Intensificar sus prácticas justas de información

La semana pasada, Facebook realizó [email protected], una conferencia sobre privacidad con un enfoque único: el usuario final.

En estos días, la agenda en la mayoría de los eventos de privacidad casi siempre se centra en la incertidumbre legal o regulatoria: ¿obtendremos una ley de privacidad en los Estados Unidos? ¿Se aprobará alguna vez la propuesta de reglamento de la UE?

Para crédito de Facebook, [email protected] se centró en lo que las empresas pueden o deberían estar haciendo en este momento con respecto a la privacidad del usuario final, independientemente de toda esta incertidumbre regulatoria. Y durante la conferencia, vislumbramos cómo las empresas continúan innovando en torno a las prácticas justas de información o "FIP": notificación, consentimiento, acceso, seguridad y cumplimiento.

Por ejemplo, las empresas que fabrican autos conectados no se debaten si tener o no una política de privacidad; más bien, la discusión se ha trasladado a cómo deberían verse los avisos de privacidad, si los sonidos o los íconos pueden desempeñar un papel para animar las políticas basadas en texto y qué sucede si la pantalla del dispositivo es muy pequeña o no existe.

¿Qué son los FIP?

Los FIP son los componentes básicos importantes de cualquier programa de privacidad. Se articularon por primera vez en un informe del gobierno de EE. UU. de 1973 titulado “Registros, computadoras y los derechos de los ciudadanos”. Era la primera vez que un informe del gobierno se centraba en los efectos del "procesamiento automatizado de datos" en los ciudadanos estadounidenses. Ahora, en la era posterior a Snowden, la introducción de Caspar Weinberger parece increíblemente profética e incluso un poco siniestra:

“Las computadoras conectadas entre sí a través de redes de telecomunicaciones de alta velocidad están destinadas a convertirse en el medio principal para crear, almacenar y usar registros sobre personas…”

Los FIP nunca se convirtieron en la base de una ley de recopilación de datos comerciales en los EE. UU. (EE. gobierno para salvaguardar la información personal recopilada de los ciudadanos estadounidenses. Y curiosamente, la mayoría de los marcos globales y de protección de datos actuales incorporan y amplían los FIP, por ejemplo, la ley de protección de datos de la Unión Europea amplía el "aviso" en dos requisitos adicionales: especificación del propósito y limitación de uso.

¡Mejora tus FIP!

Con estos antecedentes en mente, ¿debería “intensificar sus FIP”? Absolutamente. La FTC adoptó formalmente los FIP en un informe de 2000, y la agencia continúa desarrollando esa implementación para decidir cómo evaluar el daño a la privacidad del usuario final. Como tal, los anunciantes y vendedores de aplicaciones deben conocer cada FIP y cómo se implementan dentro de la experiencia del producto o la aplicación, así como los procesos de back-end.

Aviso : sea transparente y asegúrese de que las políticas de privacidad proporcionen un aviso "significativo" sobre la recopilación y el uso de datos. No haga promesas que no está cumpliendo. La FTC procesó a Snapchat sobre la base de los avisos de privacidad de la empresa y otras declaraciones que afirmaban que los mensajes de los usuarios "desaparecerían" después de un período de tiempo determinado. En realidad, los mensajes se almacenaron en los registros de Snapchat y las aplicaciones de terceros podían acceder a ellos.

Consentimiento : también conocido como elección y control. Es imprescindible obtener el consentimiento del usuario final para la recopilación y el uso de datos, incluido el consentimiento expreso para la recopilación de categorías de datos "sensibles", como la ubicación precisa del dispositivo del usuario final.

Acceso : proporcione una forma de modificar, o incluso posiblemente eliminar, los datos que tiene sobre los usuarios finales. Esto incluye cumplir con las solicitudes de exclusión voluntaria de los usuarios finales, como nos mostró la FTC en su acción reciente contra las tecnologías Nomi, una empresa de seguimiento minorista que no optó por excluir a los usuarios finales cuando se lo solicitaron.

Seguridad : asegure todos los datos personales valiosos con las medidas organizativas y técnicas adecuadas para evitar el acceso o la divulgación no autorizados. La FTC ha iniciado acciones contra Credit Karma y Fandango por tergiversar las prácticas de seguridad y no proteger la información personal confidencial de los consumidores.

Cumplimiento : esto incluye tanto la regulación gubernamental como los marcos de autorregulación y corregulación, como las pautas móviles de Digital Advertising Alliance (DAA) o el código de Network Advertising Alliance (NAI). Además, es importante no tergiversar o declarar erróneamente su membresía en un marco regulatorio o puerto seguro. Este punto fue señalado recientemente por la FTC, que acaba de finalizar dos acciones contra empresas por declarar erróneamente su estado de participación en el puerto seguro de la UE y los EE. UU.

Preste atención a DAA, NAI y otros requisitos de autorregulación

Este último punto es especialmente digno de reflexión. En los últimos dos meses, hemos visto dos importantes anuncios de autorregulación:

• La DAA comenzará a hacer cumplir sus pautas móviles de la DAA en septiembre de 2015 para todas las entidades involucradas en la publicidad basada en intereses y la recopilación de datos entre aplicaciones. Estas pautas se basan en los Principios de autorregulación de la DAA para la publicidad conductual en línea u "OBA". Los Principios de la DAA son un importante programa de autorregulación y se basan en parte en los principios de la OBA de 2009 del personal de la FTC.

• La NAI ha publicado pautas para el uso de tecnologías no basadas en cookies (p. ej., toma de huellas dactilares digitales), a partir del código de la NAI. La NAI clasifica a las empresas en primeras partes (que recopilan y utilizan datos en nombre de ellas mismas) o en terceros (empresas que se dedican a la "publicidad de datos cruzados" o a la "entrega de anuncios e informes" en nombre de otras empresas).

Es importante determinar si se encuentra dentro del alcance de uno de estos programas de autorregulación. Por ejemplo, la DAA ha declarado que sus principios cubren " todas las empresas involucradas en [publicidad basada en intereses] y actividades de recopilación de datos en múltiples sitios y múltiples aplicaciones para uso permitido", independientemente de si usted es miembro de la DAA o no.

Para concluir…

Es un buen momento para revisar cómo está incorporando los FIP en su programa de privacidad y en la experiencia de la aplicación. Como nos han demostrado numerosas acciones de la FTC, la incorporación de estos requisitos es un paso importante para cumplir con sus requisitos legales y de cumplimiento. Pero los FIP también son una pieza fundamental para garantizar la confianza, porque les muestra a los usuarios finales que usted respeta sus derechos de privacidad y es un administrador confiable de sus datos personales.

Y, a medida que más empresas siguen este modelo de adopción de prácticas basadas en un marco común, la autorregulación se convierte en una alternativa más viable a la aprobación de requisitos legales. A diferencia de una ley, la autorregulación puede seguir el ritmo de la tecnología en evolución. Entonces, este es un enfoque que las empresas innovadoras deberían considerar para cumplir, pero también para ser innovadoras.

¿Quiere obtener más información sobre cómo aumentar sus FIP? Entonces no olvide asistir al taller "FIP para aplicaciones" de TUNE en Postback este año.

¿Te gusta este artículo? Regístrese para recibir los correos electrónicos de resumen de nuestro blog.