar el acceso a la ejecución de las leyes.
Apéndice 4: Cuestionario
Apéndice 4: Cuestionario
Lugar donde la página Web esta basada: Tipo de página Web (por ejemplo: comercial, salud, financiera, más popular): Fecha en que completo el cuestionario: Consideraciones sobre las páginas web dentro de la categoría “Mas popular”: ¿Ha valorado ya la página web dentro de otra categoría? ❏ SI (cual) ❏ NO Si ya ha considerado una página web en una categoría diferente, no realice todo el proceso de valoración de nuevo. En su lugar, copie sus respuestas en el cuestionario en la categoría “Mas popular” ( La página web cuenta como tal en su categoría por lo que necesitamos la información) 1
1.1
Información personal recolectada por la página web La web no recolecta información personal
❏ La página web no recolecta información personal ( sí la página web no recolecta ningún tipo de informació sobre usted, por favor marque aquí y no prosiga con el resto del cuestionario)
❏ Si la página web recolecta algún tipo de información sobre usted, por favor marque aquí. ❏ Si la página web ha intentado colocar alguna cookie en su computadora ( si es así, indique el numero de veces) 1.2 ¿Que tipo de información recoge la página web? ¿Es obligatoria u opcional? Por favor, haga un circulo en la respue sta apropiada. Nombre Dirección Código postal Ciudad País Dirección de E-mail Nº de teléfono Fecha de nacimiento Ocupación Nº de fax Nº de tarjeta de crédito Fecha de caducidad
obligatorio obligatorio obligatorio obligatorio obligatorio obligatorio obligatorio obligatorio obligatorio obligatorio obligatorio obligatorio
❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏
opcional opcional opcional opcional opcional opcional opcional opcional opcional opcional opcional opcional
❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏
no recolecta información no recolecta información no recolecta información no recolecta información no recolecta información no recolecta información no recolecta información no recolecta información no recolecta información no recolecta información no recolecta información no recolecta información
❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏
Otros (por favor, enumere hombre, mujer, numero de hijos, estado civil, ingresos; indique si es obligatorio u opcional)
35
Privacidad @ ciberespacio
1.2
Por favor, indique en que momento fue recogida la información. Antes de poder utilizar la página web
Después de navegar en la página web pero antes de comprar o requerir cualquier tipo de información
Antes de poder “personalizar” la página web
❏ Dirección ❏ Código Postal ` Ciudad ❏ ❏ País ❏ Dirección de E-Mail ❏ Nº de teléfono ❏ Fecha de Nacimiento ❏ Ocupación ❏ Nº de Fax ❏ Nº de la Tarjeta de crédito ❏ Fecha de Caducidad de
❏ Dirección ❏ Código Postal ❏ Ciudad ❏ País ❏ Dirección de E-Mail ❏ Nº de teléfono ❏ Fecha de Nacimiento ❏ Ocupación ❏ Nº de Fax ❏ Nº de la Tarjeta de crédito ❏ Fecha de Caducidad de
❏ Dirección ❏ Código Postal ❏ Ciudad ❏ País ❏ Dirección de E-Mail ❏ Nº de teléfono ❏ Fecha de Nacimiento ❏ Ocupación ❏ Nº de Fax ❏ Nº de la Tarjeta de crédito ❏ Fecha de Caducidad de
la Tarjeta
1.4
❏ NO
¿Le dio la página web la opción de aceptar o rechazar la transferencia de sus datos a terceras partes (compañías totalmente diferentes que no tienen ningún lazo con la compañía cuya página web usted esta visitando)?
❏ SI 1.8
❏ NO
¿Le dio la página web la opción de aceptar o rechazar la transferencia de sus datos a socios, subsidiarios, a filiados (asociados o relacionados como miembros o como una filial de la compañía principal)?
❏ SI 1.7
❏ NO
¿Le dio la página web la opción de excluirse de su lista de distribución (por ejemplo, no recibir información u ofertas especiales suyas)
❏ SI 1.6
la Tarjeta
En el momento en que esta información estaba siendo recolectada, ¿Le aviso la página web de la existencia de una política de privacidad?
❏ SI 1.5
la Tarjeta
❏ NO
¿Le ofrecieron estas opciones en el momento en que su información estaba siendo recogida (por ejemplo, en la misma pantalla o en otra diferente) o por el contrario tuvo que pulsar en la sección de política de p rivacidad para informarse de estas opciones?. • En la misma/siguiente pantalla • Tuvo que ir a la política de privacidad • Otros (por favor descríbalos)
1.9
Además de la recolección de información personal de una forma clara, ¿Advirtió usted otros métodos por los cuales la página web intento recolectar mas información personal (por ejemplo, encuestas, competiciones,..)?
❏ SI (por favor, descríbalas) ❏ NO 36
Apéndice 4: Cuestionario
1.10
2
2.1
Por favor, añada cualquier información que crea que es relevante en esta sección, o cualquier opción de exclusión a la que no nos hayamos referido aquí.
Información sobre la política de privacidad. Cuando usted abre la web en la página principal, (esta puede ser la primera página o puede ubicarse en ella pulsando el logotipo): ¿Se le advierte de la política sobre privacidad desde esta página?
❏ SI 2.2
❏ NO
Si la respuesta es afirmativa, ¿Diría usted que esta información sobre la política sobre privacidad es:
❏ Clara y fácil de encontrar ❏ Difícil de localizar y tuvo que buscarla 2.3
Si la respuesta es negativa, intente buscar la política de privacidad pulsando en diferentes opciones de la página web, ¿La pudo encontrar de esta forma?
❏ SI 2.4
❏ NO
Si la respuesta es afirmativa, ¿Donde estaba ubicada la política de privacidad?
¿Cuantas veces tuvo que pulsar hasta encontrarla?
2.5
Si la respuesta es negativa, por favor inténtelo con la herramienta de “búsqueda”de la página web para encontrar “política de privacidad” ¿Disponía la página web esta herramienta?
❏ SI 2.6
¿Fue usted capaz de encontrar la política de privacidad de esta forma?
❏ SI 2.7
❏ NO
❏ NO
Si la respuesta es negativa, por favor envíe un E-mail a la página web solicitando información sobre la existencia de una política de privacidad. E-mail remitido (fecha): Contestación recibida (ponga la fecha y envíenos una copia de ésta con su nombre y el de su organización así como el nombre de la página web, de la misma forma que lo ha especificado en este cuestionario).
37
Privacidad @ ciberespacio
2.8
¿Es la página web miembro del programa de certificación? Como ejemplos de estos programas de certificación tendríamos: Trust.e, de iniciativa independiente y sin animo de lucro, cuya misión es crear la confianza de los usuarios en Internet, mediante la promoción de principios sobre la divulgación y la información con consentimiento otorgado. CPA WebRrust, la cual cumple con el criterio de los estándares en las practicas de negocios, así como con los controles sobre la integridad de las transacciones y con la protección de la información según en Instituto Americano de Contables Públicos Certificados (AICPA) y el Instituto Canadiense de Contables Diplomados (CICA) y por lo tanto constituye una garantía de seguridad para el comercio electrónico.
❏ SI, por favor especifique cual ❏ NO Indique cualquier otro comentario pertinente en este punto?
3
Política de privacidad Por favor, ubíquese en la sección de privacidad de la página web para poder completar esta sección
3.1
Si no existe política sobre la privacidad en la página web, adelante hasta la sección 4 “cookies”
❏ No existe política sobre la privacidad 3.1
Si la página web tiene una política de privacidad, le informa esta sobre:
❏ La información que recolecta sobre usted ❏ Porque recolecta esa información sobre usted ❏ Que hace con esa información ❏ El periodo de tiempo mantiene esa información ❏ Con quien y con que propósito comparte esa información ❏ Las opciones que le ofrece, y lo que se hace con su información personal ❏ Si puede acceder a la información que mantienen sobre usted, ¿Como? ❏ Si puede modificar o actualizar esa información, ¿Como? ❏ Si puede borrar su información, ¿Como? ❏ Si puede borrar su suscripción de la lista de distribución en el futuro, ¿Como? ❏ Si tiene alguna garantía de cuanto tiempo permanecerá la política de privacidad sin cambios, o de como esta información podría cambiar en el futuro
❏ El nombre de la persona responsable de esta información recolectada ❏ Como se gestiona esta información. Por favor, añada cualquier información que considere relevante.
38
Apéndice 4: Cuestionario
4
4.1
Cookies ¿Le explico la página web el uso que esta hacia de las cookies?
❏ SI
❏ NO
4.2
¿Que cookies fueron ubicadas por la página web?
4.2
Según su entendimiento, ¿Se ubicaron cookies de otras páginas web diferentes a las de la página que usted estaba visitando?
❏ SI 5
5.1
Seguridad en la información relativa al pago ¿Le ofrece la página web algún tipo de información sobre la seguridad de los datos que usted revela para efectuar el pago de artículos o servicios comprados a través ellos? (Por ejemplo, detalles de la tarjeta de crédito)?
❏ SI 6
❏ NO
❏ NO
Conclusión Por favor, tómese un momento para expresar como le hizo sentir su intervención en esta página web sobre su privacidad. (Por ejemplo, ¿Sintió que su privacidad estuvo completamente protegida?, ¿Respetada?, ¿Invadida?; o por el contrario, no le importo lo relativo a la privacidad si vio otras necesidades satisfechas. Por favor añada los comentarios que crea pertinentes. Gracias por su tiempo y esfuerzo para completar este cuestionario.
39
Privacidad @ ciberespacio
Apéndice 5: Nombres y direcciones de las organizaciones participantes Los participantes Australia Australian Consumers’ Association (ACA) 57 Carrington Road Marrickville NSW 2204 Australia Tel: +61 29 577 3333 Fax: +61 29 577 3377 E-mail:
[email protected] Web site: http://www.sofcom.au Zara Baxter Belgica Association des Consommateurs/Verbruikersunie (VU) Test Achats 13 Rue de Hollande/Hollandstraat 1060 Bruselas Belgica Tel: +32 2 542 3211 Fax: +32 2 542 3505 E-mail:
[email protected] Web site: http://www.test-achats.be Françoise Domont-Naert
Francia UFC-Que Choisir 11, rue Guénot 75555 Paris Cedex 11 Tel: +33 1 43 48 55 48 Fax: +33 1 43 48 4435 E-mail:
[email protected] Web site: http://www.quechoisir.org Nicholas Larmagnac Hong Kong Hong Kong Consumer Council (HKCC) GPO Box 191 North Point Hong Kong China Tel: +852 2856 3113 Fax: +852 2856 3611 E-mail:
[email protected] Web site: http://www.consumer.org.hk Vera Tam Alemania La investigación en Alemania fue llevada cabo por empleados de CI. Marcus Lenzen y Heiko Habbe
Dinamarca Forbrugerrådet Danish Consumer Council Fiolstraede 17 DK-1017 Copenhagen K Tel: +45 77 41 77 41 Fax: +45 77 41 77 42 E-mail:
[email protected] Web site: http://www.fbr.dk Annette Højrup
Japón Consumer Law News Network (CLNN) Ueda Katsuhiro Law Office Osaka Bengoshi Building 409 6-7-4 Nishi Temma, Kita-Ku Osaka 530 - 0047 Japón Tel: +81 66 362 8177 Fax: +81 66 362 8178 E-mail:
[email protected] Takeshi Muramoto
40
Apéndice 5: Nombres y direcciones de las organizaciones participantes
Países Bajos Consumentenbond Enthovenplein 1 P.O. Box 1000 2500 BA The Hague Países Bajos Tel: +31 70 445 45 45 Fax: +31 70 445 45 90 E-mail:
[email protected] Web site: http://www.consumentenbond.nl
Reino Unido Consumers’ Association (CA) 2 Marylebone Road Londres NW1 4DF Reino Unido Tel: +44 20 7830 6000 Fax: +44 20 7830 6220 E-mail:
[email protected] Web site: http://www.which.net Michelle Childs
Perry Perfors and Janneke Stokroos Noruega Forbrukerrådet The Consumer Council of Norway Postboks 123 N-1325 Lysaker Noruega Tel: +47 67 599 600 Fax: +47 67 583 606 E-mail:
[email protected] Web site: http://www.forbrukerradet.no Eli Rekstad Polonia Federacja Konsumentów Polish Consumer Federation Pl. Powsta_ców W-wy 1/3 00-030 Warsaw Polonia Tel: +22 827 51 05 Fax: +22 827 51 05 E-mail:
[email protected] Web site: http://www.federacjakonsumentow.org.pl Monika Kosinska Suecia Konsumentverket/KO National Board for Consumer Policies/The Consumer Ombudsman S-118 87 Stockholm Suecia Tel: +46 8 429 0500 Fax: +46 8 429 8900 E-mail:
[email protected] Web site: http://www.konsumentverket.se
National Consumer Council (NCC) 20 Grosvenor Gardens Londres SW1W 0DH Reino Unido Tel: +44 20 7730 3469 Fax: +44 20 7730 0191 E-mail:
[email protected] Web site: http://www.ncc.org.uk Alison Hopkins Estados Unidos American Council on Consumer Interests (ACCI) 240 Stanley Hall University of Missouri Columbia, MO 65211-0001 USA Tel: +1 573-882-3817 Fax: +1 573-884-6571 E-mail:
[email protected] Web site: http://consumerinterests.org Robert Mayer Observador Bureau Européen des Consommateurs (BEUC) European Consumers Organisation Avenue de Tervueren 36 Bte 4 1040 Bruselas Belgica Tel: +32 2 743 1590 Fax: +32 2 735 7455 E-mail:
[email protected] Web site: http://www.beuc.org Ursula Pachl
Ingela Allenbert
41
Privacidad @ ciberespacio
Apéndice 6: Cinco pasos para proteger su privacidad online
➊ Limite la divulgación de su información personal Provea solo la información que sea necesaria para poder conducir la transacción. No proporcione ningún otro tipo de información, tal como biográfica, que no sea obligatorio. Utilice un seudónimo cuando sea posible. Si considera que el sitio esta demandando demasiada información que no es esencial, utilice otro sitio. Prevenga que su software divulgue información personal suya. Para ello puede desactivar la función de “Forms Autocomplet” en Internet Explorer y “Smart Browsing” en Nestcape de la opción del menú “Preferencias”. Muchos otros programas, incluyendo los procesadores de textos, juegos y programas de Internet envían, a menudo, información sobre los usuarios a las compañías que los crearon. Dispone de una lista completa de este software y de los programas que puede retirar de su computadora para evitarlo en http://grc.com/output.htm Sea consciente de que cuando comparte un mensaje con grupo de noticias, en un chatroom o en un sitio de Internet, la información es almacenada frecuentemente y hecha publica.
➋ Abra una cuenta de E-mail separada. Abra distintas cuentas gratuitas de E-mail, diferentes de su cuenta personal o de negocios, para ser utilizada únicamente en sus transacciones de comercio electrónico o en chatrooms. Puede encontrar un directorio de cuentas de E-mail gratuitas en http://emailaddresses.com/. Si usted empieza a recibir demasiados E-mail no deseados de distintas compañías, puede terminar su suscripción fácilmente y abrir una cuenta gratuita nueva. Algunos servicios son también anónimos, y están encriptados para prevenir que alguien, distinto del destinatario, pueda leerlos.
42
cookies y bórrelas cuando haya terminado. Usted puede utilizar un programa que borre o muestre los archivos que tienen cookies, según sus deseos.
➍ Utilice herramientas para proteger su privacidad Existen muchas herramientas que pueden ser utilizadas para la protección de su privacidad ya que su computadora divulga información sobre usted con bastante frecuencia. La Comisión Nacional Francesa de la Información y de la Libertad hace una demostración, además de dar información adicional, en http://www.cnil.fr/traces/index.htm y la podemos encontrar en los idiomas español, ingles y francés. Los usuarios también pueden proteger su privacidad utilizando servicios que permitan una navegación anónima en Internet para prevenir la recolección de su información personal; encriptación de la información para proteger la privacidad de sus comunicaciones; cortafuegos para prevenir que su computadora divulgue información a otros; y facilidades para borrar permanentemente documnetos e información personal de su computadora. Puede obtener una lista de estas herramientas en http://www.epic.org/privacy/tools.html
➎ Infórmese sobre la protección legal de la
➌ Rechace las cookíes.
que dispone Muchas jurisdicciones cuentan con regulaciones que velan por la protección de la privacidad de los consumidores. Usted puede obtener un análisis de las leyes sobre la privacidad en diferentes países en http://privacyinternational.org/survey. Muchos países tienen un oficial local o nacional que esta encargado de proteger la privacidad y este le puede asistir si su privacidad es invadida. Dispone de una lista completa de oficinas de la pagina web del Consejo de Europa: http://www.coe.fr/dataproteccion/eautorites.htm
Configure su navegador para que rechace todas las cookies, o al menos las de terceras partes, como DoubeleClick. Usted lo puede hacer programando en “Preferencias” de Internet Explorer o en “Preferencias: Avanzado” en Nestcape. Muy unos pocos sitios requieren cookies. Para estos sitios, permita el uso temporal de
Para obtener de Internet una copia del informe de Consumers International “Privacidad @ ciberespacio” vaya a www.consumersinternational.org. También puede realizar copias de esta hoja. Ambos están disponibles también en ingles y francés.
Notas de pie de página
Notas de pie de página
1
OECD, “Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data” Paris, 1981. .
2
Convención para la Protección de los Individuos del Procesamiento Automático de Información Personal, ETS No. 108, Strasbourg, 1981. .
3
Encuesta de Nua sobre Internet < http://www.nua.ie/surveys/how_many_online/>.
4
http://principal3.americanexpress.com/corp/latestnews/gis2000/gis2000.pdf.
5
Vea por ejemplo: Eric Murray, SSL Server Security Survey, 31 julio de 2000 mostrando como la encriptación es inadecuada en la mayoría de las páginas web de comercio electrónico. . 6
Vea, “Sensitive Kaiser E-Mails Go Astray,” Washington Post, 10 agosto de 2000.
7
Vea http://www.epic.org/privacy/databases/ssa/.
8
http://www.brightmail.com/global/pdf/gartner.pdf.
9
Jupiter Communications, el marketing de E-mail remontándose a $7.3 Billones de dólares en 2005 acaparando el 13 % de los ingresos directos del correo, 8 mayo de 2000.
10
Directiva 95/46/EC del Consejo del Parlamento Europeo del 24 octubre de 1995 sobre la protección de los individuos en el procesamiento de información personal dentro del marco de la libre circulación de esta, . 11
Directiva sobre el procesamiento de información personal y la protección de la privacidad en el sector de las telecomunicaciones (Directiva 97/66/EC del Parlamento Europeo y del Consejo Europeo del 15 Diciembre de 1997), .
12
Por ejemplo, vea la Declaración del Dialogo Transatlántico para la Protección del Consumidor del Departamento de Comercio de los Estados Unidos. Borrador del Puerto Seguro y de los Principios de la Privacidad Internacionales; Cuestiones Frecuentemente Preguntadas. 30 marzo de 2000, . 13
Resolución del Parlamento Europeo sobre el borrador de la inadecuada protección ofrecida por los Principios de la Privacidad en le Puerto Seguro y sobre las Cuestiones Frecuentemente Preguntadas por el Departamento de Comercio de Estados Unidos. . 14
Decisión de la Comisión sobre la incorrecta protección ofrecida por los Principios de la Privacidad del Puerto Seguro y sobre las Cuestiones Frecuentemente Preguntadas por el Departamento de Comercio de Estados Unidos .
15
Disponible en http://www.cme.org/children/marketing/deception.pdf.
43
Privacidad @ ciberespacio
16
Centro para la Educación en Tecnología Avanzada, recogiendo los “Eyeballs” y “E-wallets” de Captive Kids in School: Dot.com Invades Dot.edu .
17
FTC páginas de privacidad, .
18
Para averiguar el numero de gusanos web ubicados en las páginas de Internet por los publicistas, vaya a http://www.tiac.net/users/smiths/privacy/wbfind.htm. 19
Vea http://www.bigbrotherinside.org/.
20
Vea Richard Smith, Internet Privacy Issues. .
21
Vea http://www.junkbusters.com/ht/en/new.html#IPv6.
22
Vea David Burke, Spy TV (Slab-O-Concrete Press, 1999). .
23
Citado en Privacy Journal, Octubre de 1999.
24
The Rachel affaire. Judgment of June 16, 1858, Trib. pr. inst. de la Seine, 1858 D.P. III 62. Vea Jeanne M. Hauch, Protegiendo los Hechos de la Privacidad en Francia: The Warren & Brandeis Tort is Alive and Well and Flourishing en Paris, 68 Tul. L. Rev. 1219 (Mayo 1994). 25
Vea Prof. Dr. Juris Jon Bing, Data Protection en Noruega, 1996. .
26
Warren and Brandeis, El Derecho a la Privacidad, 4 Harvard Law Review 193 (1890).
27
Puede encontrar un análisis exhaustivo de estas leyes en David Flaherty, Protecting Privacy in Surveillance Societies (University of North Carolina Press 1989).
28
Directiva 95/46/EC del Consejo del Parlamento Europeo del 24 de Octubre de 1995 sobre la protección de los individuos en el procesamiento de información personal dentro del marco de la libre circulación de esta, .
29
Directiva sobre el procesamiento de información personal y la protección de la privacidad en el sector de las telecomunicaciones (Directiva 97/66/EC del Parlamento Europeo y del Consejo Europeo del 15 diciembre de 1997), .
30
La Comisión Europea, ‘Propuesta para una Directiva del Parlamento Europeo y del Consejo para el procesamiento de información personal y la protección de la privacidad en el sector de las telecomunicaciones’ .
31
Bill C-6, Acta para la protección de información Personal y documentos Electrónicos .
32
Opinión 1/98: Platform for Privacy Preferences (P3P) y el Open Profiling Standard (OPS), . 33
PGP International Page: http:/www.pgpi.com/.
34
Página principal: http://www.gnupg.org/.
35
EPIC and Junkbusters, ‘Pretty Poor Privacy: Una valoración de P3P y de la Privacidad en Internet ‘, junio de 2000, . 36
EPIC tiene una lista de las herramientas http://www.epic.org/privacy/.
44
Consumers International Office for Developed and Transition Economies (ODTE) 24 Highbury Crescent London N5 1RX, UK Tel: +44 020 7226 6663 Fax: +44 020 7354 0607 e-mail:
[email protected] Web site: http://www.consumersinternational.org
About Consumers International Founded in 1960, Consumers International (a non-profit organisation registered in The Netherlands as the International Organisation of Consumer Unions, registration number S1 49999) is a federation of consumers’ organisations dedicated to the protection and promotion of consumers’ interests worldwide through institution building, education, research and lobbying of international decision-making bodies. An independent, non-profit foundation, Consumers International has 225 members in over 260 countries.
Head Office, 24 Highbury Crescent, London, N5 1RX, UK Tel: +44 171 226 6663 Fax: +44 171 354 0607 Asia and the Pacific, Lot 5-1 Wisma WIM, 7 Jalan Abang Haji Openg Taman Tun Dr. Ismal, 60000 Kuala Lumpa Tel: +60 3 7726 1599 Fax: +60 3 7726 8599 e-mail:
[email protected] Latin America and the Caribbean, Casilla 9635, Santiago, Chile Tel: +56 2 335 1695 Fax: +56 2 231 0703 e-mail:
[email protected] Africa, Private Bag A6215, Avondale, Harare, Zimbabwe Tel: +263 4 302 283 Fax: +263 4 303 092 e-mail:
[email protected]