Mayo de 2011

English version
Version française

---

Prefacio

A principios de 2010, la Comisaría de Protección de Datos Personales de Canadá (OPC, por sus siglas en inglés) inició un proceso de consultas sobre el rastreo, la construcción de perfiles y la focalización en línea, así como sobre la computación en la nube. El objetivo de la consulta era destacar las tendencias tecnológicas en evolución y sensibilizar al público y otras partes interesadas ante las implicaciones del mundo en línea para la vida privada de las personas. Pienso que las consultas fueron un primer paso positivo en esa dirección.

En nombre de mi oficina, quisiera expresar mi agradecimiento a las asociaciones, organizaciones, entidades de promoción de la causa, académicos y particulares que cedieron  parte de su tiempo para hacernos llegar sus comentarios, participar en eventos públicos y responder a nuestro proyecto de informe. Valoramos su interés en tan importantes temas de política pública y nos complace el haber podido gozar del beneficio de sus opiniones.

Agradezco también al personal de la OPC su arduo trabajo y su compromiso durante esta empresa. Me permito señalar en particular a Elizabeth Denham, Comisaria Adjunta de Protección de Datos Personales – PIPEDA; Colin McKay, ex Director de Investigación, Educación y Extensión; Ann Godsmith, Directora de Política y Asuntos Parlamentarios; y Melanie Millar-Chapman, Gerente de Investigación Estratégica, por su liderazgo a lo largo de todo el proceso. Vaya mi reconocimiento igualmente a Barbara Bucknelll, Analista de Política Estratégica, por la redacción de este documento.

En el presente informe sobre las consultas se resumen los mensajes que recibimos tanto durante las consultas propiamente dichas como en las respuestas al proyecto de informe que publicamos, así como nuestras propias opiniones sobre el tema; también se delinean las áreas en las cuales quisiéramos concentrar nuestra labor futura. Esperamos poder continuar el trabajo que comenzamos en 2010 y fomentar el debate sobre la privacidad en línea.

Jennifer Stoddart
Comisaria de Protección de Datos Personales de Canadá
Mayo de 2011

Resumen

En la primavera de 2010, la Comisaría de Protección de Datos Personales de Canadá (OPC) celebró consultas sobre el rastreo, la construcción de perfiles y la focalización en línea, así como sobre la computación en la nube. En total, la OPC recibió 32 comentarios por escrito y efectuó eventos públicos (en Toronto, Montreal y Calgary) a los cuales asistieron representantes de otras comisarías de protección de datos personales y de la industria, al igual que académicos, entidades de promoción de la causa y el publico en general. El 25 de octubre de 2010, la OPC publicó un proyecto de informe sobre las consultas, con la idea de recoger nuevos comentarios sobre una amplia gama de temas, desde la separación  entre lo público y lo privado hasta la computación en la nube. Se recibieron 12 respuestas que abordaron algunos de los temas planteados.

En lo que atañe el rastreo, la construcción de perfiles y la focalización en línea, los comentarios que recibimos se refirieron principalmente a cuestiones de privacidad relacionadas con la publicidad conductual: qué es, cuáles son sus beneficios, qué riesgos hay para la privacidad y qué medidas de autorregulación existen. Con respecto a preocupaciones más generales sobre la privacidad, la difuminación de la separación entre lo público y lo privado y sus efectos sobre la reputación se consideraron un problema importante que se genera con el rastreo, la construcción de perfiles y la focalización en línea. También se plantearon como elementos de interés las actividades de los niños en el mundo virtual y la necesidad de incorporar elementos de privacidad en los programas de ciudadanía digital.

Las consultas brindaron la oportunidad de examinar las prácticas de rastreo, construcción de perfiles y focalización en línea desde la perspectiva de la Ley de Protección de la Información Personal y los Documentos Electrónicos (PIPEDA, por sus siglas en inglés). Si bien la mayoría de los participantes de la industria opinaron que la PIPEDA puede responder al entorno tecnológico en evolución, muchos de los que respondieron a las consultas o hicieron llegar sus comentarios al proyecto de informe plantearon algunos problemas relacionados con la aplicación de la ley. Entre los aspectos de la PIPEDA que requerirían una mayor atención destacaron el definir qué es (y qué no es) información personal, determinar la forma apropiada de consentimiento, limitar el uso de la información personal, aplicar salvaguardias razonables, permitir el acceso a la información en línea y su corrección y velar por la responsabilización. El rastreo, la construcción de perfiles y la focalización en línea siguen siendo actividades que resultan invisibles para la mayoría de las personas, y la mayoría de aquellos que respondieron a las consultas o participaron en los eventos públicos estuvieron de acuerdo con que se requiere una mayor transparencia, en beneficio de los usuarios y en aras de garantizar la innovación.

Con respecto a la computación en la nube, la OPC aprendió sobre sus diferentes características y modelos. Escuchamos de sus beneficios y riesgos para las empresas y los consumidores. También sobre esta materia, la gran mayoría de los consultados opinó que la PIPEDA puede responder a los problemas que pudieran surgir, mientras que otros argumentaron que es menester tomar medidas adicionales. Casi todos los asuntos planteados en relación con esta ley tuvieron que ver con la jurisdicción y la disponibilidad de información personal para terceros; salvaguardias; nuevos usos de la información personal y su retención y acceso.

La OPC propone emprender actividades específicas relacionadas con el rastreo, la construcción de perfiles y la focalización  en línea, en especial investigaciones y actividades de extensión, así como la formulación de políticas. La OPC se propone además incorporar a particulares y a las pequeñas y medianas empresas para tratar el tema de la privacidad y la computación en la nube. Los comentarios relacionados con el cumplimiento de la PIPEDA también se considerarán en cualquier examen de la ley.

Preámbulo

A fin de definir el contexto para el debate durante las consultas de la OPC sobre la privacidad de los consumidores en 2010, elaboramos casos o escenarios hipotéticos sobre actividades que los canadienses ejecutan a diario en la vida real. Nuestro propósito era hacer más tangibles para los ciudadanos canadienses los conceptos, con frecuencia técnicos y abstractos, de rastreo, construcción de perfiles y focalización en línea. La intención era facilitar la participación de particulares, representantes de la industria y promotores de la causa en un diálogo acerca de la forma en que las acciones diarias en línea afectan la vida privada de los canadienses y qué se está haciendo o debería hacerse para protegerla. Estos escenarios o casos hipotéticos se utilizan a todo lo largo del informe.

I. “El mundo de Louise y David”

Louise es una estudiante universitaria de 21 años de edad a quien le gusta conocer gente y experimentar cosas nuevas. Se mueve mucho en el mundo cibernético, y utiliza la Red para hacer de todo, desde comprar ropa de moda hasta entradas para conciertos, y mantiene el contacto con sus amigos colocando información actualizada y fotos en su página de Facebook. Louise cursa actualmente su último año en la universidad, por lo que ha comenzado a buscar trabajo. Para pagar sus estudios, fabrica joyas que vende por Internet. También colecciona libros de historietas y es miembro de una red internacional de entusiastas del ramo. Louise tiene un hermano menor que ella, David, de 9 años. David adora los juegos en línea y participa en ellos por su cuenta, pero utiliza la tarjeta de crédito de su hermana si quiere hacer alguna compra.

De vez en cuando, Louise se pregunta qué hacen estas compañías virtuales con la información que ella les suministra. Ha escuchado a algunas personas hablar de la “privacidad en línea”, pero no está segura de saber lo que eso significa. En cierta ocasión, mientras visitaba un sitio web, observó que había un enlace electrónico a su política de privacidad. Activó el enlace, intentó leer la política, pero se aburrió del contenido. Le pareció que era mucha palabrería legal. Desistió y continuo con sus actividades en línea.

I.I Introducción

Louise y David son dos típicos canadienses. Son apenas dos de los millones de ciudadanos que se conectan diariamente a la Internet para hacer compras, hablar con otras personas, jugar o, como en el caso de Louise, hacer negocios. Conocen las ventajas de la vida en línea, y como canadienses jóvenes que son, Louise y David han integrado el mundo virtual a sus experiencias del mundo real. En sus memorias no hay recuerdos de archivos de papeles, máquinas de escribir o mapas plegables, ni saben lo que es tener que hacer una fila para comprar entradas para el cine. Viven lo que se llama una vida “a la carta”, con acceso instantáneo a todo tipo de información: qué están haciendo sus amigos, dónde encontrar las mejores ofertas, o con quién está saliendo su rockero favorito. Llevan su vida social en línea, cargan sus fotos, videos y opiniones y sienten que forman parte de una comunidad que abarca todo el planeta. Si tienen la edad requerida, pagan facturas, solicitan crédito u operan negocios. Música, videos, películas, libros, prendas de vestir, periódicos, juegos… son todas cosas que están al alcance de un click. Y el acceso a buena parte de todo ello es gratuito, por lo menos en el sentido monetario.

Canadienses de todas las edades entienden el valor que la tecnología aporta a sus vidas –conveniencia, conexión, creatividad- y están adoptándola sin empacho. Pero ello no significa que los canadienses como Louise nunca piensan en lo que está ocurriendo tras los bastidores de sus actividades en la Internet. ¿Dónde va a parar la información? ¿Quién la ve? Louise busca respuesta a estas preguntas, pero le parece que es difícil encontrar información, y cuando la consigue, le parece confusa y más compleja de lo que pensaba. Posiblemente Louise piense que no está obteniendo una imagen completa. ¿Pero dónde puede ir para encontrar esa “imagen completa”? La tecnología es fácil de usar, opina ella, ¿pero entonces por qué es tan difícil comprender qué papel cumple su información  personal en todo esto?

I.II Protección de la privacidad en Canadá

Afortunadamente para Louise, existen en Canadá leyes que rigen la forma en que se trata su información, y hay una oficina que contribuye a supervisar el cumplimiento de esas reglas. El mandato de la Comisaría de Protección de Datos Personales de Canadá (OPC) es supervisar el cumplimiento de la Ley de Protección de Datos Personales, la cual se aplica a las prácticas de gestión de la información personal por parte de los ministerios y organismos del gobierno federal, así como la Ley de Protección de la Información Personal y los Documentos Electrónicos (PIPEDA), que trata de la privacidad aplicada al sector privado de Canadá. La PIPEDA rige para aquellas organizaciones que recopilan, utilizan y divulgan información personal en el curso de una actividad comercial (a menos que exista a nivel provincial una ley sustancialmente similar^{Footnote 1}). La PIPEDA abarca además la información personal de los clientes y empleados de obras, trabajos y negocios federales. En términos generales, la PIPEDA se aplicaría a todas las prácticas de gestión de información personal de las organizaciones del sector privado que realizan tareas de rastreo, construcción de perfiles y focalización en línea, así como computación en la nube.

La misión de la OPC consiste en proteger y fomentar los derechos de las personas a la privacidad. A tal efecto, la Oficina busca aprovechar las oportunidades para fomentar la sensibilización y educación del público sobre los derechos y obligaciones relacionados con la privacidad, por medio de contactos con instituciones y órganos federales, el sector privado, una gran variedad de partes interesadas y el público en general. Si así lo quisiera, Louise podría visitar nuestro sitio web, llamarnos y hacer sus preguntas o presentar un reclamo si le preocupa lo que puede estar haciendo una compañía con la que haya tenido tratos. Entre sus múltiples funciones, la OPC investiga reclamos, responde a consultas de personas, parlamentarios y organizaciones que buscan información y orientación, interactúa proactivamente con otras partes interesadas, suministra materiales educativos y documentos de orientación para el público, da seguimiento a las tendencias y trabaja con partes interesadas del sector privado de otras jurisdicciones de Canadá y del exterior para abordar problemas de privacidad de carácter internacional que resultan de los crecientes flujos transfronterizos de datos.

I.III Nuevas tecnologías, antiguas interrogantes

Los cambios tecnológicos de la segunda mitad del siglo XX llevaron a muchos países a promulgar leyes sobre la vida privada de las personas. En aquel entonces se expresaron inquietudes acerca de los potenciales efectos de las tecnologías en rápida evolución sobre la privacidad. A medida que las computadoras y bases de datos se hicieron cada vez más poderosas, numerosos académicos, autoridades, gobiernos y organizaciones internacionales comenzaron a considerar cuál sería la mejor manera de proteger la vida privada de los ciudadanos. El sector privado de Canadá elaboró en los años noventa un código de autorregulación, que se basaba en gran medida en las prácticas de información justa formuladas en un documento que publicara la OCDE en 1980 y que llevaba por título Directrices de la OCDE que regulan la protección de la privacidad y el flujo transfronterizo de datos personales.  En 2000, se promulgó la PIPEDA, que incorporó el código de autorregulación. Las prácticas de información justa, que figuran en el anexo 1 de la PIPEDA, son: responsabilización, declaración de propósitos, consentimiento, limitación de la recopilación, limitación de uso, divulgación y retención, exactitud, salvaguardias, apertura y acceso de las personas a su información.

La mayoría de los aspectos sobre los que la OPC concentró su labor durante los primeros años de vigencia de la PIPEDA tenían que ver con las prácticas sobre información personal de parte de organizaciones físicas, como las instituciones financieras, las compañías de telecomunicaciones, las oficinas de crédito y las empresas de transporte^{Footnote 2}, así como con sus transacciones comerciales cotidianas. Estos aspectos eran, por ejemplo, qué constituye información personal o cuál es el tipo apropiado de consentimiento; otras cuestiones que interesaban en aquel entonces se referían a las implicaciones de la tecnología en asuntos relacionados con el manejo de información personal, como por ejemplo, si las cookies constituían información personal^{Footnote 3}. La interpretación que adoptó la OPC para considerar estos asuntos ha definido el marco en el cual examinamos las prácticas de privacidad de los modelos de negocios actuales en evolución y los efectos de las nuevas tecnologías sobre ciertas prácticas. Esta metodología ha funcionado hasta ahora porque la ley está basada en ciertos principios y es neutral con respecto a las tecnologías.

La tecnología ha cambiado, al igual que nuestras interacciones con ella. Cuando la PIPEDA entró en vigor, en enero de 2001, no existían sitios web de redes sociales, ni sitios donde compartir videos, o ‘microblogs’. La Red estaba creciendo y los negocios comenzaban a llevar sus actividades en línea, el uso de los teléfonos celulares no se había masificado pero su popularidad iba en ascenso, las cámaras de vigilancia adquirían cada vez mayor prevalencia y el espectro de la biometría comenzaba a tomar forma. Existían algunos foros de Internet en los cuales se comunicaban las personas, pero en gran medida, la comunicación en línea era unidireccional: del sito web al usuario.

Hoy en día, las personas desempeñan un papel diferente a la hora de compartir información personal. En los primeros años de vigencia de la PIPEDA, una persona como Louise  tenía, en la mayoría de los casos, que salir de su casa para realizar alguna actividad comercial. Ahora, Louise puede realizar sus actividades comerciales, incluso sus tareas laborales, desde su hogar. El mayor número de oportunidades para compartir información personal en línea sobre uno mismo y otras personas con una audiencia habitualmente invisible hace que resulte más difícil mantener la separación entre nuestra vida pública y nuestra vida privada, así como entre nuestra vida laboral y nuestra vida personal. Compartir información sobre nosotros mismos o de otros no es nada nuevo, pero hacerlo en línea significa que queda un registro permanente de lo dicho. Y la industria consigue siempre nuevas formas de aprovechar esa información.

Esta evolución tiene implicaciones para la protección de la privacidad. La OPC tiene la responsabilidad ante los ciudadanos y el Parlamento canadienses de dar seguimiento a los problemas emergentes de privacidad y de tomar las medidas proactivas necesarias para informarles de cualquier cambio. El ritmo al cual está evolucionando la tecnología hace aun más esencial que nuestra oficina entienda a cabalidad las tendencias emergentes. Debemos mantenernos al día sobre las potenciales implicaciones de la tecnología para la vida privada de las personas, así como sobre la forma en que cambia el papel de las personas en la creación y diseminación de la información personal.

I.IV Las herramientas con que contamos hoy serán suficientes para proteger la privacidad en el futuro?

En materia de protección de la información personal, Canadá ha estado a la vanguardia en la provisión de un marco de privacidad que proteja la vida privada de las personas y apoye a aquellas organizaciones que se ocupan de ello. A medida que avanza la tecnología y evoluciona la economía digital, es importante asegurarse de mantener, y de ser necesario reforzar, el equilibrio entre las necesidades de los negocios y el derecho de los ciudadanos a su privacidad. Hasta ahora, la PIPEDA ha funcionado bien, y ha podido adaptarse a las tecnologías y modelos de negocios que no existían cuando entró en vigor. También se ha observado que esta ley rige para las entidades extranjeras que tienen una conexión real y sustancial con Canadá; este es un hecho importante si consideramos que las actividades que se realizan por Internet prácticamente no conocen fronteras. No obstante, es importante asegurarse de que los ciudadanos canadienses continúen disfrutando de la protección de su privacidad al mismo tiempo que aprovechan plenamente las ventajas de las nuevas tendencias y tecnologías. También es importante que continúen las innovaciones para que la industria prospere.

Consultas de 2010

Por las razones esbozadas, la OPC decidió celebrar consultas con la sociedad canadiense sobre temas que, en su opinión, podrían plantear desafíos a la privacidad de los consumidores, tanto hoy como en el futuro^{Footnote 4}.  Como indicáramos en nuestras observaciones en respuesta a la consulta del Gobierno de Canadá sobre una estrategia digital, nos encontramos en la cúspide de una convergencia de tecnologías que facilitarán una “datavigilancia”^{Footnote 5} integral de las personas. El objetivo de esta consulta a los consumidores era conocer más acerca de ciertas prácticas de la industria, explorar las implicaciones de dichas prácticas para la privacidad y determinar qué tipo de protección de los datos personales esperan recibir los canadienses con respecto a estas prácticas. Además, la consulta buscaba fomentar el debate acerca de las repercusiones de los avances tecnológicos sobre la vida privada y recaudar información de cara al nuevo proceso de examen de la PIPEDA.

Seleccionamos hacer hincapié en los temas del rastreo, construcción de perfiles y focalización en línea y la computación en la nube porque pensamos que estas tendencias probablemente afecten la vida privada de los ciudadanos canadienses. A medida que crece el número de personas y negocios que se trasladan al mundo virtual y disfrutan los beneficios de la era digital, las prácticas de apoyo a los servicios que las personas utilizan deben examinarse desde la perspectiva de la privacidad.

También centramos nuestra labor específicamente en los niños que se conectan, como David. La edad promedio de los niños que entran a la Internet parece estar disminuyendo^{Footnote 6}, y las consecuencias de ello en su privacidad requiere que los entes normativos presten cuidadosa atención. Uno de nuestros objetivos es llamar la atención sobre esta cuestión. Normalmente, el énfasis ha recaído en mantener a nuestros niños a salvo de los depredadores cuando navegan por la red. Muchos expertos han afirmado que debe prestarse mayor atención a la protección de la información personal de los niños.

En años recientes, la OPC ha estudiado las prácticas de privacidad de los sitios de redes sociales y analizado problemas relacionados con el uso de tecnologías de generación de imágenes a nivel de la calle para producir mapas de las ciudades de Canadá. En 2008 y 2009, examinamos la aplicación de la tecnología de inspección profunda de paquetes, para lo cual investigamos su uso, así como los comentarios que sobre esta materia se hicieran llegar  al Consejo Canadiense de Radiodifusión y Telecomunicaciones (CRTC); también solicitamos una serie de ensayos sobre esta tecnología. En diciembre de 2009, participamos en las audiencias que celebrara el Comité Senatorial Permanente de Transporte y Telecomunicaciones sobre la sociedad digital, ocasión en la cual abordamos el tema de la privacidad y la seguridad en el mundo digital. Luego de reflexionar sobre lo que habíamos aprendido con este trabajo, decidimos que debíamos incorporar al público y las partes interesadas y aprender más acerca de las implicaciones que para la privacidad tiene el vivir nuestras vidas en línea. Cabría señalar más específicamente que la evolución de la llamada Web 2.0 ha resaltado la necesidad de encontrar formas innovadoras de llegar al público para ayudarles a navegar en línea con plena conciencia de lo que hacen.

Queríamos escuchar la opinión de los canadienses. Queríamos hablar con los miembros de la industria acerca de sus prácticas y la forma en que entienden la privacidad en relación con la tecnología y la innovación. Queríamos conocer los puntos de vista de los académicos que se ocupan de examinar el tema de la vida privada y la tecnología y qué podría depararnos el futuro, y finalmente, queríamos conversar con los entes de promoción de la causa, que cumplen una función importante como voceros de los canadienses sobre un tema cuya complejidad se hace cada vez mayor.

Habida cuenta de que, cuando hablamos del procesamiento de datos, la tecnología ha en buena medida borrado las fronteras, la OPC reconoce que la cooperación y el consenso internacionales sobre la privacidad son fundamentales para ayudar a proteger la información personal de los canadienses. Muchas organizaciones internacionales, entes normativos y otras autoridades que se ocupan de la protección de los datos también están examinando con mayor detenimiento los principios relativos a la protección de la información personal que han conformado la base de los esfuerzos legislativos o de autorregulación, con el propósito de determinar si dichos principios funcionarán adecuadamente para los ciudadanos en el futuro. Algunas de estas entidades examinan igualmente muchos de los mismos puntos abordados en este informe. La OPC sigue con interés sus esfuerzos, al igual que ellos siguen los nuestros. En efecto, fue para la OPC un gran honor el contar con el Sr. David Vladeck, Director de la Oficina de Protección al Consumidor, adscrita a la Comisión Federal de Comercio de los Estados Unidos (FTC), entre los participantes en la consulta que se efectuara en Toronto el 29 de abril de 2010. La FTC realizó mesas redondas sobre la privacidad a finales de 2009 y principios de 2010, y el 1 de diciembre de 2010 publicó su propuesta de marco para empresas y entes normativos^{Footnote 7}. Tuvimos igualmente el gran placer de tener entre los asistentes a nuestros eventos a un buen número de líderes de la industria y académicos de los Estados Unidos y Europa. Sus perspectivas sobre estos temas son de gran valor en nuestro esfuerzo por definir enfoques comunes sobre la protección de la privacidad.

Celebramos consultas en todo el país con el fin de recoger las opiniones de los canadienses y llegar a aquellas zonas donde muchas de las asociaciones y empresas del sector se encuentran ubicadas (o están relativamente cerca). Transmitimos el evento por Internet y nos valimos de nuestros propios instrumentos en las redes sociales para incitar el interés del mayor número posible de canadienses^{Footnote 8}. El 25 de octubre de 2010, publicamos una versión preliminar de este informe para recibir comentarios y reacciones sobre aspectos específicos. No se recibieron comentarios sobre todos esos puntos. Sin embargo, en el presente informe se preservó el énfasis en todos ellos (que aparecen resumidos en el apéndice A), pues consideramos que deben seguir siendo objeto de análisis. Recibimos 12 respuestas a la versión preliminar, y su contenido esencial ha sido incorporado al texto de este informe.

Nuestra intención con las consultas y este informe es que sirvan de plataforma para la conducción de nuevas actividades de extensión que pudiera llevar adelante la OPC en cumplimiento de su misión de fomentar la educación del público sobre los derechos a la privacidad. Las actividades de extensión entrañan hablar con los canadienses, pero también implican educar a las organizaciones sobre sus obligaciones en materia de privacidad. Las consultas contribuirán a la elaboración de los materiales que utilizamos para realizar nuestras actividades de extensión. También alimentarán nuestra labor de investigación y formulación de políticas en el transcurso de los próximos años y ayudarán a definir los aportes de la oficina al próximo examen de la PIPEDA en el Parlamento. 

En algunas ocasiones, las consultas generaron más preguntas que respuestas, pero al mismo tiempo produjeron debates estimulantes sobre cuáles eran los aspectos de la privacidad que, a nuestro parecer, enfrentaban desafíos. El informe no debe verse como una “conclusión” sobre determinadas prácticas, sino como un intento de insertar las prácticas en el marco de la PIPEDA a fin de resaltar aquellas áreas que pueden suscitar inquietud. También aborda áreas de la privacidad de índole más general, no necesariamente aquellas cubiertas por la legislación. A menudo hubo acuerdo en torno a las implicaciones para la privacidad, si bien hubo divergencias en cuanto a la forma de abordarlas. En este informe también se quiere resumir las distintas posiciones y sugerencias que recibimos de las partes interesadas.

Por otra parte, se señalan en el informe aquellas áreas en las que nos proponemos tomar medidas o que queremos estudiar con mayor detenimiento, así como aquellas en las que pensamos que la industria y el gobierno necesitarían centrar su atención. El informe no es nuestro aporte al proceso de examen de la PIPEDA, ni contiene cambios específicos que quisiéramos que se incorporaran a la ley. Escuchamos algunas sugerencias de modificación de la PIPEDA, que tomaremos en cuenta cuando demos inicio al próximo proceso de examen de esta ley.

Los ciudadanos canadienses, las comisarías, las empresas, el gobierno, la academia y los entes de promoción de la causa tienen todos una función que cumplir en la protección de la información personal. Este informe es la contribución de la OPC al estudio de las implicaciones de las nuevas tecnologías y el mundo en línea para la vida privada. Esperamos que este documento genere un debate importante acerca de lo que significa la protección de la privacidad en el siglo XXI.

II. Rastreo, construcción de perfiles y focalización  en línea

Louise compró unos pantalones vaqueros en una tienda^{Footnote 9} del centro comercial cercano a su casa, por los cuales pagó con su tarjeta de crédito. También pidió al vendedor que registrase la compra en su tarjeta de cliente asiduo.

Cuando Louise llegó a su casa, fue a la computadora y abrió su cuenta en el sitio web de la tienda para ver algo más de las prendas que se había probado pero que no había comprado. Emocionada como estaba por ver la mercancía que ofrecía la tienda, se saltó la parte del sitio donde se describía la larga política de privacidad.

Mientras buscaba en el sitio web de la tienda una blusa que combinara con sus nuevos pantalones, Louise notó un anuncio publicitario de joyas que le parecieron muy atractivas, por lo que decidió abrir esa página. Louise se sintió cómoda navegando por el pequeño sitio web de la joyería canadiense, porque su diseño le daba la sensación de que estaba visitando la página de un amigo.

También le gustaron los estilos de las joyas anunciadas en el sitio web, por lo que decidió comprar un collar y, con su ratón, hizo ‘click’ sobre el botón “me gusta” para poner a sus amigos al tanto de lo que había comprado. Seguidamente, abandonó el sitio y procedió a buscar otra página para comprar dos entradas para un concierto. Tras la compra, revisó la subasta en línea en la que estaba participando para adquirir un nuevo libro de historietas de colección. 

Louise pasó entonces a actualizar su página de Facebook para informar a sus amigos de las compras que había hecho y ver quién más asistiría al concierto. De allí visitó su librería virtual favorita, donde compró un libro que otro experto en historietas le había recomendado.

Cuando Louise compró los pantalones en el centro comercial, la tienda le ofreció además una aplicación de red social para su iPhone por el tiempo que permaneciera en la tienda para facilitarle la ubicación de las prendas que pudieran gustarle en razón de su género y edad (21 años). Louise optó por tener una experiencia más personal y agregó su dirección de correo electrónico, su número telefónico y los estilos y tallas de ropa de su preferencia^{Footnote 10}.

Mientras visitaba la tienda, Louise se conectó a través de un popular servicio de localización y recibió un mensaje en su iPhone de que la cafetería al lado de la tienda tenía una oferta especial de almuerzo que incluía algunos de sus productos favoritos: té verde chai y sándwich  de brotes de alfalfa con queso Gruyère. 

Por la noche, Louise salió con sus amigos y se puso su ropa nueva. Ella y sus amigos se conectaron a través del servicio de localización y recibieron ofertas de descuentos en restaurantes y bares locales. Seleccionaron una de las opciones e informaron a otros amigos acerca de la oferta que habían escogido. Estaban ansiosos por seguir disfrutando la noche.

El hermano menor de Louise, David, tiene 9 años de edad. Le encanta jugar juegos en línea, por lo que se ha anotado en varios de ellos por su cuenta. Le fastidian los avisos y notificaciones, por lo que los pasa lo más rápido posible. A veces pide a Louise su dirección de correo electrónico y su número de tarjeta de crédito para no tener que involucrar a sus padres en el proceso de consentimiento. Louise no tiene problemas con este arreglo, salvo por los correos que recibe ahora y en los que le hacen llegar ofertas especiales sobre los juegos en los que ha participado.

Cuando David ingresa a un juego, tiende a cumplimentar todos los espacios, pues no tiene certeza de si puede dejarlos en blanco, si bien a veces inventa la información solicitada. Le gusta conversar con otros jugadores, y si confía en ellos, revela información sobre su persona, por ejemplo, dónde vive y qué le gusta hacer.

Uno de los juegos que le gustan a David ha colocado un aviso en el que se indica que se solicitará información “no personal” al momento de registrarse, y que ya se había recibido el consentimiento del usuario cuando se aceptaron las condiciones de servicio. David queda satisfecho con la explicación y no hace ninguna otra averiguación; de todas formas, no es asunto que le preocupe. Sin embargo, la definición de “información no personal” se refiere a la recopilación de la dirección IP de la computadora de David, que algunas personas consideran información personal.

II.I ¿Qué son el rastreo, la construcción de perfiles y la focalización en línea?

¿Qué ocurre cuando Louise navega por Internet, cuando abre anuncios publicitarios, hace compras e informa a sus amigos sobre lo que adquirió? ¿Cómo sabe el anunciante o el intermediario de los datos que a Louise le gustan, por ejemplo, las joyas? ¿La información de la tarjeta de cliente asiduo se vincula en algún momento con sus actividades en línea? ¿Y qué decir de la información que suministra a través de la aplicación temporal o su página de Facebook?

Todo lo que hacemos en línea queda registrado de alguna manera. Y parte de esta información está siendo, cada vez en mayor medida, recopilada y usada con propósitos comerciales (así como para programas del gobierno). Los datos representan un gran negocio; es mucho el dinero que puede hacerse a partir de las emisiones de datos personales que personas como Louise y David dejan esparcidos por la Internet.

¿Cómo funcionan el rastreo y la construcción de perfiles?

Cuando las organizaciones rastrean a Louise en línea, los datos sobre sus hábitos de navegación se recopilan por medio de marcadores digitales. Actualmente, los medios más comunes para recopilar información sobre los usuarios son las llamadas “cookies de HTTP”, las “flash cookies” y los “web beacons”. Las cookies son pequeños archivos de texto que se instalan en el disco duro de la computadora de Louise cuando esta visita sitios web. Las cookies recopilan y almacenan información sobre la base de sus patrones de navegación y la información que ella misma facilita. Las flash cookies pueden utilizarse para grabar información del estado de canal entre sesiones, pero también se usan para rastrear los sitios web que Louise visita. Las flash cookies son populares entre los sitios web, a menudo se utilizan con otras web cookies más tradicionales y pueden usarse para recrear web cookies si estas son borradas. Los web beacons “son pequeñas cadenas de códigos que ofrecen un método para transmitir una imagen gráfica en una página web o en un mensaje de correo electrónico con el propósito de transferir datos.”^{Footnote 11} Los beacons pueden usarse para comprender ciertos patrones de uso de la persona que visita el sitio, así como para descargar cookies  o aplicaciones descargables.^{Footnote 12}  Si bien Louise puede apagar sus cookies o limpiar su computadora periódicamente para eliminarlas, es difícil salir de un beacon o rechazarlo. Las “super cookies”  son otro tipo de marcadores que están utilizándose recientemente. Estas cookies utilizan nuevas ubicaciones de almacenamiento incorporadas a los navegadores de Internet para grabar información sobre el usuario.

El tipo de información recopilada en los archivos de registro acerca de los usuarios de Internet puede incluir los datos siguientes: dirección del Protocolo de Internet (IP), páginas visitadas (en un solo sitio o en varios sitios); tiempo que se pasó en cada página; anuncios publicitarios vistos, artículos leídos, compras hechas; términos de búsqueda u otras informaciones aportadas en un sitio; preferencias del usuario, como el idioma y el tipo de navegador de red; sistema operativo; información de ubicación geográfica, por medio de las direcciones IP (en la red) o los sistemas de posicionamiento global (GPS) comunes en muchos dispositivos móviles de comunicación.

También se pueden recopilar datos adicionales a partir de otras tecnologías, como la inspección profunda de paquete. Las personas como Louise también aportan voluntariamente volúmenes considerables de información personal, especialmente cuando entran a formar parte de las redes sociales, como Facebook, MySpace y LinkedIn, así como otros sitios populares de servicios basados en la web, como Foursquare. Las técnicas de extracción de datos se utilizan entonces para descubrir patrones a partir de los datos, información que puede utilizarse posteriormente con diversos propósitos.

II.II Lo que aprendimos

Recibimos 21 comentarios por escrito sobre el rastreo, construcción de perfiles y focalización en línea. Estos 21 documentos se centraron sobre todo en el tema de la publicidad comercial conductual. En los paneles se debatieron otros usos posibles de la información. De las 12 personas que respondieron al proyecto de informe, nueve hicieron referencia al rastreo, la construcción de perfiles y la focalización en línea.

¿Qué es la publicidad conductual?

Son varios los términos que se han utilizado para hablar de los anuncios comerciales en línea: focalización demográfica, localización, conductual o interespacial, publicidad basada en los intereses. Todos estos términos son variaciones de la publicidad conductual.

La publicidad conductual consiste en rastrear las actividades de los consumidores en línea durante cierto tiempo a fin de transmitir anuncios comerciales focalizados en sus intereses inferidos. Los anunciantes conductuales utilizan estos datos para generar perfiles de usuario, determinar sus categorías de intereses y mostrar anuncios comerciales basados en características demográficas y supuestos acerca de los intereses del consumidor. Dependiendo del anunciante, estas categorías de intereses pueden ser amplias (por ejemplo, amante de los vehículos) o muy específicas (por ejemplo, mujeres jóvenes propietarias de  vehículos Honda que tienen niños pequeños y viven en Alberta). Las categorías de intereses se utilizan para seleccionar y colocar anuncios publicitarios que el anunciante considera pertinentes para esas categorías.

La información sobre el comportamiento de Louise en línea puede usarse para aprovechar al máximo su interés en productos y servicios. Con el aumento de la popularidad de los dispositivos móviles, los anunciantes están trabajando cada vez más en la localización para crear posibles nuevos clientes. La localización puede realizarse a partir de las redes de telefonía celular, los puntos de acceso Wi-Fi, enlaces satelitales y sistemas GPS para llevar servicios a los dispositivos móviles. Louise también suministra voluntariamente su ubicación cuando utiliza servicios de localización como las aplicaciones que recomiendan restaurantes cercanos o que llevan cuenta de las andanzas de los amigos.

Un término importante que se diferencia de la publicidad conductual es la “publicidad contextual”. La FTC, que ha estado estudiando las prácticas de publicidad en línea desde hace ya algún tiempo, define la publicidad contextual como “la publicidad basada en una visita en curso de un consumidor a una única página web o una única búsqueda y que no entraña la retención de datos sobre las actividades en línea de ese consumidor más allá de aquellos que se requieran para la transmisión inmediata de un anuncio comercial o del resultado de la búsqueda”^{Footnote 13}.  Esta práctica no se considera tan invasiva de la privacidad como la publicidad conductual, porque no contempla la recopilación o retención del comportamiento en línea de una persona –navegación, información de localización, o actividades en un sitio de redes sociales- por tiempo indefinido. Sin embargo, una vez que la persona activa con su cursor una publicidad contextual, esta acción es rastreada y puede utilizarse para transmitir posteriormente una publicidad focalizada.

¿Quiénes son los actores clave en la transmisión de anuncios comerciales focalizados con base en la conducta en línea?

Por lo general son tres los actores principales en el modelo de publicidad conductual: los sitios web, los anunciantes y las redes de anuncios comerciales. En pocas palabras, los sitios web necesitan dinero para operar, los anunciantes quieren vender productos y las redes de anuncios comerciales ayudan a transmitir la publicidad a la audiencia seleccionada. Las observaciones recogidas durante la consulta y los debates de los paneles no detallaron la variedad de actores que participan en el entorno del rastreo, la construcción de perfiles y la focalización en línea.

En referencia al actual “ecosistema de publicidad en línea”, en una de las observaciones que recibimos durante la consulta se señalaba que, en los últimos años, ha disminuido el número de redes de anunciantes. Esto ha permitido a un pequeño número de compañías de publicidad muy grandes hacer un amplio rastreo de la conducta de los usuarios de Internet. Muchas de estas redes de anunciantes son propiedad de las mismas entidades que prestan una serie de servicios basados en la web y tienen una relación directa con los usuarios.

Beneficios y riesgos

Las asociaciones del sector que nos hicieron llegar sus comentarios hablaron de los muchos beneficios de la publicidad conductual. En su opinión, aunque las personas no tienen que pagar (al menos en el sentido monetario del término) por cierta información y servicios que reciben en Internet, deben generarse ingresos. La publicidad comercial es la fuente clave de esos ingresos para las compañías de la web. Los anunciantes están buscando la mejor manera de vender productos y servicios, y aquellos que pagan por la publicidad quieren que sus productos y servicios lleguen al mayor número de partes interesadas. Al citar algunos estudios que indican que las personas prefieren recibir información que sea de su interés, las asociaciones argumentaron que la publicidad conductual aporta a consumidores como Louise información comercial que les resulta directamente pertinente. Entre otros beneficios mencionados figuran  el apoyo a eventos culturales, deportivos y de otra índole, la generación de venta de bienes y servicios y el apoyo a la economía y el empleo en las industrias de mercadeo y ramos conexos.

En algunas de las respuestas al proyecto de informe, recogimos otros beneficios del rastreo, la construcción de perfiles y la focalización. Los ingresos por concepto de publicidad comercial han ampliado las experiencias en línea de las personas al financiar una diversidad de voces en Internet. Otros beneficios para los usuarios serían las recomendaciones de productos y servicios y la personalización de sitios web. Si hablamos de los beneficios que derivarían los pequeños negocios, estos pueden generar ingresos gracias en parte a las nuevas formas de llevar la publicidad en sus sitios virtuales. Una compañía mencionó que, con la publicidad focalizada, los anunciantes pueden llegar a la misma audiencia en sitios web de nichos (vale decir, más pequeños) que en los sitios con grandes portales, pero a un costo menor. Sin esta opción, argumentaba la empresa, el dinero para los anuncios comerciales se desviaría hacia “editores” más grandes y mejor conocidos que pueden ofrecer una audiencia mayor. Los sitios web pequeños y medianos tendrían que cambiarse a modelos de suscripción en lugar de utilizar los modelos de libre acceso. Esta empresa argumentó que casi todas las compañías editoriales y redes de anuncios comerciales se verían obligadas a cerrar sus puertas. Una asociación señaló que cualquier restricción indebida sobre la focalización terminaría reduciendo la capacidad de las compañías canadienses en línea para prestar servicios valiosos a los consumidores tanto de Canadá como del resto del mundo.

Pero muchas asociaciones de la industria, así como académicos y grupos de promoción de la causa, advirtieron que el rastreo, la construcción de perfiles y la focalización en línea plantean riesgos. Algunas asociaciones clave de la industria reconocieron que cerca de la mitad de los canadienses encuestados expresó incomodidad ante la idea de estar siendo rastreados en línea. En el caso de aquellas asociaciones de la industria que comentaron el tema, admitieron que con estas prácticas se corre el riesgo de perder la confianza de los clientes, por lo general porque la práctica de rastrear a las personas es una acción de la que los usuarios no están al tanto. Se refirieron a las  medidas que ha tomado la industria para autorregularse y educar a los consumidores como maneras de aumentar la visibilidad de la práctica y velar por el respeto de la privacidad de los usuarios. Estas medidas de autorregulación se examinan más adelante en mayor detalle.

Los defensores de la privacidad y los derechos de los consumidores que presentaron sus observaciones por escrito o que participaron en los eventos de consulta también mencionaron muchos riesgos que esta práctica entraña. En su respuesta al proyecto de informe, una organización de promoción de la causa opinó que el modelo de negocios estructurado en torno al rastreo en línea amenaza en gran medida el equilibrio entre el comercio electrónico y la privacidad sobre el cual descansa la PIPEDA. Al destacar que, en este tipo de modelos, el usuario no es tanto el cliente como lo es el producto, la organización sostuvo que los ingresos dependen de obtener más información personal, y que los verdaderos clientes son los anunciantes. En consecuencia, se atenta contra el concepto de legitimidad contemplado en la PIPEDA en relación con los propósitos de la recopilación, uso y divulgación de información personal.

La falta de conciencia y comprensión del papel y la importancia de “la recopilación de datos para emitir anuncios comerciales focalizados basados en la conducta y en el rastreo de consumidores”^{Footnote 14} fue una preocupación fundamental recogida durante las consultas. Otro riesgo o inquietud que se planteó fue que estas prácticas amenazan la capacidad de la persona para controlar el flujo de su información personal. En su respuesta al proyecto de informe, una organización de promoción de la causa refutó la afirmación de la industria de que las personas consideran que la publicidad comercial es un beneficio; en su opinión, los usuarios simplemente toleran la publicidad comercial

Otros riesgos planteados fueron el uso de datos potencialmente inexactos que afectarían la experiencia de los usuarios en línea, así como las decisiones que pudieran tomarse sobre ellos, a menudo sin su conocimiento y, en consecuencia, sin que tengan la posibilidad o capacidad para refutar la exactitud de la información. Otro riesgo importante es que la construcción de perfiles puede utilizarse para discriminar a ciertas personas por medio de, por ejemplo, la manipulación de precios. En resumen, estas prácticas representan una amenaza a la autonomía de los consumidores. Estas inquietudes se examinan con mayor detenimiento más adelante en las secciones relativas a los problemas generales de privacidad y los principios de la PIPEDA.

Alcance de la publicidad conductual y el contexto internacional

En una de las observaciones presentadas por escrito se señalaba que la publicidad conductual representa hoy en día apenas 10% de los ingresos por concepto de anuncios comerciales en línea en Canadá. Aunque el debate sobre la publicidad conductual se concentró en el contexto canadiense, se puso de relieve el hecho de que las prácticas en línea por lo general no toman en cuenta las fronteras. Por esta razón, muchos representantes de la industria que hicieron llegar sus comentarios destacaron que toda discusión sobre cuáles deberían ser algunas de las mejores prácticas en esta materia tendría que tener presente varios requerimientos internacionales.

Autorregulación

Aprendimos acerca de las medidas de autorregulación que han emprendido diversas organizaciones, muchas de las cuales operan tanto en Canadá como en otras jurisdicciones. En términos generales, las medidas tomadas buscan aportar información a los consumidores sobre las actividades de publicidad conductual en línea y las opciones que tienen a su disposición para rechazar estos anuncios. Las actividades se centran en ciertas directrices elaboradas por asociaciones de la industria de los Estados Unidos e incluyen los principios siguientes: notificación y opción, educación, transparencia, control, seguridad de los datos, cambios importantes, datos sensibles y responsabilización. Varios de los comentaristas citaron por lo menos algunos de estos principios, si acaso no todos ellos, como los principios que orientan sus actividades de rastreo, construcción de perfiles y focalización en línea.

II.III Opiniones de los canadienses

A continuación figura una breve reseña de algunas encuestas pertinentes relativas a la privacidad, entre las cuales figura un sondeo solicitado por la OPC (nuestra oficina realiza una encuesta de personas cada dos años), así como una encuesta del Ministerio de Recursos Naturales de Canadá sobre información geoespacial. Algunas de las observaciones por escrito hicieron referencia a estudios específicos sobre las actitudes de los canadienses frente al rastreo y la publicidad comercial conductual. Dos de estas observaciones se dieron a conocer al público, y los estudios mencionados en ellas se incluyen más adelante en este informe.

Actitudes generales ante la privacidad

De acuerdo con una encuesta EKOS que solicitara la OPC en 2009, 90% de los canadienses   manifiesta preocupación ante los impactos de las nuevas tecnologías. Si bien las personas quizás no están al tanto de ciertos riesgos para la privacidad, o bien aceptan conscientemente ceder algo relacionado con su privacidad, los canadienses siguen manteniendo altas expectativas con respecto a su vida privada, incluida la privacidad en línea, y se muestran preocupados ante la forma en que se utiliza su información personal, sobre todo si ello contempla el flujo transfronterizo de datos.

Las personas de edades comprendidas entre los 45 y los 65 años posiblemente expresen un mayor nivel de preocupación ante las repercusiones de las nuevas tecnologías para la privacidad, mientras que es menos probable que las personas menores de 25 años manifiesten grandes inquietudes ante este asunto. Los canadienses menores de 25 años posiblemente expresen menos preocupación acerca del procesamiento y almacenamiento transfronterizos de su información personal.

En general, 98% de los canadienses piensa que es importante contar con leyes fuertes sobre la privacidad^{Footnote 15}.

Actitudes ante el rastreo y la focalización en línea

De acuerdo con una encuesta realizada por el Public Interest Advocacy Centre (PIAC) en 2009 sobre el rastreo conductual, casi 75% de las personas encuestadas se sentían no muy cómodas o completamente incómodas con la publicidad comercial basada en el rastreo. Los encuestados se dividieron a partes iguales entre aquellos que tenían conocimiento de los dispositivos y las técnicas de rastreo y aquellos que no. El sondeo permitió determinar que las personas tienden a sentirse más cómodas con el rastreo en línea si se hace para prestar servicios al cliente o con propósitos comerciales si el rastreo está a cargo de empresas con las cuales han realizado otras transacciones con anterioridad^{Footnote 16}. En un estudio realizado en nombre de la Canadian Marketing Association (Asociación Canadiense de Mercadeo - CMA) en 2009 sobre la publicidad conductual, se observó que 50% de los canadienses se sentían “un tanto incómodos” con los anunciantes que usan información de navegación para hacer llegar anuncios comerciales más pertinentes^{Footnote 17}.  En un estudio debatido durante una discusión de panel en Montreal, se señaló que las personas tienden a sentirse más cómodas con la publicidad conductual si se les explica de qué se trata.

Actitudes ante la privacidad de la ubicación geográfica

En lo que atañe los datos de localización, el Ministerio de Recursos Naturales de Canadá realizó una encuesta para conocer las opiniones de los canadienses sobre la privacidad y el uso de la información geoespacial. Algunas de las conclusiones principales del estudio señalan que los canadienses son muy cuidadosos a la hora de compartir información basada en su ubicación, y que el control sobre la forma en que se comparte esa información y el contexto en el cual se divulga son aspectos clave del grado de comodidad de la persona cuando deben compartir información personal vinculada a su ubicación. Otros elementos pueden producir niveles aun más altos de incomodidad, a saber: “situaciones en las cuales la información se vincula a la ubicación de la persona en tiempo real, o se utiliza para el mercadeo focalizado, o se comparte con el sector privado o el público en general y por razones relacionadas con la actividad económica…”. Aproximadamente la mitad de los encuestados no vieron beneficio alguno en la tecnología del rastreo de localización o no estaban seguros de los beneficios que pudiera aportarles^{Footnote 18}.

II.IV Aspectos generales relacionados con la privacidad

“Estamos viviendo nuestra vida privada en línea,” Jennifer Stoddart, Comisaria de Protección de Datos Personales de Canadá.^{Footnote 19}

Desde personas que escriben sobre sí mismas u otras personas en los sitios de redes sociales, pasando por la capacidad de elaborar mapas que muestran dónde y cómo vivimos nosotros y otros, y hasta conectarnos con nuestros amigos, desde la fusión de lo que nos gusta con el lugar donde nos encontramos o el seguimiento del uso que damos a las cosas que poseemos… podemos hacer un retrato bien completo de una persona gracias a las herramientas cada vez más poderosas de extracción de datos. Más aun, los avances tecnológicos permiten la convergencia de capacidades en un solo dispositivo o la convergencia de servicios en una sola plataforma. Este último escenario representa la acumulación de información y poder en un número cada vez menor de organizaciones y representa un desafío importante para la protección del mercado virtual.

Las personas son entusiastas consumidores de tecnología y ávidos participantes en la red social. Aprovechan las ventajas de las herramientas ofrecidas, pero esto tiene sus consecuencias, algunas sociales, otras económicas, algunas dañinas y otras beneficiosas. No obstante, las personas están adoptando estas herramientas y compartiendo o creando cantidades cada vez mayores de información personal. Al mismo tiempo, siguen manteniendo que valoran la privacidad. El mensaje parece contradictorio, pero… ¿lo es realmente?

En muchas de las observaciones por escrito y los paneles de consulta se plantearon problemas de índole “general” relativos a la privacidad, así como cuestiones relacionadas específicamente con el alcance y los principios de la PIPEDA. En esta sección se cubren algunos de los aspectos generales de la privacidad que tienen que ver con el rastreo, la construcción de perfiles y la focalización en línea. Parte de los comentarios que aparecen en esta sección abordan asuntos relacionados, en términos más generales, con el fenómeno de las personas que pasan cada vez más tiempo en línea y comparten mayores cantidades de información personal –tanto la propia como la de otros- con la comunidad virtual. Los problemas planteados en esta sección nos interrogan acerca de si la tecnología incide sobre nuestra conducta y, de ser así, hasta qué punto. También tomamos en consideración a los observadores –otras personas, anunciantes, investigadores, mercadotécnicos, gobierno- que utilizan esta información con una serie de propósitos, lo que tiene implicaciones para nuestra vida privada, algunas de las cuales no se insertan con toda claridad en el ámbito de aplicación de la PIPEDA.

Lo que escuchamos: El desvanecimiento de la división entre lo público y lo privado y los efectos sobre nuestra reputación

¿Quién es Louise?

En los paneles de Toronto y Montreal se debatió por un buen tiempo los efectos de la naturaleza social de la actual experiencia virtual sobre la vida privada. Algunas de las observaciones que recibimos por escrito y algunos de los comentarios que escuchamos destacaban que, con la prevalencia de la tecnología móvil y la creciente popularidad de las redes sociales, la noción tradicional de los espacios público y privado está cambiando. Las redes sociales brindan a las personas mecanismos para hacer más públicas sus vidas privadas, lo cual contribuye a modificar las expectativas de privacidad. A su vez, algunos operadores de redes sociales señalan este cambio como la justificación para incrementar la apertura y el intercambio. El uso de los teléfonos móviles y la creciente disponibilidad de aplicaciones basadas en la localización contribuyen a hacer del reino de lo privado un ámbito más público.

Se examinó el tema de la “audiencia invisible”, o en otras palabras, aquella a la cual Louise cree estar dirigiéndose. Esto tiene un gran efecto sobre el tipo y la cantidad de información que se divulga. Las diferencias de percepción en cuanto a la audiencia a la que se dirige una persona se observan con mayor nitidez en el caso de los niños y adultos jóvenes. Cuando los niños como David entran en línea, piensan que “el público” está conformado por otros niños.  No esperan que los adultos formen parte de ese público, aunque saben que los adultos pueden ver la información. Los adultos jóvenes probablemente coloquen información que promueve la identidad que desean proyectar a la audiencia. Esto explica parte de la información social que publican algunos niños que sienten la necesidad de ser populares.

Se mencionó que las personas tienen dificultades para visualizar a su audiencia cuando publican información sobre ellas mismas (u otras personas). Están solas, frente a una pantalla, y debido a la soledad que rodea la actividad, es fácil malinterpretar a su audiencia. La relación con los demás en línea hace que las personas se comporten de forma diferente y se vaya a contrapelo de las normas sociales en vigor. Por ejemplo, cuando se considera el tema del rastreo y la tecnología de geolocalización, se observa que no solo los negocios (y, por extensión, los organismos del gobierno) pueden rastrear a las personas, sino que las personas también pueden rastrearse las unas a las otras. Y debido a esto, el rastreo de personas no solo se convierte en algo socialmente aceptable, sino que deviene en algo social”^{Footnote 20}.

También se deliberó acerca del efecto que la presión social y las relaciones de poder tienen sobre personas como Louise y David y la forma en que socavan las protecciones estándar de la vida privada, como el consentimiento. Las personas se sienten obligadas a unirse a muchos de estos servicios, por temor a que si no lo hacen, quedarán “desconectadas”. Algunos panelistas comentaron el grado en que nuestras vidas sociales dependen del uso de la tecnología de la información. A su vez, gracias a la tecnología, se puede elaborar un mapa de nuestras conexiones con otras personas. Una de las consecuencias de ello es que se crean estereotipos de personas con base en su círculo de amigos. Retomaremos el tema del mercadeo en los medios sociales con mayor detalle más adelante en este informe.

Cuando se derriban las barreras pero permanecen las percepciones y las personas publican información en línea como si se tratase de sus diarios, se producen riesgos muy reales para su reputación. Aparte de los riesgos personales, se mencionó en uno de los paneles celebrados en Montreal que las redes sociales pueden comportar riesgos para la reputación de las empresas. Las compañías pueden ser responsables de hacer revelaciones impropias y destruir completamente la reputación de instituciones enteras.

Parte del debate se dedicó al tema de la gestión de la identidad en línea. Se señaló que muchas de las consecuencias de llevar una vida social en la web podría mitigarse si tal tecnología permitiera a las personas ser más cuidadosas en cuanto a sus actividades. Un panelista comentó que buena parte de la arquitectura tecnológica virtual es “pública por omisión, privada por esfuerzo”^{Footnote 21}.  Otros se preguntaron por qué Louise no recibía más a cambio de su información personal y posiblemente su reputación.

También se abordó cómo debería incorporarse la privacidad a los sistemas y prácticas desde un principio y cuál debería ser el ‘valor por omisión’  en Internet. Se reconoció que el buscar corregir los problemas una vez que las prácticas están ya arraigadas puede resultar costoso tanto para las personas como para las organizaciones.

Muchos participantes destacaron que la industria de la publicidad conductual es aún joven y que la tecnología está evolucionando rápidamente. En cierto sentido, las organizaciones están intentado alinear sus políticas sobre la privacidad con sus prácticas de negocios. Como resultado de ello, existen ciertos riesgos para las personas y organizaciones. En el caso de Louise, esto por lo general significa que su información personal está siendo recopilada y utilizada en formas que ella quizá no conozca. Y en el caso de los negocios, significa poner en riesgo la confianza entre la organización y la persona debido a la invisibilidad de las prácticas y porque la información podría ser utilizada de forma inapropiada.

Observaciones de la OPC

La OPC coincide con que las nociones tradicionales de los espacios públicos y privados están cambiando. No obstante, para los ciudadanos canadienses, la privacidad sigue siendo importante, pero también quieren formar parte del mundo en línea. Estas dos posiciones no se excluyen mutuamente, pero pensamos que es menester tomar medidas adicionales para proteger más la privacidad de forma que personas como Louise puedan confiar en aquellos que ofrecen sus productos, servicios y espacios para la socialización.

La OPC también está de acuerdo con que la práctica de construir perfiles y hacer inferencias a partir de la información que las personas publican en las redes sociales plantea una serie de riesgos contra la vida privada de las personas (y posiblemente contra otros derechos fundamentales). El hecho de que las personas coloquen en la red información sobre sí mismas y sus amigos no significa necesariamente que su intención es que unas entidades desconocidas utilicen esa información a su voluntad. En nuestras deliberaciones en Montreal, se dijo que cuando las personas visitan una red social, tienden a pensar que se encuentran entre amigos y que no están comportándose como ‘consumidores’. La diferencia entre nuestras interacciones sociales y nuestro “papel” como consumidores está desapareciendo. Están convirtiéndonos en “consumidores permanentes”.

Las investigaciones sobre la forma en que las personas perciben a su “audiencia invisible” y la posible diferencia entre quienes creemos que es nuestra audiencia y la realidad apenas dan sus primeros pasos. Lo que complica aun más la forma en que las personas interactúan y se comunican en línea, como observa el investigador Danah Boyd, es que los entornos virtuales, y en especial las redes sociales, tienen ciertas propiedades que alteran la dinámica social: persistencia, capacidad de búsqueda, posibilidad de hacer copias exactas y audiencias invisibles^{Footnote 22}. Por lo que tiene que ver con la actividad de las redes sociales, algunas investigaciones iniciales indican que las personas sí hacen distinción en cuanto a la audiencia que desean alcanzar y quisieran ejercer cierto grado de control al respecto^{Footnote 23}.  El problema para ejercer ese control reside en la arquitectura del sitio. Cuando resulta difícil ubicar o comprender los controles de privacidad en un sitio web, la persona pierde la capacidad para ejercer control alguno. Si el sitio es popular y la persona está muy interesada en formar parte de esa comunidad, corre el riesgo de ser más abierta a fin de poder participar.

La OPC no comparte la opinión de que, como las personas lanzan información “al aire”, esta queda, en consecuencia, disponible para cualquier tipo de uso. Algunas investigaciones muestran que las personas, intencionalmente, proyectan personalidades específicas en línea y colocan información en respaldo de esa imagen, por lo general para adquirir cierto estatus^{Footnote 24}.  No queda claro si la intención es siempre hacerla pública. Por ejemplo, alguien pudiera querer cultivar una presencia profesional en línea, pero quizás quiera también tener un espacio social aparte para estar en contacto con amigos fuera del contexto laboral. Crear y mantener estos mundos separados no es obvio ni sencillo.

Además, en Canadá, aunque la información personal podría aparecer en el dominio público, eso no necesariamente significa que puede utilizarse con cualquier propósito. Por ejemplo, la PIPEDA estipula que cierta información personal (conforme a la definición que figura en el Reglamento de la ley) disponible al público puede recopilarse, utilizarse y divulgarse sin el consentimiento de la persona; sin embargo, la ley también establece límites en cuanto a los propósitos para los cuales esa información puede recopilarse, utilizarse o divulgarse.

La OPC considera que las consecuencias de esta evidente desaparición de la frontera entre la vida privada y la vida pública puede observarse con mayor claridad desde la perspectiva del daño que se inflige a las reputaciones en el mundo real. Distintas personas —maestros, políticos, oficiales de la policía— han perdido sus empleos, pasado pena ante el público o han sido despojados de sus beneficios por lo que ellos (u otros) han publicado en línea. En Internet, los datos persisten. La información que daña la reputación de una persona quizás nunca desaparezca realmente. Más aun, con la creciente popularidad de las aplicaciones de localización, una consecuencia de dar nuestra ubicación a otra persona es que también le decimos dónde NO estamos, lo que pudiera poner su hogar en riesgo .

Todo esto tiene también implicaciones en cuanto a la exactitud de los perfiles que los extractores de datos construyen. Se ha dicho mucho acerca del uso de los perfiles de las redes sociales para determinar si una persona es ‘empleable’ o decidir la admisión de alguien a una institución de educación superior. Sin embargo, el rastreo y la construcción de perfiles a partir del comportamiento de navegación virtual también tienen sus consecuencias y generan grandes inquietudes en razón de la casi invisibilidad de las prácticas. Si estas prácticas se tradujeran únicamente en el mercadeo focalizado, los riesgos de inexactitud de la información podrían parecer mínimos (aunque podría resultar problemático si algunas personas no reciben beneficios que otras sí reciben). Si los perfiles se utilizan de una manera más amplia, quizás para conferir préstamos, evaluar riesgos de seguro o determinar riesgos a la seguridad nacional, las consecuencias imprevistas podrían ser más graves. Existen otros problemas de política pública potencialmente serios que no tienen que ver con la privacidad, como las limitaciones a la libertad de expresión.

Algunos parecen utilizar el concepto de “daño” para diferenciar entre ciertas prácticas que deberían requerir de consentimiento y aquellas que no. Es de hacer notar, sin embargo, que la PIPEDA no contiene un concepto semejante. La ley estipula que los propósitos han de ser  “apropiados” y revelados a la persona, y que debe obtenerse su consentimiento (el tipo de consentimiento puede variar). Las instancias en que no se requiere el consentimiento son limitadas. El tema del consentimiento se detalla más adelante en el presente informe.

La OPC ha seguido de cerca lo que acontece en el área de la gestión de la identidad como parte de sus prioridades estratégicas^{Footnote 25}. La gestión de la identidad puede resultar de ayuda para suministrar a las personas mejores medios para controlar su información personal, pero también tiene implicaciones para la privacidad, porque de no hacerse correctamente, podría facilitar el vincular los datos e identidades que hasta entonces se mantenían separados. Nos interesa examinar las ideas que rodean la “identidad digital” que propone Kim Cameron^{Footnote 26} y otros. Las identidades digitales deben ser flexibles, de forma tal que en algunas ocasiones correspondan a las identidades naturales, de carne y hueso, y en otras estén completamente separadas. Las identidades deberían permitir a una persona ser pública y privada, según sea el contexto. Las identidades también deberían permitir la verificación de una aseveración (por ejemplo, con edad suficiente para ingerir alcohol) y al mismo tiempo adherir al principio de divulgación mínima (por ejemplo, no revelar la fecha de nacimiento). Estamos rastreando los esfuerzos en curso por crear metasistemas de identidad que permitan la creación y gestión eficaces de identidades diferentes.

La OPC comparte la opinión de que la privacidad debería ser un componente crítico de la etapa de diseño de toda tecnología o uso de tecnología. En un escrito reciente dirigido al Gobierno de Canadá sobre la estrategia de la economía digital, señalamos que podría hacerse más para prevenir los problemas de privacidad o mitigar los efectos que sobre la protección de los datos personales ejercen las nuevas tecnologías, al hacer de la privacidad parte integral del desarrollo de la economía digital. Otras autoridades encargadas de la protección de los datos, tanto de otras partes de Canadá como del resto del mundo, están haciendo llamados para que las leyes relativas a la protección de datos contemplen la “privacidad por diseño”. La Comisaria de Información y Protección de Datos Personales de Ontario, Ann Cavoukian, ha venido proponiendo desde hace ya tiempo el concepto de privacidad por diseño.

La OPC coincide igualmente con la opinión de que la privacidad debe convertirse también en parte integral de los procesos y modelos de negocios que dependen de la tecnología, por medio de un análisis concienzudo de las actividades de las compañías. Las evaluaciones de los factores relativos a la protección de datos personales son una herramienta útil que el sector privado debería utilizar, dado que un mayor énfasis en este tipo de análisis podría prevenir ciertos problemas.

Esperar que Louise y David examinen las implicaciones de los muchos servicios y prácticas comerciales en línea para la privacidad, comprendan dichas implicaciones y den su consentimiento para dichas prácticas podría ser poco razonable sin una base de referencia sólida de protección de la privacidad. El conocimiento y el consentimiento son elementos clave de la PIPEDA, pero existen otros principios que las organizaciones han de considerar con mayor detenimiento e incorporar a la tecnología y los modelos de negocios.

Temas de reflexión propuestos en el proyecto de informe: La separación entre lo público y lo privado y la reputación

• La OPC quisiera profundizar el debate con otras partes interesadas sobre la gestión de la identidad en línea.
• La OPC insta a la industria a conseguir medios y maneras de ayudar a la caducidad de los datos, tema que con gusto examinaría con mayor detenimiento. La PIPEDA indica con toda claridad que la información personal debería conservarse solo por el tiempo que se necesite.

Respuestas a los temas de reflexión:

De las respuestas que recibiera la OPC al proyecto de informe, dos hicieron referencia a la gestión de la identidad en línea. Una de las respuestas, que hiciera llegar una organización de promoción de la causa, presentó una serie de comentarios. La organización afirmó que el anonimato es esencial para la privacidad, e hizo referencia a las presiones que impiden a las personas actuar de formar anónima en línea. Se mencionaron dos acontecimientos recientes en los cuales se obligaba o alentaba a las personas a mostrar sus identidades reales, como es el caso de las publicaciones de noticias en línea. En opinión de esta organización, unos procesos de verificación más exigentes y el requisito de utilizar nombres reales en algunos sitios de redes sociales también erosionan el anonimato en línea y, por lo tanto, la privacidad.

Sin embargo, una de las personas que hizo llegar sus comentarios sobre el proyecto de informe manifestó escepticismo en cuanto a que se pudiera lograr una gestión significativa de la identidad en línea a través de una combinación de varios enfoques, como nuevas herramientas tecnológicas y supervisión regulatoria. En la respuesta se sugirieron otros enfoques, a saber, que la OPC tuviera facultades adicionales de aplicación de la ley, por ejemplo, autoridad para instituir un orden y capacidad para aplicar multas por el incumplimiento de la PIPEDA. Fuera del ámbito de aplicación de la PIPEDA, se propuso que se considerasen otras herramientas jurídicas, como emprender actuaciones judiciales y establecer un régimen jurídico que establezca responsabilidades para las redes sociales en línea por daños causados únicamente por violación de la privacidad (de forma similar al régimen de responsabilidad civil sobre los derechos de autor que existe en los Estados Unidos).

Lo que escuchamos: Los niños necesitan atención especial

Durante las consultas, escuchamos decir que el problema de la separación entre lo público y lo privado es aun más agudo en el caso de los niños, quienes usan la Internet a edades cada vez menores y facilitan información personal a los sitios web sin una noción clara de la forma en que se utilizará esa información y por qué. Lo que niños como David hacen más que todo es jugar en sitios comerciales, en los cuales parecería existir una mezcla de entretenimiento e “infoentrenimiento”; los juegos en que los niños participan son un medio para, por ejemplo,  cosechar información sobre esos niños: cómo juegan, qué les gusta, cómo piensan. Pero muchos de estos sitios no solo están recopilando información sobre los niños; como en el caso de Louise y David, este último usa información de la tarjeta de crédito de Louise para registrarse en los juegos, y al hacerlo, el sitio está recolectando información tanto de él como de ella. Algunos sitios también piden al niño información sobre sus padres.

Muchos comentaron que existe una grave falta de transparencia en cuanto a la manera de recolectar o utilizar la información personal, por lo que si los padres quisieran saber más acerca de las prácticas de privacidad del sitio, podría resultarles difícil. También se discutió la percepción que tienen los niños sobre la privacidad. Los niños piensan que solo están “hablando” con amigos; no son conscientes de la “audiencia invisible”: Opinan que si los adultos han visto su información o la han usado de alguna forma que, para los niños, es impropia, es el adulto quien ha cometido la falta y debería ser el adulto quien tomara las medidas correctivas del caso. También se señaló que los niños menores de cierta edad no tienen idea de lo que es el mercadeo. No saben cuándo están recibiendo anuncios comerciales y cuándo no. Esto es importante, dado que la edad del niño que se conecta es cada vez más baja. Un participante en el panel sobre los niños se pronunció a favor de una ley contra la explotación de los niños con fines de lucro. Durante las deliberaciones, la CMA se refirió a sus directrices sobre la publicidad dirigida a los niños. Sin embargo, un panelista resaltó que muchas prácticas en línea no se ajustan a esas directrices.

Observaciones de la OPC

La OPC comparte las serias preocupaciones planteadas con respecto a los niños en línea. Se ha propuesto una enmienda^{Footnote 28} a la PIPEDA que podría ayudar a responder a algunas de las inquietudes expresadas sobre algunas prácticas de privacidad de ciertos sitios web dirigidos a los niños. Aunque no se trata de una modificación específicamente sobre los niños, la enmienda estipularía que el consentimiento se consideraría válido únicamente si resulta razonable esperar que la persona comprenda la naturaleza, el propósito y las consecuencias de la recopilación, el uso y la divulgación de información personal para las que da su consentimiento. La PIPEDA ya requiere en sus disposiciones el consentimiento válido, por lo que se espera que esta enmienda amplíe y aclare este requisito. La OPC apoya la enmienda propuesta para la PIPEDA y recibe con beneplácito esta aclaración.

En concordancia con nuestra posición sobre la forma en que se crean las tecnologías y los servicios, la OPC opina que es necesario formular normas de referencia básica que sirvan de apoyo a los padres y educadores para saber que la información personal de los niños está protegiéndose. Es menester establecer un marco que permita informar mejor a los padres y educadores y que, en última instancia, proteja mejor la información personal de niños como David. Si bien sabemos que los anunciantes deben apegarse a ciertas directrices sobre la publicidad dirigida a los niños, la publicidad conductual no está incluida en esas directrices.

Temas de reflexión propuestos en el proyecto de informe: Los niños requieren atención especial

• La OPC está interesada en recibir comentarios sobre lo que deberían contener las normas de referencia básica relacionadas con la información personal de los niños y cómo pudieran formularse dichas normas. La OPC también quisiera conocer opiniones acerca del tipo de marco que debería implantarse.

Respuesta a los temas de reflexión:

La OPC no recibió respuestas específicas sobre el contenido de las normas de referencia básica relativas a la protección de la información personal de los niños, la manera de formularlas o el tipo de marco que debería implantarse. Recibimos información acerca de lo que estaba haciendo una compañía en favor de los niños en línea. Esta empresa también resaltó algunos de los retos de la publicidad conductual y los niños. Igualmente, una asociación se ofreció para trabajar con la OPC en el tema de los niños y la separación entre lo público y lo privado.

Esta es un área que la OPC continuará explorando en el futuro.

Lo que escuchamos: La ciudadanía digital es clave

Algunas de las personas que respondieron comentaron que todo el mundo –usuarios de todas las edades, empresas y entes normativos- debe aprender más acerca de la forma en que sus actividades, conectados o desconectados, pueden afectar sus vidas. Hubo acuerdo general en que se necesita trabajar más para informar mejor a los usuarios sobre la privacidad en línea; igualmente, hubo consenso en que necesitamos encontrar formas innovadoras y creativas de lograrlo.

Observaciones de la OPC

La OPC comparte esta posición, y opina que la privacidad debería formar parte de un programa de ciudadanía digital, a fin de velar por que las personas participen en un ambiente en línea que funcione de una manera respetuosa de sus derechos, valores y ética y apoye la interacción constructiva y la confianza. La OPC coincide además con que es necesario contar con maneras mejores y más eficaces de llegar a las personas para ayudarles a comprender las consecuencias de sus acciones. En nuestro propio trabajo con la juventud, hemos visto un gran interés en herramientas y recursos educativos y una gran demanda de este tipo de instrumentos.

Pero como dijéramos en nuestras observaciones a las consultas del Gobierno de Canadá sobre la estrategia digital del país, el énfasis no debería recaer únicamente en los jóvenes. Los programadores, líderes empresariales y usuarios de todas las edades deben apoyarse sobre una base firme de principios de privacidad si pretendemos proteger el mercado virtual de Canadá.

II.V La PIPEDA y los principios de privacidad

Con las consultas pudimos determinar que los desafíos mayores a los principios de privacidad consagrados en la PIPEDA para la industria, las personas y la OPC parecen surgir de las prácticas de rastreo, construcción de perfiles y focalización en línea. Definir la información personal, determinar los tipos apropiados de consentimiento, garantizar el control propio de la información personal son todos aspectos fundamentales que requieren atención si queremos brindar una mejor protección a la privacidad de los canadienses de todas las edades.

Lo que escuchamos: Una PIPEDA flexible y neutral

Muchos de aquellos que presentaron sus comentarios por escrito o participaron en los eventos de consulta destacaron que los puntos fuertes de la PIPEDA residen en que es tecnológicamente neutral, está basada en principios y, en consecuencia, es flexible. Tal es la posición que nuestra oficina ha compartido y continúa compartiendo. Hasta ahora, la PIPEDA ha sido un instrumento dinámico y eficaz que ha fortalecido los derechos de los canadienses a la privacidad.

Sin embargo, no todos los comentaristas o participantes compartieron la opinión de que la PIPEDA está a la altura de las circunstancias. Existen algunos problemas relacionados con el alcance de la protección de la privacidad, así como con respecto a los principios de información justa que conforman la base de la PIPEDA, que hemos obtenido de los comentarios escritos y las observaciones en los eventos y que merecen debido estudio y consideración. Más adelante se examinan esos problemas.

Definición de información personal

El determinar si los datos que se recopilan, utilizan y divulgan constituyen información personal es un paso fundamental para definir al alcance de la aplicación de la PIPEDA en la circunstancia dada.

Observamos que hubo cierto desacuerdo en cuanto a la forma en que se describió en varias de las respuestas la información que se recopila cuando se rastrea la actividad de las personas en línea:

• En dos de las observaciones por escrito (una de las cuales era de una asociación) se hacía una distinción entre “los datos recopilados por medio de la publicidad comercial”, o “información no identificadora”, y la “información personal” o “información  personalmente identificable”;
• En otro escrito (de una asociación) se planteaba la interrogante de si los datos de navegación y una dirección de IP calificaban como información personal;
• Una entidad que respondió a las consultas señaló que su publicidad comercial era una publicidad “basada en intereses”, pero que esta práctica no incluía la recopilación, utilización o divulgación de información personal;
• En otro comentario escrito se hacía una distinción que hicieron muchas compañías en línea, al usar a menudo el término “información  personalmente identificable”, cuando en Canadá el término utilizado es “información personal”; 
• Las variaciones terminológicas se hicieron patentes durante los debates de los paneles en los eventos de consulta. En uno de los paneles se usó el término información “confidencial”, con un significado aparentemente similar al que se adscribe a la expresión “información personalmente identificable.”

Pero más allá de las discrepancias de terminología, pareció que muchos de los que respondieron por escrito y de los participantes en los eventos (si bien no todos) estuvieron de acuerdo con que el rastreo, la construcción de perfiles y la focalización en línea tienen implicaciones para la privacidad.

Observaciones de la OPC

La información personal, conforme se define actualmente en la PIPEDA, es “información sobre una persona identificable, pero no incluye el nombre, título, o la dirección o número telefónico comercial de un empleado de una organización.”

La PIPEDA no contiene ninguna definición de “información personalmente identificable”, “información no identificadora” o “información confidencial”. El término “información personalmente identificable” se utiliza en otras jurisdicciones y normalmente se refiere a un conjunto limitado de informaciones que pueden utilizarse para identificar de forma exclusiva a una persona. Como ejemplos podríamos mencionar el nombre de la persona, su dirección postal, número de identidad nacional y número de la licencia de conducir. En contraste, el concepto de información personal consagrado en la PIPEDA tiene, en opinión de los tribunales canadienses y la OPC, una aplicación más amplia.

En 2008, la OPC publicó un documento de “interpretación” que contenía las interpretaciones generales de tribunales canadienses del término “información personal”, así como un resumen de la posición de la OPC ante varios reclamos relacionados con la PIPEDA en los cuales se debatía el tema de la información personal.

Por lo general, la OPC ha adoptado un enfoque amplio y contextual para determinar si cierta información es o no información personal. Al respecto, cabría destacar una conclusión de 2003, según la cual la información almacenada por cookies temporales y permanentes era información personal^{Footnote 29}. La oficina también concluyó que una dirección IP es información personal si puede asociarse a una persona identificable^{Footnote 30}.

Otro ejemplo que valdría la pena mencionar es una investigación sobre la recopilación y el uso de información proveniente de un sistema mundial de determinación de la posición (GPS) colocado en los vehículos de una compañía; la investigación concluyó que dicha información era información personal porque podía vincularse a empleados específicos que estuvieran conduciendo los vehículos. Se señaló además que los empleados eran identificables incluso si no son identificados todo el tiempo a todos los usuarios del sistema^{Footnote 31}. La información recolectada a través de etiquetas de identificación por radiofrecuencia (RFID) para rastrear y localizar equipaje, productos al detal y compras específicas pueden constituir la información personal de cualquier persona identificable vinculada a esos artículos^{Footnote 32}.

¿Qué significa esto para los datos recopilados a través del rastreo en línea?

Preocupa a la OPC la variedad de terminología utilizada en las observaciones por escrito y en los debates de los eventos. Parecería que se pretende resaltar que la información recopilada es anónima (“no identificadora” o “no confidencial”) supuestamente porque no contiene información que identifica a la persona por su nombre (que algunos de los que respondieron llamaron “información personalmente identificable”). Sin embargo, el verdadero anonimato es un estado cada vez más difícil de lograr, habida cuenta de los avances tecnológicos.

Algunos de los comentaristas quisieran que la OPC brindase orientación sobre la manera de determinar en qué punto la información de rastreo se convierte en información sobre una persona identificable. Sin una investigación, no sería prudente que la Oficina declarase que todos los datos virtuales recopilados son o no información personal. En ciertos casos, hemos determinado que las direcciones IP, por ejemplo, son información personal, incluso en el contexto donde una dirección IP es asociada a las actividades en línea de una persona. Si bien somos conscientes de que existen zonas grises y de que el contexto siempre será un factor en juego, los ejemplos precedentes de las conclusiones de la OPC ilustran que, en el pasado, se ha concluido que la información adquirida del rastreo, la construcción de perfiles y la focalización en línea es información personal. Este es un punto que las organizaciones podrían considerar a la hora de formular sus prácticas.

Observamos que la FTC ha adoptado un enfoque amplio en su documento de principios titulado Self-Regulatory Principles for Online Behavioral Advertising, en el cual aplica el alcance no solo a la “información personalmente identificable” sino también a la “información no personalmente identificable”, al indicar que “la noción tradicional de lo que constituye la información personalmente identificable frente a lo que representa la información no personalmente identificable está haciéndose cada vez menos significativa, por lo que no debería, por sí misma, determinar las protecciones acordadas a los datos de los consumidores.” La FTC señala además que “la Comisión y otras partes interesadas han reconocido desde hace ya tiempo que ambos tipos de información plantean problemas relativos a la privacidad.”^{Footnote 33} En diciembre de 2010, en su propuesta de marco para la protección de la privacidad, la FTC propuso aplicar el marco a los datos que puedan ser razonablemente asociados a un consumidor, computadora o dispositivo específico^{Footnote 34}. Con respecto a la publicidad conductual, el Grupo de Trabajo de la UE sobre el Artículo 29 emitió una opinión acerca de la práctica, en la cual señalaba que los métodos (utilizados en la publicidad conductual) a menudo “entrañaban el procesamiento de datos personales conforme aparecen definidos en el artículo 2 de la Directiva 95/46/EC^{Footnote 35}.”

Pensamos, por lo tanto, que el enfoque contextual que ha utilizado la OPC para definir la información personal en el pasado no está en contradicción con las opiniones de los entes internacionales que norman esta materia.

Consentimiento, consentimiento válido y transparencia

Se habló mucho acerca del tipo apropiado de consentimiento para el rastreo, la construcción de perfiles y la focalización en línea, y casi todos los que opinaron estuvieron de acuerdo con que la transparencia es vital en estas prácticas. En su gran mayoría, las asociaciones y empresas de la industria se manifestaron en general a favor del consentimiento con opción de rechazo (“opt-out”) con respecto a la publicidad conductual; una de ellas afirmó que debería ser un consentimiento expreso (“opt-in”) cuando se trata de información sensible. Sin embargo, otra asociación prefirió el consentimiento con opción de rechazo para la publicidad conductual, independientemente de la sensibilidad de la información.

Muchas de las asociaciones indicaron que están tomándose medidas de autorregulación en respuesta al tema de la transparencia. Se citaron enlaces conspicuos de redes de anunciantes y sitios web como potenciales estrategias para tratar la cuestión del consentimiento. Escuchamos hablar de las diferentes formas en que se puede lograr la transparencia (y la opción de rechazo) con un ícono especial (el ícono i) que una persona puede activar con su ratón y recibir información inmediata^{Footnote 36}.  También escuchamos comentarios sobre diversas iniciativas de educación, entre ellas un sitio que brinda a las personas información sobre la protección de su privacidad en línea. Algunos sitios web están comenzando a dar a sus usuarios la oportunidad de manejar los intereses que un “editor” o una red de anunciantes ha asociado a sus hábitos de navegación. Hubo consenso en que las personas no deberían verse obligadas a buscar información. También hubo acuerdo general en que la información debe ser fácil de comprender pero, al mismo tiempo, suficientemente detallada, aunque también se mencionó que la práctica misma es bastante compleja y sería difícil de explicar.

Voces más críticas de las prácticas de rastreo se preguntaban si el requisito que contempla la PIPEDA sobre el consentimiento válido estaba cumpliéndose, dado que a menudo las descripciones de las prácticas no eran suficientemente detalladas y apenas si se aportaba información. Una persona expresó dudas en cuanto a si la información que se recopilaba era necesaria para los fines de colocar un anuncio.

Observaciones de la OPC

Si resulta difícil determinar si ciertos datos son o no información personal, el tema del consentimiento es igualmente complejo. Tomamos nota del trabajo que muchas organizaciones de la industria están haciendo para incorporar la transparencia y otras prácticas de información justa en sus guías de mejores prácticas para sus miembros. A continuación figura una panorámica general de la manera en que la OPC ha abordado los temas del consentimiento, consentimiento válido y transparencia en el pasado, y cuáles podrían ser algunos de los desafíos que el rastreo, la construcción de perfiles y la focalización en línea representarían para el consentimiento.

¿Cuál ha sido la posición de la OPC en el pasado sobre el consentimiento?

En 2004, la OPC publicó una nota informativa sobre el consentimiento que en su mayor parte continúa recogiendo nuestra interpretación de los requisitos de conocimiento y consentimiento de la PIPEDA. Hemos aplicado este razonamiento a diversos tipos de prácticas y hemos considerado el tipo apropiado de consentimiento en varios contextos.

La PIPEDA estipula que se requieren el conocimiento y el consentimiento de la persona para la recopilación, uso y divulgación de información personal, excepto en los casos que resulte inapropiado^{Footnote 37}. La ley señala además que el tipo de consentimiento puede variar, dependiendo de las circunstancias y del tipo de información. Para determinar el tipo de consentimiento que han de utilizar, las organizaciones deben tomar en cuenta la sensibilidad de la información. Aunque cierta información (p. ej., historia médica y registros de ingresos) casi siempre se considera sensible, cualquier información puede ser sensible, según el contexto. La ley señala que debe obtenerse el consentimiento expreso cuando la información se considere posiblemente sensible, mientras que el consentimiento implícito se considera por lo general apropiado cuando la información es menos sensible. Finalmente, la PIPEDA señala que en la obtención del consentimiento, también son pertinentes las expectativas razonables de la persona.

La opinión de la OPC ha sido siempre que el consentimiento expreso (opt-in) es el método preferible de consentimiento, aunque el método de consentimiento con opción de rechazo (opt-out) pudiera resultar aceptable bajo ciertas circunstancias.

¿Qué es el consentimiento con opción de rechazo (opt-out)?

Expliquemos este concepto con un ejemplo. Una organización ofrece a una persona como Louise la oportunidad de expresar su desacuerdo con un propósito indicado. A menos que Louise “opte por rechazar” el propósito –es decir, que diga “no” al propósito- la organización presupone que ha habido consentimiento de su parte y procede en concordancia. Debería informarse claramente a Louise que si ella no “opta por rechazar” la proposición significa que está dando su consentimiento a que se use o divulgue la información conforme a lo propuesto.

La OPC ha tenido la oportunidad de considerar el uso del consentimiento con opción de rechazo en varios contextos distintos. Un uso común del opt-out se da en el contexto de usar o divulgar información personal con propósitos secundarios de mercadeo. Los propósitos secundarios son adicionales a aquellos para los que se necesitaba recopilar la información originalmente. La Oficina considera que una organización debe satisfacer los requisitos siguientes cuando utiliza el opt-out para, por ejemplo, obtener el consentimiento con fines secundarios de mercadeo:

• La situación en la cual se comparte la información debe ser limitada y estar bien definida en cuanto a la naturaleza de la información personal que ha de utilizarse o divulgarse y el grado de uso o divulgación que se pretende hacer;
• Los propósitos de la organización deben ser limitados y estar bien definidos, y enunciados de una manera clara y comprensible;
• Como regla general, las organizaciones deberían obtener el consentimiento de uso o divulgación al momento de la recopilación de la información;
• La organización debe establecer un procedimiento conveniente para rechazar los propósitos secundarios o retirar el consentimiento a los mismos. La opción de rechazo debería entrar en vigor inmediatamente y antes de cualquier uso o divulgación de la información personal para los nuevos fines propuestos^{Footnote 38}.

Nuestra posición sobre el consentimiento expreso (opt-in) versus el consentimiento con opción de rechazo (opt-out) y los criterios que formulamos, en especial sobre el mercadeo, provienen de nuestra experiencia con las organizaciones físicas. Se formó en parte a partir de nuestro examen del uso que dan los sitios de redes sociales a la información personal de los usuarios con fines publicitarios^{Footnote 39}.  En ese entonces, tomamos en cuenta el papel que desempeña la publicidad comercial en el modelo de negocios de este tipo de sitios, así como lo que puede o no puede considerarse sensible en ese contexto.

El rastreo, la construcción de perfiles y la focalización en línea conforman un entorno sumamente complejo en el cual considerar el tipo apropiado de consentimiento. En primer lugar, la forma en que se recolectan los datos y los usos que se dan a estos son en buena medida invisibles para la gran mayoría de los usuarios, e indudablemente más aun para los niños. Existen más actores en este escenario (por ejemplo, sitos web, redes de anuncios comerciales, extractores de datos), y es posible que el usuario no sepa quiénes son todos ellos. Incluso un usuario como Louise, que es bastante conocedora de las prácticas de rastreo en línea, probablemente no sepa quién esta recopilando sus datos. Si tiene curiosidad de saber acerca de los tipos de información que recolectan sobre ella y el tipo de perfil que se le asigna, posiblemente le resulte difícil enterarse de quién conserva esa información (La cuestión de la responsabilización, así como los temas de exactitud y acceso, se abordarán más adelante en este informe).

La transparencia y la validez del consentimiento son aspectos importantes que generaron un gran debate en los paneles. Puede ser fácil perderse en el examen de la dicotomía opt-in/opt-out, pero un aspecto que amerita un examen concienzudo es el de la validez. ¿Los propósitos y las prácticas son claras, de forma que el consumidor pueda dar un consentimiento válido? Es una cuestión de justeza, y es un requisito estipulado en la ley. Y es un área que, a nuestro parecer, requiere mayor énfasis.

La PIPEDA estipula que las organizaciones deben ser abiertas en cuanto a sus políticas y prácticas. La información suministrada a los usuarios sobre el rastreo y la focalización en línea  es a menudo sumamente compleja y está redactada en términos jurídicos. Por lo general, las personas no están interesadas en prestar atención a los avisos de privacidad, que a menudo adoptan el enfoque de “todo o nada”. Pero incluso si están bien escritos y son fáciles de comprender, ¿existe alguna forma de alentar a las personas a que lo lean todo? Escuchamos hablar de algunas medidas positivas que se han tomado para informar mejor a los consumidores sobre el rastreo, la construcción de perfiles y la publicidad conductual en línea.   Se debatió en los paneles el tema del “ícono i”, que ha de agregarse a casi todos los anuncios comerciales en línea que utilizan datos conductuales y que informa a los consumidores de la publicidad conductual y de lo que ocurre cuando estos visitan un determinado sitio web. Unas políticas de privacidad mejor escritas y de más fácil acceso –información por capas, etiquetas de “nutrición” sobre privacidad- son algunos ejemplos de trabajos que podrían ofrecer mejor información a los consumidores. Los retos de obtener un consentimiento válido  se acentúan en el mundo móvil. La pantalla es pequeña y es difícil suministrar a los usuarios los detalles requeridos.

La PIPEDA estipula además que los propósitos de la recolección, el uso y la divulgación de la información personal han de indicarse normalmente al momento de recaudar los datos. En el caso de la publicidad conductual, si la información se suministra junto al anuncio comercial, viene después de que la información ya ha sido recopilada y utilizada de alguna forma. Si bien nos alientan las innovadoras formas que están surgiendo para informar mejor a las personas (y pensamos que el ícono i es un paso en la dirección correcta), creemos que el consentimiento con opción de rechazo quizás no sea bien recibido por muchos usuarios. Sin embargo, algunos dirán que pedir el consentimiento del usuario cada vez que se conecta interrumpe su experiencia

Durante las consultas hubo cierto intercambio sobre las cookies; los usuarios pueden tomar la medida de bloquear las cookies o eliminarlas y luego rechazar los anuncios comerciales haciendo click sobre los anuncios (siempre y cuando estos permitan al usuario optar por rechazarlos). No obstante, existen límites en cuanto a la eficacia de depender de las cookies y de confiar en la capacidad de las personas para navegar por las herramientas de privacidad a su disposición. Las flash cookies pueden utilizarse para recrear web cookies si estas son eliminadas. Las super cookies son a menudo invisibles para el usuario, quien habitualmente no recibe herramientas para controlar la información que está almacenada. Los navegadores contienen algunas herramientas que los usuarios pueden utilizar para controlar la recopilación de sus actividades de navegación, pero estos instrumentos tienen sus limitaciones, en el sentido de que generalmente eliminan algunos tipos de cookies mas no otros. A fin de eliminar todos los tipos de cookies y de almacenamiento en la web, los usuarios tendrían que instalar y usar aplicaciones adicionales especiales. ¿Sería razonable esperar que un usuario promedio haga esto? ¿Y resultaría razonable para el usuario el tener que hacer esto solo para prevenir el rastreo y la construcción de perfiles? Una asociación de la industria habló acerca de brindar acceso con un solo click a la información sobre la publicidad conductual, e incluir la oportunidad de optar por rechazar este tipo de publicidad (con la instalación de una cookie permanente). Siempre y cuando funcione de acuerdo a lo previsto y se implante ampliamente, esta solución podría contribuir a despejar algunas de las inquietudes relativas a la comodidad de los usuarios.

Cuando se considera el tipo apropiado de consentimiento, también hay que tomar  en cuenta el tema de la sensibilidad. Existen algunas zonas grises en cuanto a la información personal sensible. Lo que es sensible para algunos podría no serlo para otros, y lo que podría considerarse sensible en un contexto pudiera no serlo en otro. El problema de tratar de evaluar la sensibilidad en línea es que el medio carece de contexto.

Algunos comentaristas dicen que una mejor manera de proteger la privacidad podría ser dirigir el énfasis hacia el uso de la información. ¿El uso es dañino para la persona o no? No todos los usos son dañinos; muchos podrían estar de acuerdo con que recibir anuncios comerciales ajustados a sus intereses no lesionan la dignidad, pero las actividades en línea que se utilizan para evaluar su solvencia sí podrían hacerlo. No obstante, el concepto de daño no existe en la PIPEDA. La ley se concentra más bien en la recopilación, uso y divulgación de información personal con fines apropiados. Se requiere informar a la persona y obtener su consentimiento para tales propósitos. El concentrarse exclusivamente en el uso final no toma en cuenta el sentimiento que muchos tienen de que no les gusta la idea de estar siendo “seguidos” una vez que se conectan e ingresan a un sitio.

¿Existe un enfoque práctico para evaluar la sensibilidad y determinar la forma apropiada de consentimiento?

Algunas compañías ya han procedido a limitar sus actividades de rastreo y no utilizan cierta información que generalmente se considera sensible (p. ej., información sobre la salud). La OPC piensa que este es un enfoque útil y práctico.

También escuchamos hablar de un registro de “no rastreo”. Esta es una idea que está sumando apoyo en los Estados Unidos y que ha captado nuestro interés. En la propuesta de marco de la FTC de diciembre de 2010, la Comisión suscribe la adopción de un mecanismo de no rastreo^{Footnote 40}. En una de las respuestas al proyecto de informe, una organización de promoción de la causa expresó su respaldo a la implantación de un mecanismo basado en un navegador por medio del cual los usuarios puedan monitorear y, de así desearlo, prevenir el rastreo en línea. La organización se sumó a la propuesta de marco de la FTC, en el cual se hace un llamado a favor de un mecanismo simple que los consumidores puedan utilizar para indicar su deseo de no ser rastreados. Como se indica en el documento de la FTC, este mecanismo debería tener la granularidad suficiente para que los usuarios puedan aceptar redes publicitarias específicas y, al mismo tiempo, bloquear otras. De acuerdo con la organización que respondió a nuestro proyecto de informe, un mecanismo de esta índole debe también prevenir la recopilación de datos sobre la navegación del usuario, y deben incluirse sanciones severas por incumplimiento.

Un mecanismo de no rastreo ofrece a las personas un medio práctico de proteger sus actividades de navegación, pero plantea problemas técnicos y jurisdiccionales. También requeriría un grado razonable de comprensión por parte de las personas sobre la forma en que se produce el rastreo y para qué se utiliza la información, sin mencionar el tener que tomar una acción clara de su parte para salirse ellos mismos.

Una propuesta de enmienda a la PIPEDA contempla que el consentimiento se considere válido únicamente si resulta razonable esperar que la persona comprenda la naturaleza, el propósito y las consecuencias de la recopilación, el uso o la diseminación de información personal para la cual están dando su consentimiento. Esta enmienda podría ampliar y aclarar el requisito de que se obtenga un consentimiento válido y podría ayudar a responder a algunas de las inquietudes sobre el rastreo, la construcción de perfiles y la focalización de niños, sobre todo en el caso de aquellos que no se encuentran aún en una etapa de su desarrollo en la cual puedan comprender cómo y por qué se está recolectando y utilizando su información. La conveniencia de confiar en la opción de rechazo en el caso del rastreo y la focalización de niños quedaría aún más en tela de juicio. No obstante, la OPC también ha tomado nota de los comentarios contenidos en una de las respuestas al proyecto de informe. La compañía que hizo llegar esa respuesta indicaba que existen problemas con respecto a la publicidad conductual y los niños  que tienen que ver con la manera de determinar la edad de la persona que navega en la red. Se señalaba en el comentario que los sitios web y los anunciantes que mercadean en esos sitios no podrán determinar si los visitantes son adultos o menores si no se cuenta con restricciones de edad o mecanismos de autenticación.

Es interesante hacer notar que, en relación con los servicios de localización, y de acuerdo a como entendemos nosotros esos servicios, la comunidad canadiense de publicidad comercial móvil parece tener conciencia de las preocupaciones de los canadienses ante el conocimiento  que otros puedan tener sobre dónde se encuentran y de recibir anuncios comerciales a partir de su localización. Mencionaron el carácter “íntimo” del dispositivo personal (por ejemplo, un teléfono celular) y comentaron que solicitan a los usuarios manifestar su consentimiento expreso para recibir anuncios comerciales basados en su ubicación. Pensamos que se trata de un enfoque positivo y apropiado.

Propósitos apropiados

Al menos uno de los comentaristas se refirió a si el rastreo era, primero que todo, apropiado. Una de las respuestas al proyecto de informe también recogió esta perspectiva, que es una consideración importante. La PIPEDA contiene una cláusula en la que se estipula que las organizaciones pueden recolectar, usar o divulgar información personal con propósitos que una persona pudiera considerar razonablemente apropiada dadas las circunstancias^{Footnote 41}. No nos manifestaremos sobre si la construcción de perfiles y la focalización son, en sí mismas, actividades apropiadas, pero sí quisiéramos subrayar que la industria debe considerar con suma atención esta disposición, sobre todo a la luz de la incomodidad que muchas personas expresan ante el rastreo, la construcción de perfiles y la focalización. Quizás valoren algunos de los servicios que reciben, pero ello no implica que puede obviarse la necesidad de informar a las personas y permitirles tomar sus propias decisiones sobre lo que quieren y no quieren.

Temas de reflexión en el proyecto de informe: Consentimiento, consentimiento válido y transparencia:

• La OPC continuará trabajando con la industria en la definición del mejor enfoque para velar por que las personas den un consentimiento válido a las prácticas comerciales legítimas. Esta podría ser un área en la cual la tecnología puede contribuir a abordar el problema. En tal sentido, nos gustaría recibir comentarios sobre la mejor manera de lograrlo.
• La OPC continuará concentrando sus actividades de extensión en las personas para ayudarles a protegerse mejor cuando están en línea. Esto incluye explorar la mejor manera de ayudar a las personas a centrar su atención en las explicaciones sobre privacidad a su disposición. La OPC recibiría con beneplácito cualquier comentario sobre la mejor forma de lograr esto.

Respuesta a los temas de reflexión:

En las reacciones que recibimos sobre el proyecto de informe, los representantes de la industria reiteraron su opinión de que el consentimiento con opción de rechazo es apropiado y que la transparencia y la participación de los consumidores necesitan profundizarse aun más. Un académico observó que el consentimiento se ha enfatizado demasiado en el pasado, a expensas de otros principios, en especial el principio de la limitación de la recopilación. Indicó que si se trabajase más en limitar la cantidad y el tipo de información personal recolectada, el consentimiento podría adquirir mayor validez.

Una organización de promoción de la causa adoptó la posición de que la forma o el tipo de consentimiento es un elemento crítico para determinar si el consentimiento es válido. Contrariamente a la posición de la industria de que solicitar a los usuarios que sigan ciertos  pasos antes de dar su consentimiento interferiría con la experiencia de los usuarios, la organización afirmó que el pedir a los usuarios que decidan si aceptan o no ciertas opciones, servicios o configuraciones que un usuario considera insuficientes desde el punto de vista de la privacidad es igualmente perturbadora de su experiencia en línea, sobre todo porque muchos mecanismos de opción de rechazo son difíciles de encontrar y comprender.

La organización opina que la transparencia es necesaria mas no suficiente en un ambiente en línea, y que las organizaciones tienen la oportunidad de concebir “mecanismos creativos de consentimiento” para asegurarse de que los usuarios aceptan las prácticas en línea.

Otros usos y divulgaciones

Aunque la mayoría de las observaciones por escrito que recibimos tenían que ver con la publicidad conductual, hubo cierto debate en los paneles acerca de otros usos que pudieran darse a la información del perfil y de la falta de control que, en opinión de algunos, los usuarios como Louise pueden ejercer sobre su información personal. Se expresó inquietud en torno a algunos usos de los que las personas son conscientes: usar los datos de redes sociales para realizar evaluaciones psicológicas, evaluar la capacidad crediticia, o bien con fines policiales, para mencionar solo algunos a manera de ejemplos. En líneas generales, la inquietud se refería a lo siguiente: una cosa es rastrear la conducta de las personas y construir perfiles sobre ellas con el propósito de hacerles llegar anuncios pertinentes, y otra, por demás desconcertante, es usar esos datos o la información de las redes sociales con otros propósitos desconocidos. Algunos expresaron el temor de que como las prácticas resultan casi invisibles para los usuarios, se cuenta con la capacidad de almacenar datos de forma indefinida y la tecnología para procesar los datos de nuevos usuarios mejora constantemente, el potencial para otros usos y aplicaciones puede resultar sumamente atractivo. Los datos también podrían venderse y las personas nunca enterarse de ello. Sin embargo, algunos representantes de la industria resaltaron que la ley estipula la protección de las personas y contempla recursos en caso de un uso inapropiado.

Algunos destacaron que, como sociedad, deberíamos preocuparnos por la cantidad de datos que recopilan las grandes empresas. En algunas de las deliberaciones, se señaló que las leyes son “preocupantemente permisivas” cuando se trata del flujo de información que las empresas privadas, que parecen saber más de nosotros que nosotros de ellas, remiten a las autoridades policiales. Se planteó que las autoridades policiales están obligadas a obtener una orden para tener acceso a información sobre nosotros, y que la información que están obteniendo es cada vez más sustancial. Al mismo tiempo, las leyes permiten a las empresas privadas compartir información con la policía sin que medie una orden y sin nuestro conocimiento o consentimiento.

Observaciones de la OPC

Aunque recibimos 21 observaciones por escrito, habríamos querido escuchar las opiniones de una gama más amplia de organizaciones. Nos habría gustado conocer sus puntos de vista acerca de la publicidad conductual, así como sobre los otros usos de la información del perfil.

Sabemos que, en los Estados Unidos, los perfiles construidos a partir de las actividades de las personas en las redes sociales están utilizándose no solo para focalizar y ofrecer nuevos productos y servicios a los consumidores, sino además para tomar decisiones de financiamiento^{Footnote 42}.  El proceso recibe el nombre de Seguimiento de Medios Sociales (SMM) y utiliza información obtenida de redes sociales como Facebook y Twitter, comentarios publicados en sitios como Amazon, opiniones publicadas en sitios como Yelp o puntos de vista compartidos por medio de blogs para cumplimentar gráficos sociales. Junto a la tendencia creciente hacia el mercadeo de las relaciones y las investigaciones que muestran la influencia de los amigos sobre las decisiones de compra, los extractores de datos han adoptado el supuesto de que la información sobre el comportamiento de nuestros amigos puede utilizarse para predecir mejor nuestra conducta; en otras palabras, la información personal de otras personas está convirtiéndose en nuestra información personal, lo cual, sin nuestro consentimiento o conocimiento, afectará las decisiones que se tomen sobre nosotros^{Footnote 43}.

Se ha mencionado que cuando las personas revelan en línea su ubicación por medio de los servicios basados en localización, también están revelando dónde no están. Algunos han especulado que la industria de los seguros podría aumentar las primas o rechazar ciertos siniestros de clientes si estos son usuarios de servicios de localización, como Loopt y Foursquare, que comparten su ubicación.

Aparte del debate general que se dio en los paneles, se recibió poca información sobre el grado de utilización de los datos sociales en Canadá. ¿De qué otra forma está usándose esa información en el país? ¿Qué se sabe de la mezcla de información en bases de datos fuera de línea, como la información recopilada por medio de tarjetas de cliente asiduo y cupones obtenidos en línea para tiendas del mundo real? No logramos obtener una imagen completa de ni siquiera el ecosistema de publicidad conductual^{Footnote 44}. Nos preocupa que estamos dejando de considerar aspectos importantes de esa práctica, sin mencionar otras prácticas que no se examinaron a cabalidad en los paneles, como los juegos en línea. La OPC opina que, en aras de los intereses de los canadienses, es necesario entablar un debate público acerca de la situación de ciertas prácticas, hacia dónde pueden ir y si se trata de algo que el público quiere.

La OPC concuerda con que es vital que el usuario tenga control sobre la información personal. Es nuestro parecer que con unas prácticas más visibles y disposiciones más claras relativas al consentimiento, los usuarios como Louise tendrán un mejor control. También opinamos que una mejor arquitectura igualmente podría brindar mejores protecciones básicas. Compartimos la opinión del panelista que observó que la PIPEDA estipula el consentimiento adicional para todo nuevo uso de la información personal. Sin embargo, el confiar exclusivamente en los reclamos que se nos hagan llegar en tales casos podría conllevar a que no se verificaran otras prácticas cuestionables.

Algunos comentaristas sugirieron también que la OPC centrara su atención en el uso del rastreo y la construcción de perfiles por parte del gobierno. La OPC es consciente de los posibles usos de dicha información con propósitos gubernamentales.

Temas de reflexión propuestos en el proyecto de documento: Otros usos y divulgaciones:

• La OPC se complacería en recibir otras opiniones y comentarios sobre las prácticas actuales y futuras de rastreo y construcción de perfiles en línea (distintas de la publicidad conductual) en Canadá.

Respuesta a los temas de reflexión:

Una organización de promoción de la causa presentó comentarios sobre diversos tipos de rastreo. Con respecto al rastreo que se considera necesario para mejorar servicios o productos, destacó que algunas de las actividades que corresponden a esta categoría pueden ser sumamente amplias: desde predecir las preferencias hacia ciertos productos, pasando por  perfeccionar los algoritmos de búsqueda y hasta recomendar potenciales amigos a personas que forman parte de redes sociales. Parte de esta actividad puede entrañar el rastrear las acciones de las personas en el sitio web propiamente dicho o sus actividades en otros sitios diferentes y conservar los datos. Aunque admitió que algunas de estas actividades pueden ser “legítimas”, la organización opinó que  a menudo son amplias e invisibles para los usuarios.

La organización comentó sobre la posibilidad de que muchos de los datos generados por los usuarios caigan en la excepción que para fines periodísticos estipula la PIPEDA. Al parecer de la organización, podría ser necesario modificar esta excepción para limitar su alcance e incorporar un criterio de razonabilidad a fin de equilibrar el nivel de intrusión respecto de la información divulgada y la importancia de la información en cuestión. Manifestó su preocupación acerca de la falta de protección contra la invasión de la privacidad que pudiera ocurrir en línea más allá del alcance de la actividad comercial. La organización advirtió que se trataba de un área que debe explorarse con mayor detenimiento a objeto de encontrar soluciones a los riesgos que plantea la capacidad de las personas para potencialmente afectar la privacidad de otros. Como ejemplos mencionó aquellas situaciones en las cuales se busca el consentimiento no directamente de la persona sino a través de un “amigo”, ya sea mediante prácticas de colocación de etiquetas, publicación de fotografías o la adición de aplicaciones en las cuales se divulga información personal de otras personas.

La organización hizo referencia a las conclusiones de nuestro informe sobre la investigación que condujéramos en 2009 sobre Facebook y nuestros comentarios sobre la necesidad de que las personas obtengan el consentimiento de otros antes de proceder a participar en estas actividades (Nuestros comentarios se referían específicamente al suministro de direcciones de correo electrónico de no miembros para invitarlos a sumarse a Facebook). La organización afirmó que si le resulta imposible a la persona obtener el consentimiento, debería aplicarse entonces el criterio de razonabilidad. Sin embargo, señaló que pueden darse ocasiones en que es razonable inferir el consentimiento para algunas divulgaciones pero no para otras. Para la organización resulta de especial preocupación las situaciones en las cuales una información sensible, como la localización, se registra bajo una forma que permite la búsqueda o se transforma en metadatos para ponerlos a disposición de los programadores.

En otra de las respuestas al proyecto de informe, el autor adoptó la posición de que la OPC ha interpretado de forma muy limitada la actividad comercial, a saber, que la información que publican las personas sobre otras personas en sitios de redes sociales forma parte de la socialización que tiene lugar y no forma parte de la actividad comercial que realizan los operadores del sitio. El comentarista argumentó que la publicidad conductual depende de la cantidad de información personal que hay en esos sitios (y la Internet). Si la OPC considerase que la información personal recopilada en el curso de una actividad comercial como información que incluye toda la información personal que conserva una organización, un mayor número de las prácticas de la organización quedaría cubierto por la PIPEDA. Esta es una perspectiva interesante; somos conscientes de este punto de vista, pero no hemos tenido la oportunidad de examinarlo a plenitud ni ponderar sus implicaciones.

Salvaguardias y retención

Se expresaron inquietudes sobre las salvaguardias y la retención, que guardan estrecha relación con las preocupaciones manifestadas en cuanto a los usos secundarios de la información personal. Aquellos que expresaron aprensión ante los usos secundarios de la información personal destacaron los problemas de seguridad y la capacidad para almacenar datos de forma indefinida como factores que podrían contribuir al uso inapropiado o creciente de esa información. Las asociaciones de la industria reconocen la importancia de las salvaguardias y la retención, por lo que los modelos de autorregulación que muchas de ellas han puesto en vigor incluyen como requisitos el velar por la seguridad de los datos y limitar la retención.

También escuchamos decir, durante los debates de los paneles, que los datos pueden vivir por siempre en el medio digital, y que es más barato almacenar los datos que deshacerse de ellos, e igualmente que puede haber usos potenciales de datos que podrían resultar muy atractivos. Algunos mencionaron que eliminar datos en línea es más difícil de lograr (si acaso no imposible). En sus respuestas al proyecto de informe, dos compañías señalaron que se necesita trabajar más en la definición de normas relativas a la retención de datos.

Observaciones de la OPC

La OPC concuerda con que las salvaguardias y la retención son aspectos importantes, y nos complace que la industria los haya incluido en sus modelos de autorregulación, ya que también figuran en la PIPEDA, a la cual adhieren sus miembros. Mientras más se acerquen los modelos de autorregulación a las leyes que las compañías que operan a nivel internacional deben obedecer, más fácil será para las organizaciones tener una seguridad razonable de que sus prácticas cumplan diversos requisitos normativos en otros países.

La seguridad cibernética es una inquietud seria y en crecimiento. Existe una serie de factores que contribuyen a este problema, como por ejemplo: el volumen creciente de datos electrónicos que se almacenan y procesan; la complejidad cada vez mayor de los programas y equipos informáticos; y la ubicuidad de los dispositivos que son a menudo portátiles (teléfonos inteligentes, agendas electrónicas, computadoras). La OPC se complace de que el Gobierno de Canadá haya introducido enmiendas a la PIPEDA para dar carácter obligatorio a la denuncia de violaciones de la ley, dado que con ello pueden fortalecerse los requisitos de seguridad.

Compartimos la preocupación ante las implicaciones de la permanencia indefinida de los datos para la reputación y los posibles usos inapropiados de esa información. También reconocemos que se trata de un asunto que requiere de soluciones técnicas para poder cumplir con los requisitos legislativos y de política de no conservar la información personal indefinidamente. Este problema se debatió también en la sección de este informe dedicada a la separación entre lo público y lo privado y las reputaciones.

Acceso, corrección y exactitud de la información

Las inquietudes expresadas acerca de la reputación tienen que ver con los problemas que rodean el acceso a la información personal propia y a la posibilidad de corregirla. Sin embargo, muchos comentaron que las personas habitualmente tienen dificultades para saber quién tiene su información personal (más allá de aquellos lugares a los que dieron su información directamente), cómo se utiliza dicha información y cómo pueden hacer para que se corrijan posibles errores. Un hecho que complica aún más esta situación es que esa información a menudo se encuentra en otro país (Este tema se trata con mayor detalle en la sección dedicada a la computación en la nube que aparece más adelante). Dado que el rastreo y la construcción de perfiles son en buena medida invisibles para casi todos los usuarios, estos probablemente no tengan idea de lo que está ocurriendo y, por lo tanto, tienen poco control sobre la forma en que su información está siendo recolectada, utilizada y divulgada.

Escuchamos comentarios sobre las innovaciones que están haciendo algunas entidades que prestan una variedad de servicios basados en la web para permitir a los usuarios como Louise saber qué información conservan sobre ellos y dejarles escoger qué categorías de anuncios comerciales quisieran recibir (o bien rechazar todo tipo de publicidad comercial). Se expresaron ciertas preocupaciones sobre el riesgo de que puedan utilizarse datos inapropiados para tomar decisiones acerca de las personas, lo que puede tener distintas consecuencias dependiendo de la manera en que se utilizan los datos.

Observaciones de la OPC

La OPC comparte el argumento de que la posibilidad de tener acceso a nuestra propia información personal y poder corregirla es clave para poder controlar esa información. Reconocemos que el acceso y la corrección pueden resultar un desafío tanto para las personas como para las organizaciones, habida cuenta de las características del ambiente en línea y la forma en que se define la información personal. No obstante, es nuestro parecer que la tecnología puede brindar algunas respuestas sobre la manera de satisfacer estos requisitos de la PIPEDA.

Responsabilización

Al pie de todos estos temas yace la cuestión de la responsabilización. Las asociaciones de la industria que presentaron sus observaciones por escrito reconocieron que este aspecto debe abordarse. ¿Quién hace el rastreo, a dónde pueden dirigirse las personas para examinar sus perfiles y hacer correcciones, quien está salvaguardando su información personal, con quién pueden hablar para retirar su consentimiento, quién ha de atenderlos si tienen algún reclamo? Se está adelantando cierto trabajo en esta área para aumentar la visibilidad de las prácticas y ofrecer a las personas mayor información sobre el rastreo, la construcción de perfiles y la focalización en línea.

Observaciones de la OPC

La OPC coincide con que la responsabilización es un elemento clave para velar por que la información personal de usuarios como Louise y David no se use de forma inapropiada, que las personas como ellos estén informadas y hayan dado un consentimiento válido a la forma en que ha de recopilarse y utilizarse su información personal.

Reconocemos los pasos que están dando las asociaciones de la industria y algunas organizaciones para responsabilizarse de cualquier actividad de rastreo, construcción de perfiles y focalización que ellas o sus miembros realizan en línea, y les alentamos a continuar trabajando en este importante componente de la protección de la privacidad.

Computación en la nube

El negocio de joyería de Louise está funcionando bien, por lo que ha decidido ampliar su cartera de clientes y su línea de productos. A medida que su pequeña empresa crece, Louise se da cuenta de que necesita comenzar a manejar sus documentos electrónicos de una forma más profesional. Sin embargo, no es una experta en informática, y tiene poco tiempo a su disposición para ocuparse de los detalles técnicos. Louise piensa que requiere algo de ayuda para manejar sus datos con eficacia. Ha oído hablar mucho sobre las ventajas de la computación en la nube, y se pregunta si allí podría conseguir algunas herramientas de negocios útiles.

Louise ya usa una cuenta Gmail para sus comunicaciones de negocios, y utiliza el programa Flickr para almacenar fotos de las joyas que crea. Maneja su cuenta bancaria comercial a través de la banca en línea. Está pensando utilizar una aplicación de directorio en la nube para llevar cuenta de su creciente lista de clientes y proveedores. También está considerando usar FreshBooks para llevar cuenta de los gastos y la facturación en línea.

Aunque está interesada en usar estos servicios que ofrece la nube, Louise tiene temor de dar el salto hacia este nuevo modelo. No está completamente segura sobre la tecnología que yace detrás de la computación en la nube, ni sobre cómo funcionan los modelos de negocios. Existe además una gran cantidad de términos desconocidos, como “virtualización”, que pueden resultar difíciles de comprender para quien no es experto en la materia. También se pregunta cómo los proveedores de servicios van a gestionar, usar y proteger su información. Le preocupa si podrá tener acceso a sus datos cuando así lo requiera, y si  su información estará a salvo de piratas cibernéticos y programas perniciosos. Inquieta a Louise dónde se almacenará su información; ha oído decir que pudiera ser en otro país y se pregunta cuáles son las implicaciones legales que eso pudiera tener tanto para su negocio como para sus datos personales.

III.I ¿Qué es la computación en la nube?

La computación en la nube se define de muchas maneras distintas. En líneas generales, es la provisión de servicios basados en la web que están localizados en computadoras remotas y que permiten a las personas y los negocios utilizar programas y equipos gestionados por terceros. Ejemplos de estos servicios serían el almacenamiento de archivos en línea, los sitios de redes sociales, el correo electrónico basado en la web y aplicaciones comerciales en línea. El modelo de computación en la nube permite el acceso a la información y los recursos de una computadora desde cualquier lugar donde haya una conexión a la red. La computación en la nube ofrece un conjunto compartido de recursos, como espacio para el almacenamiento de datos, redes, capacidad de procesamiento informático y aplicaciones especializadas para empresas y usuarios.

Cuando se trata de la computación en la nube, Louise cumple diferentes funciones. Como vimos en la primera sección de este informe, Louise es una ávida usuaria de los sitios de redes sociales. Pero también es empresaria, y en ese papel, utiliza los servicios de la nube como Gmail y Flickr para algunos aspectos de su negocio. Ahora está considerando usar ciertos servicios de la nube que le permitirían llevar las cuentas de sus clientes. En cada situación, sus expectativas y su papel, con respecto a la protección de la privacidad, cambian. Cuando es usuaria de una red social, interactúa directamente con el servicio como un particular. Si ese servicio tiene una conexión real y sustancial con Canadá y recopila, utiliza y divulga su información personal en el transcurso de una transacción comercial, está protegida por la PIPEDA, por lo que la organización está obligada a seguir ciertas prácticas que se ajusten a las disposiciones de la ley. En cuanto a su negocio de joyería, Louise participa en una actividad comercial y maneja información personal. Por lo tanto, está obligada a rendir cuentas de la información personal que facilita a un proveedor de nube. Ya sea su propia información personal que coloca en la nube o la de uno de sus clientes, existen desafíos relacionados con la protección de esa información. Lo que sigue es una reseña general de lo que hemos aprendido a partir de los comentarios escritos y los debates de los paneles en Calgary, nuestras propias observaciones, aspectos sobre los que quisiéramos recibir opiniones y algunas propuestas de acción.

III.II Lo que hemos aprendido

Muchas de las observaciones por escrito que recibimos y los debates que se dieron en el evento público celebrado en Calgary aportaron explicaciones detalladas y útiles acerca de la computación en la nube y sus distintos modelos. De las 12 respuestas al proyecto de informe, tres se refirieron exclusivamente al tema de la computación en la nube, mientras que otras dos hablaron tanto de la nube como del rastreo, la construcción de perfiles y la focalización en línea.

La definición que formulara el Instituto Nacional de Normas y Tecnología de los Estados Unidos (NIST) fue citado por varios de los comentaristas, por lo que vale la pena recogerla en este informe:

• La computación en la nube es un modelo que facilita un acceso en línea conveniente y “a la carta” a un conjunto compartido de recursos informáticos (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser suministrados rápidamente y liberados con un mínimo esfuerzo de gestión o de interacción con el proveedor del servicio. El modelo de nube fomenta la disponibilidad y tiene cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue^{Footnote 45}.

Las características esenciales de la computación en la nube son: autoservicio a la carta; amplio acceso a la red; mancomunidad de recursos; elasticidad rápida; y servicio medido. Los modelos de servicio son: software como servicio (SaaS); plataforma como servicio (PaaS); e infraestructura como servicio (IaaS). Los servicios de la nube por lo general se despliegan por medio de una nube privada, una nube comunitaria, una nube pública  o una nube híbrida. Estas características, modelos de servicios y modelos de despliegue se describen con mayor detalle en la  definición del NIST^{Footnote 46}.

En uno de los comentarios escritos se resaltaron las diferencias entre las nubes pública y privada, dado que pueden tener implicaciones diferentes para la privacidad. De acuerdo con la definición del NIST, en una nube pública, “la infraestructura de la nube se pone a la disposición del público en general o a un gran grupo industrial y es propiedad de una organización que vende servicios de nube^{Footnote 47}.” Las nubes públicas ofrecen recursos por la Internet. Como ejemplos de nubes públicas cabría mencionar los servicios dirigidos a los consumidores, como los servicios de almacenamiento de fotos, los proveedores de correo electrónico, los sitios de redes sociales y los servicios para empresas. En una nube privada, “la infraestructura de la nube es operada exclusivamente por una organización. Su gestión puede estar a cargo de la organización misma o de un tercero y puede encontrarse ubicada en las instalaciones de la organización o fuera de esta^{Footnote 48}.” Ya sea que utiliza una nube pública o privada, una organización (incluida Louise cuando vende sus joyas) que tiene tratos con el proveedor de la nube sería responsable de proteger la información personal y de velar por que el proveedor de la nube que procesa esa información brinde un nivel comparable de protección, conforme lo estipula la PIPEDA.

En algunas de las observaciones recibidas por escrito se estableció también una diferencia entre “servicios al consumidor” y “servicios a la empresa”. Uno de los comentaristas señaló que si se ofrece un servicio de nube directamente a los consumidores, el proveedor es el procesador de los datos. En términos generales, en el caso de Louise, cuando utiliza su red social o su correo electrónico como actividad recreativa, el proveedor del sitio de la red social o del correo electrónico es el controlador de los datos. Pero cuando desea usar un servicio de la nube para manejar los datos de un cliente de su joyería, el proveedor es el procesador de los datos y Louise la controladora de los datos. Esa diferenciación es importante porque ello significa que cuando Louise es la controladora de datos, tiene ciertas obligaciones para con su cliente en cuanto a la protección de su privacidad.

Beneficios y riesgos

Algunos de los comentaristas y participantes hablaron de los beneficios que brinda la computación en la nube. Algunos de los beneficios para los usuarios (los negocios, en especial las pequeñas y medianas empresas, los gobiernos y las personas) serían la escalabilidad (ofrece capacidad ilimitada de procesamiento y almacenamiento), la fiabilidad (elimina la preocupación de perder datos valiosos si se conservan en papel o por la pérdida de computadoras portátiles o discos duros, y da acceso a aplicaciones y documentos desde cualquier parte del mundo por medio de la Internet), ahorro de costos, eficiencia (porque libera recursos que pueden concentrarse en la innovación y el desarrollo de productos) y acceso a nuevas tecnologías. Algunos comentaristas y participantes destacaron que como los usuarios  de la nube no tienen que invertir en infraestructura de tecnología de la información, comprar equipos o adquirir licencias de software, los beneficios son: bajos costos iniciales, rápido rendimiento de la inversión, despliegue rápido, personalización, uso flexible y soluciones de escala en Internet que aprovechan las nuevas innovaciones basadas en la web. Algunos se refirieron a los potenciales beneficios para la sociedad, como una mejor provisión de servicios de atención de salud, crecimiento económico y generación de empleo.

Otro posible beneficio que mencionaron varios comentaristas y participantes fue el posible mejoramiento de la privacidad. En términos más específicos, la computación en la nube podría mejorar los esfuerzos de privacidad por diseño y el uso de mejores mecanismos de seguridad. Se indicó que la computación en la nube permitirá hacer adquisiciones más flexibles y mejoras tecnológicas que podrían permitir ajustar los procedimientos con base en la sensibilidad de los datos. El uso generalizado de la nube podría también alentar la adopción de normas abiertas para la computación en la nube que establecerían las características básicas de seguridad de los datos que adoptarían los distintos servicios y proveedores. Con el transcurso del tiempo podrían adoptarse normas técnicas (algunos mencionaron que, cuando se trata de la nube, estas normas están actualmente “regadas por todos lados”), con las cuales la computación en la nube podría aportar innovación y flexibilidad. La computación en la nube puede permitir una mejor auditoría y una mayor fiabilidad de los datos, ya que la información no se pierde con facilidad (si la comparamos con el mundo físico).

Casi todos los comentaristas y participantes coincidieron en los riesgos que la computación en la nube encierra para la privacidad. Estos riesgos tienen que ver por lo general con la jurisdicción, la accesibilidad de terceros y los principios contenidos en el anexo 1 de la PIPEDA, a saber: salvaguardias; limitaciones en cuanto al uso y la retención; y acceso y corrección. Una diferencia de riesgo que se observó entre el modelo de consumidor y el modelo de empresa (que se abordó anteriormente en la sección sobre el consentimiento cuando examinamos el rastreo, la construcción de perfiles y la focalización en línea) es que los convenios entre el proveedor y el consumidor tienden a ser de “todo o nada”, mientras que las empresas pueden negociar las condiciones de servicio. Esto faculta a las compañías a crear ciertas protecciones de la privacidad, pero los consumidores quedan habitualmente con menos opciones para asegurar su propia protección.

III.III PIPEDA: Principios de privacidad

Lo que escuchamos: La PIPEDA y el marco normativo

Si bien la gran  mayoría de los participantes coincidieron en los retos que el modelo de la nube encierra para la protección de la privacidad y los datos, hubo divergencias de opinión en cuanto a si la PIPEDA era un marco normativo adecuado. La mayoría sostuvo que la PIPEDA constituye un marco normativo sólido y flexible en el cual considerar los problemas de privacidad que derivan de la computación en la nube. De acuerdo con casi todos los comentaristas y participantes, la fortaleza de esta ley radica en que es neutral desde el punto de vista de la tecnología, como lo demuestra el hecho de que la OPC ha podido aplicarla a nuevas tecnologías y nuevos modelos de negocios. Sin embargo, algunos hicieron sugerencias específicas para fortalecer la PIPEDA. También surgió a nivel de los paneles un debate en torno a si un modelo basado en los reclamos sería apropiado para brindar protección a los consumidores, que en su mayoría no conocen lo que es la computación en la nube. Se señaló que las enmiendas legislativas propuestas para dar carácter de obligación a la notificación de la violación de la integridad de los datos contribuirá a dar mayor transparencia a las prácticas de privacidad para los usuarios y las autoridades encargadas de la protección de la información, lo cual podría fomentar la presentación de reclamos a la OPC y, en última instancia, a la formulación de mejores prácticas.

Muchos comentaristas y participantes mencionaron que la computación en la nube no es más que una tercerización y que, en consecuencia, los problemas son los mismos: ¿quién controla los datos?; ¿quién ha de rendir cuentas?; ¿existen mecanismos apropiados de protección?; ¿quién tiene acceso a los datos; ¿con quién están compartiéndose esos datos?; ¿cómo están usándose esos datos?; ¿existen jurisdicciones a las cuales no deberían enviarse esos datos? Las inquietudes relacionadas con el flujo transfronterizo de datos –tema que se debate desde hace décadas en relación con la protección de la privacidad- se hacen claramente evidentes en el contexto de la computación en la nube.

Jurisdicción y acceso de terceros

La computación en la nube es en buena medida una actividad sin fronteras^{Footnote 49} pues la información que se encuentra en la nube por lo general se ubica en distintas jurisdicciones. Algunos comentaristas y participantes observaron que un negocio que utiliza el modelo de la nube no puede dejar en manos de terceros la responsabilidad de proteger los datos, e indicaron que la PIPEDA no deja lugar a dudas sobre este punto en su sección relativa a la rendición  de cuentas^{Footnote 50}. Las leyes canadienses continúan rigiendo las actividades, pero así también las leyes de otras jurisdicciones.

Varios comentaristas resaltaron que se necesita una mayor transparencia sobre las jurisdicciones donde pudiera realizarse el procesamiento de los datos. También se indicó que debería brindarse a las personas la oportunidad de optar por rechazar cierto tipo de procesamiento si no están de acuerdo con el lugar donde van sus datos.

Algunos mencionaron que se necesita una solución “hecha en Canadá”. Una computación en la nube que se realice únicamente en Canadá podría aliviar algunas de las preocupaciones de que los datos puedan conservarse en otras jurisdicciones o transitar por estas. No obstante, una de las respuestas al proyecto de informe no apoyó esta solución “hecha en Canadá”. Habida cuenta del reducido tamaño del mercado canadiense, la organización afirmó que no había manera de garantizar una nube hecha en Canadá.

En estrecha relación con los problemas de jurisdicción figuran los problemas relativos al acceso de gobiernos extranjeros a los datos. Se comentó que el acceso de los gobiernos a la información personal podría ser más complejo en el modelo de la nube que en otros modelos de tercerización de tecnología de la información.

Se dieron a conocer algunas inquietudes acerca de los riesgos de la tercerización de datos personales para su procesamiento en países cuyas leyes permiten un acceso más sencillo a esta información (que las leyes canadienses) por parte de los gobiernos. Algunos opinaron que el riesgo del acceso no es mayor en el exterior que en Canadá; las leyes canadienses contemplan ciertas facultades que son análogas a las que existen en otras jurisdicciones. Además, Canadá tiene muchos convenios y arreglos formales e informales de intercambio de información con otras jurisdicciones.

Se mencionaron dos opciones posibles de reforma a la PIPEDA para responder al problema de la vulnerabilidad de la información personal de los canadienses por el hecho de que gobiernos extranjeros pudieran acceder a esta: crear una regla de bloqueo y una disposición proactiva en la PIPEDA para aumentar su valor de disuasión contra la divulgación. Una norma de bloqueo evitaría que una entidad nacional deba cumplir con una ley específica de otro país, y podría mientras que una disposición proactiva restringiría el procesamiento de datos fuera de la jurisdicción del país.

El tema de la ley aplicable puede constituir un reto para las organizaciones. Una organización mencionó que las obligaciones legales pueden a veces entrar en conflicto, y que cualquier restricción geográfica a los flujos de datos puede complicar la situación. Estas restricciones pueden constreñir el desarrollo y los beneficios de la computación en la nube e imputar costos a los usuarios y proveedores de servicios. En respuesta, se indicó que toda restricción al flujo de datos debería ser precedida de una evaluación caso por caso de los riesgos a la privacidad que tome en cuenta el volumen y la sensibilidad de la información, el uso y la protección que ofrecen las salvaguardias tecnológicas, la posibilidad de que un gobierno extranjero llegue realmente a solicitar información, la capacidad para localizar la información y la probabilidad y gravedad de daño si se divulgase la información. Se sugirió que los gobiernos considerasen la creación de un marco multilateral sobre cuestiones relativas al flujo transfronterizo de datos que adoptase la forma de un tratado o un instrumento internacional similar. Se propuso una opción menos formal en la cual los países podrían participar de forma independiente en procedimientos para resolver asuntos relativos al acceso a los datos que evitarían conflictos por cuestiones de jurisdicción.

En su respuesta al proyecto de informe, una organización de promoción de la causa manifestó preocupación ante el papel de los intermediarios con respecto a ciertos objetivos de política pública. Esta organización opina que el medio de la nube agudiza este problema, dado que un volumen creciente de información se confía a terceros y queda sujeta a divulgación si así lo solicita un demandante civil o un agente del gobierno. La organización expresó inquietudes conexas con respecto a las propuestas de enmienda contenidas en el proyecto de Ley C-29^{Footnote 51} y la forma en que el modelo de computación en la nube agrava esta problemática.

Observaciones de la OPC

La OPC ha considerado el tema de las jurisdicciones internacionales y el acceso a información por parte de terceros en el contexto de la investigación de denuncias pasadas. Por ejemplo, hemos examinado el uso de terceros procesadores en otros países y las obligaciones que debió cumplir la organización que confió los datos a una tercera parte; también hemos analizado a un tercer procesador que operaba en múltiples jurisdicciones, incluida Canadá, así como a organizaciones con sede en Canadá que dependían de este procesador para ejecutar varias transacciones de negocios. En todas estas circunstancias pudimos aplicar la PIPEDA.

Como resultado de esta labor, y en respuesta a algunas inquietudes expresadas sobre la forma en que la PIPEDA se aplicaba a los flujos transfronterizos de datos, la OPC publicó en 2009 las Directrices para el procesamiento transfronterizo de datos personales, en las cuales se explica cómo se aplica la PIPEDA a las transferencias de información personal a un tercero, incluidos los terceros que operan fuera de Canadá, para el procesamiento de este tipo de información. Estas directrices describen el enfoque que contempla la PIPEDA para proteger la información personal que se entrega a terceras partes, las obligaciones de la organización y consejos sobre la forma en que las organizaciones pueden mitigar los riesgos potenciales del procesamiento de datos en el exterior.

Opinamos que las personas tienen ciertas expectativas con respecto a las organizaciones, una de las cuales es la transparencia en cuanto al flujo transfronterizo de su información personal. Sin embargo, como se indica en las directrices, la OPC reconoce la complejidad del mundo electrónico y comprende que a menudo resulta imposible para una organización saber con precisión hacia dónde fluye la información mientras está en tránsito. No obstante, la ley no deja lugar a dudas sobre en quién recae la responsabilidad, por lo que la organización debe, en aras de sus propios mejores intereses y los de sus clientes, hacer todo lo posible por proteger esa información. Coincidimos con los muchos participantes que señalaron que una organización no puede, por medio de un contrato, hacer caso omiso de las leyes de una jurisdicción extranjera.

Aunque somos conscientes de las inquietudes tras la sugerencia de que se reforme la PIPEDA para prevenir las transferencias de datos a ciertas jurisdicciones, no creemos que sea esa la respuesta. Como país miembro de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), Canadá aceptó las Directrices de la OCDE que regulan la protección de la privacidad y el flujo transfronterizo de datos personales, que representan el primer conjunto de principios sobre la privacidad convenidos internacionalmente y cuyo objetivo es apoyar tanto la meta de proteger la privacidad de la persona como prevenir cualquier obstáculo indebido, so pretexto de la protección de la privacidad, al libre flujo de datos. La PIPEDA fue en buena medida concebida a semejanza de los principios consagrados en estas directrices de la OCDE, y su intención es alcanzar un equilibrio entre el derecho de la persona a la privacidad y la necesidad de una organización de recopilar, utilizar y divulgar esa información para un propósito apropiado. Hemos sostenido desde hace ya tiempo nuestra posición de que la privacidad no impide la innovación y el progreso económico. El enfoque de organización a organización que subyace en la PIPEDA apoya los flujos transfronterizos y la protección de datos al hacer a las organizaciones responsables de sus prácticas de protección de la información personal. La información es accesible a las autoridades independientemente de donde se encuentre. Sin embargo, como se indica en las directrices, mantenemos nuestra posición de que es menester realizar una evaluación meticulosa del riesgo antes de proceder a llegar a cualquier arreglo que implique transferir datos personales a otras organizaciones que operan a nivel internacional; también pensamos que esta evaluación debe considerar los requisitos jurídicos de la jurisdicción en la que opera el tercer procesador, así como algunas de las condiciones políticas, económicas y sociales y cualquier otro factor de riesgo en esa jurisdicción.

Existen varios tratados y acuerdos entre Canadá y otros gobiernos que podrían llevar al intercambio de información. Con respecto a los convenios de intercambio de información firmados con otras organizaciones, el Consejo del Tesoro publicó recientemente la Guía para la redacción de convenios sobre el intercambio de información personal^{Footnote 52}. Al ser consultada para que diera su opinión sobre este documento, la OPC manifestó su opinión de que era necesario abordar las inquietudes relativas a la privacidad. Pensamos que este documento contribuirá a la gobernabilidad de los datos.

Cuando alguien como Louise interactúa con aplicaciones o programas de la nube, no se trata de tercerización; en este caso, la compañía que recolecta los datos de los usuarios es un controlador de datos. Se ha aplicado la PIPEDA a compañías cuya sede se encuentra en otros países y sobre las cuales se ha determinado que mantienen una conexión sustancial con Canadá^{Footnote 53}.  En última instancia, la OPC estima que la adopción de un enfoque común sobre la privacidad entre las distintas jurisdicciones contribuiría a asegurar la existencia de protecciones de la privacidad y que los negocios cuenten con un conjunto común  de reglas que seguir. A tal efecto, la Oficina ha trabajado arduamente con nuestros homólogos provinciales y territoriales a fin de establecer enfoques congruentes sobre la privacidad para los ciudadanos, los consumidores y las empresas. En el ámbito internacional, seguimos trabajando con otras autoridades de protección de datos en pos de entendimientos mutuos y enfoques comunes, pues consideramos que las empresas necesitan tener uniformidad, algo que los ciudadanos esperan de ellas. Participamos en la formulación de la Resolución de Madrid^{Footnote 54} y apoyamos su aplicación; también hemos participado en el Proyecto de Rendición de Cuentas^{Footnote 55}, el cual ha permitido reunir a un grupo de representantes gubernamentales, empresariales y académicos para trabajar en la formulación del concepto de rendición de cuentas. Participamos en las deliberaciones de la Organización Internacional de Normalización (ISO) para crear y mantener normas y directrices relacionadas con distintos aspectos de la gestión de la identidad, la biometría y la protección de la información personal. Entre los proyectos clave de la ISO destacan la elaboración de normas marco para la gestión de la identidad y la privacidad, así como la definición de requerimientos para futuras normas y directrices que tienen que ver con tecnologías específicas para el mejoramiento de la privacidad.

Con respecto a la observancia, recientemente fuimos aceptados como participantes en el Marco de Observancia Transfronteriza de la Privacidad, acuerdo del Foro de Cooperación Económica Asia-Pacífico (APEC). Este mecanismo establece un proceso en virtud del cual las autoridades participantes pueden comunicarse entre sí en busca de ayuda para la recopilación de pruebas, el intercambio de información sobre una organización o materia objeto de investigación, acciones de cumplimiento de la ley o transferencia de reclamos a otra jurisdicción. La OPC también es miembro de la Red Global de Protección de la Privacidad (GPEN), que se formó en 2010 con los objetivos de: compartir información acerca de problemas y temas, tendencias y experiencias atinentes a la observancia de la privacidad; participar en actividades de capacitación sobre el tema; cooperar en actividades de extensión; entablar diálogos con organizaciones privadas pertinentes sobre asuntos relativos a la observancia de la privacidad y medidas de extensión; y facilitar la observancia transfronteriza eficaz de la privacidad en asuntos específicos mediante la creación de una lista de contactos de las autoridades encargadas de hacer cumplir las leyes de privacidad e interesadas en la cooperación bilateral para realizar investigaciones transfronterizas y tratar asuntos de observancia de las leyes. La GPEN es producto del cumplimiento de una recomendación que formulara la OCDE en 2007 por la que hacía un llamado a los miembros de la organización para que fomentaran el establecimiento de una red informal de autoridades encargadas del cumplimiento de la privacidad.

El proyecto de Ley C-28, conocida como la legislación “anti-spam” (que recibiera el Refrendo Real el 15 de diciembre de 2010), enmienda la PIPEDA para permitir a la OPC compartir información con nuestros homólogos provinciales e internacionales relativa a las prácticas de las organizaciones sobre la información personal. Pensamos que este cambio es fundamental para tratar los problemas de privacidad que surgen de la globalización de la información personal.

Salvaguardias

Todos los comentaristas y participantes afirmaron que la seguridad de los datos es uno de los aspectos más importantes de la computación en la nube. Si bien algunos opinan que la nube plantea ciertos riesgos de seguridad, otros sostienen que puede fortalecer la seguridad si los proveedores pueden usar métodos y tecnologías de protección que las compañías normalmente no utilizarían en sus respectivos centros de datos. Se mencionó que la mayoría de los proveedores de nubes dedica una cantidad considerable de recursos a la protección de la información y la autenticación de los usuarios, así como a la seguridad de los datos en general; una organización destacó que las inversiones que hacen los proveedores de servicios en la nube en personal y prácticas de seguridad benefician a todos los usuarios de la nube. La organización indicó que esta tecnología se ha propagado más rápidamente que la capacidad para formar a los empleados en una gestión adecuada del servicio. Según uno de los comentarios recibidos, el medio de la computación en la nube probablemente sea más seguro que casi todos los medios privados de tecnología de la información.

Una organización dijo que la computación en la nube no aumenta el riesgo de exposición y uso inapropiado de los datos (es lo mismo que con cualquier tercer proveedor de servicios), pero sí aumenta el grado de exposición. Como se indicara anteriormente, la acumulación de datos puede incrementar el atractivo de los centros de datos en la nube para los delincuentes.

Otra organización comentó que la seguridad depende de los controles de seguridad del proveedor de servicios de computación en la nube y el uso que da el cliente al servicio en la nube. La separación de los datos y la limitación del acceso a estos se consideraron herramientas importantes. También se habló de la encriptación, pero un participante resaltó que esa es apenas una herramienta de la estrategia de seguridad. Una organización apoya los esfuerzos por crear prácticas de referencia relacionadas con la privacidad para toda la industria de la nube que en buena medida toman como modelo las prácticas justas de información estipuladas en la PIPEDA. La organización instó a la OPC a tomar en cuenta el trabajo realizado en otras jurisdicciones y este tipo de iniciativas de la industria a la hora de elaborar alguna guía para velar por la uniformidad con los enfoques creados en otras partes.

Se expresó un respaldo general a la formulación de normas de muy alto nivel sobre la seguridad de los datos. Un grupo de promoción de la causa manifestó que debería nombrarse un ente independiente o gubernamental encargado de crear y hacer cumplir esas normas; otros participantes sostuvieron que la cultura de la innovación tecnológica no se presta a la reglamentación y que, en consecuencia, los reglamentos se quedan a la zaga de los avances tecnológicos.

Muchos de los participantes se refirieron a la denuncia obligatoria de las infracciones como un medio útil para arrojar cierta luz sobre las prácticas y mejorar la privacidad y la seguridad. Se mencionó que resulta difícil para las personas el quejarse de prácticas sobre las cuales no saben nada. Muchas personas ni siquiera saben que su información personal se encuentra en la nube, y son las infracciones las que a menudo revelan la situación. Un resultado sumamente positivo de la notificación obligatoria de las infracciones puede ser la transparencia. Los panelistas indicaron que, con la notificación obligatoria de las infracciones, las autoridades tendrán mayor conciencia de lo que está ocurriendo y podrán ofrecer orientación para mejorar las prácticas. Un panelista señaló que quizás debería mantenerse una base de datos de infracciones para permitir a las personas interesadas enterarse de si su información personal se ha visto comprometida. También se mencionó que para ejercer una mayor influencia sobre las prácticas, la Comisaria debería probablemente estar facultada para emitir órdenes.

Escuchamos hablar acerca de los diferentes problemas de seguridad que se presentan en las nubes pública y privada. Con la nube pública, los clientes probablemente tengan menos control sobre la seguridad. Sin embargo, se dijo que la nube privada tiene sus propios problemas, no obstante la “pared” que se levanta entre los datos y el resto de la Internet. Es posible que las personas no quieran que otros, ni siquiera aquellos detrás del muro, tengan acceso a ciertos datos, por lo que estos deberán limitarse a distintas personas.

Se mencionaron los diferentes riesgos de seguridad entre los modelos de consumidores y de empresas. Se comentó que podría trabajarse más con respecto al almacenamiento y la transferencia de datos en el contexto de los consumidores, mientras que a menudo la seguridad se sacrifica en favor de la facilidad de uso y la conveniencia. En contraste, la seguridad es un punto a favor del modelo de empresas, en el cual las expectativas del cliente son altas. Los proveedores de nubes para empresas están al tanto de esto y le confieren prioridad.

Como se detallara en el debate sobre jurisdicción y accesibilidad, las organizaciones que utilizan a un proveedor de nube son responsables de los datos y deben especificar ciertos requisitos, como la ubicación de la información, la capacidad de los proveedores para  subcontratar, cualquier limitación impuesta sobre el acceso a los datos y las auditorías. Un participante comentó que las empresas pueden negociar convenios con los proveedores de servicios de nube, mientras que a los consumidores se tiende a presentarles un paquete de “todo o nada”. Como sostenía un comentarista, si los consumidores fueran tan conscientes de los riesgos de  seguridad como las empresas clientes, los proveedores de servicios de nube para los consumidores tendrían el incentivo de ser más estrictos en materia de seguridad. Pero, como dijera el comentarista, los consumidores “no tienen el lujo de educarse a sí mismos”, por lo que pensaba que podría ser necesario instituir salvaguardias técnicas en el mercado de servicios de nube al consumidor. Algunos comentaristas y participantes dijeron que, en el espacio de los consumidores, los servicios de nube existían desde hace ya tiempo, y que los proveedores de servicios han estado aplicando en él un marco de privacidad.

Una organización reconoció que los proveedores de servicios de nube se diferencian en cuanto a los criterios de seguridad y que esas diferencias son el resultado de diversos factores, como los modelos de negocios e ingresos, clientes consumidores y clientes empresariales o gubernamentales. Si bien pensaba que el contar con enfoques diferentes sobre la seguridad no representa un problema, lo que resulta problemático para esta organización es que las  diferenciaciones que se hacen entre las prácticas de seguridad de los proveedores son virtualmente invisibles.

Durante los debates de los paneles, se argumentó que los consumidores necesitan más y mejor información acerca de todo lo relacionado con la nube, de forma de poder tomar una decisión consciente sobre un proveedor de nube; por su parte, las organizaciones necesitan orientación en cuanto a lo que pueden exigir del proveedor y lo que podrían esperar obtener. Para las empresas muy pequeñas, como es el caso de Louise y su negocio de joyas, los panelistas formularon una serie de consejos. El representante de una compañía se refirió a la forma en que la toma automatizada de decisiones podría ayudar a los pequeños empresarios como Louise. Otros sugirieron que Louise hiciera una pequeña investigación, no sobre la tecnología sino más bien para determinar qué otros negocios similares han utilizado la computación en la nube, qué beneficios obtuvieron y qué riesgos enfrentaron y cómo los mitigaron. Louise debería consultar a amigos de confianza. Se mencionó además que la OPC podría aportar información a las pequeñas y medianas empresas sobre los aspectos que deben considerarse cuando se utiliza a un proveedor de nube.

Observaciones de la OPC

La OPC está de acuerdo con que la seguridad de los datos personales en la nube es de importancia capital. ¿Cómo puede Louise estar segura de que, cuando utiliza los servicios de la nube por razones personales, su información personal está siendo protegida? Cuando Louise utiliza a un proveedor de nube para ayudarle en su negocio, ¿cuál es la mejor manera para ella de conseguir información que le permita tomar la mejor decisión? ¿Puede Louise ser más exigente? ¿Cómo puede saber lo que ha de buscar y lo que debe pedir? Después de todo, Louise tiene obligaciones que cumplir en razón de la PIPEDA para asegurarse de que la información personal de sus clientes está siendo protegida.

Como se comentara en la sección relativa al rastreo, la construcción de perfiles y la focalización en línea, es vital incorporar la privacidad desde el inicio (tanto en el sentido tecnológico como en el sentido del proceso comercial). Se recalcó en los comentarios por escrito y durante los debates de los paneles que la nube puede mejorar la privacidad y la seguridad, lo cual resulta alentador. Coincidimos con los comentarios que escuchamos acerca de la necesidad de establecer normas a nivel de la industria, por lo que animamos resueltamente a que se avance en esta área. La propuesta de enmienda a la PIPEDA que impondría la notificación obligatoria de las infracciones pone de relieve la importancia de la seguridad de la información personal y debería ayudar a las organizaciones que utilizan la tecnología, e incluso a aquellas que la producen, a incorporar mejor la seguridad en la tecnología. Durante los debates, se dijo que cuando la OPC deba proceder a investigar una infracción^{Footnote 56}, recurra a las normas de la industria para poder decidir si debió hacerse más al respecto; esta es otra razón importante para que se formulen estas normas.

Además de las normas, compartimos la opinión de muchos comentaristas y panelistas de que los usuarios y las pequeñas y medianas empresas necesitan más información. También nos hacemos eco del comentario de que los consumidores necesitan orientación en torno a todo lo relativo a la nube, al igual que las organizaciones requieren asesoría sobre lo que deben hacer en la nube.

También es importante orientar a los nuevos proveedores de servicios que están aprovechando las oportunidades que ofrece la rápida generación de productos gracias a la nube. La popularidad y sofisticación de las “aplicaciones” continúan creciendo, pero tienen implicaciones para la privacidad. Un número cada vez mayor de creadores de aplicaciones, agregadores y proveedores de servicios está procesando información personal que los consumidores facilitan directamente o que se recibe de plataformas anfitrionas. Algunos de estos nuevos actores probablemente no cuenten con la experiencia y la motivación necesarias para proteger adecuadamente la privacidad de las personas.

Temas de reflexión propuestos en el proyecto de informe: Salvaguardias

• Durante los debates, escuchamos hablar de la necesidad de establecer normas, por lo que instamos a las organizaciones a formular un conjunto sólido de normas relacionadas con la seguridad de la información personal. También quisiéramos recibir nueva información sobre cualquier trabajo que esté realizándose en Canadá en esta área y sugerencias acerca de cuáles deberían ser los próximos pasos. La OPC se mantiene atenta a todo comentario que la industria quiera hacer sobre esta materia.
• Se hizo la sugerencia de que el gobierno se encargase de formular estas normas. Nos gustaría recibir otros comentarios sobre esa sugerencia
• Oímos hablar de los retos de seguridad en los modelos público y privado de la nube, más no en relación con el modelo híbrido. Invitamos a que se nos hagan llegar comentarios sobre posibles problemas de seguridad que pudieran presentarse con este modelo.

Tomamos debida nota del comentario sobre las facultades de la Comisaria. Actualmente estamos examinando nuestra propia estructura y función como autoridad encargada de la protección de los datos. A tal fin, hemos solicitado un estudio en el cual se analice el contexto económico, jurídico y político general en el que se promulgó la PIPEDA originalmente y se compare con el entorno actual. Parte de este estudio es una comparación de nuestro modelo con los modelos de algunas provincias canadienses y otros países.

Respuesta a los temas de reflexión:

Entre las cinco organizaciones que hicieron comentarios sobre la computación en la nube (una compañía, una asociación de la industria y dos entidades relacionadas con la formulación de normas así como una organización de promoción de la causa se refirió a la computación en la nube, pero no específicamente al establecimiento de normas) se observó un consenso de que es necesario contar con normas. La compañía indicó que favorece la adopción de normas abiertas impulsadas por la industria. La asociación y dos entidades se pronunciaron a favor de los procesos establecidos (que abarcan a los sectores público y privado, la industria y la academia) y sostuvieron que no es necesario que el gobierno emprenda labores aparte para formular normas. Se hicieron aportes sobre el proceso de formulación de normas; existen planes de definir normas relacionadas con la nube, pero no se ha comenzado a trabajar en ello.

New uses, retention

We heard some discussion about function creep. Given the potential to profit from the large datasets they hold, some cloud providers may be tempted to use such information for other purposes. Behavioural advertising, also discussed in the consultations, is an example of how data could be used for other purposes; such a use would affect consumers such as Louise, who interact directly with consumer cloud services. The issue of using Louise's customer information was also discussed. Mention was made of transactional data (data that is created to describe a transaction) or datastreams, and how these could be used. One participant noted that there is a need for better “data hygiene.” Given how inexpensive it is to keep data, there is little incentive to get rid of it and more incentive to do other things with it. In the enterprise model, the contracting organization (e.g., Louise, when acting as an entrepreneur) can put restrictions in place and ensure that consent is obtained prior to data being used in new ways. Two suggestions to address the problem were embedding in their systems restrictions on the kinds of uses that companies may make of collected data, and only collecting the data that is absolutely needed to provide the service; establishing data retention schedules will also be helpful in improving “data hygiene”.

Nuevos usos y retención

Oímos hablar del arrastramiento del alcance. Habida cuenta del potencial de rentabilidad de los enormes conjuntos de datos que poseen, algunos proveedores de nube podrían sucumbir a la tentación de utilizar esa información con otros propósitos. La publicidad conductual, que también se examinó durante las consultas, es un ejemplo de la forma en que podrían utilizarse los datos para tales fines. Estos usos podrían afectar a las personas como Louise, que interactúan directamente con los servicios de nube para los consumidores. También se abordó el problema de usar la información de clientes de Louise. Se hizo referencia a los datos de transacción (los datos que se crean para describir una operación) o las corrientes de datos y cómo puede utilizarse esta información. Un participante dijo que es necesario tener una mejor “higiene de los datos”. En vista de lo barato que resulta mantener los datos, es poco el incentivo para salir de ellos y mayor el atractivo de hacer otras cosas con ellos. En el modelo de empresa, la organización contratante (p. ej., Louise, cuando actúa de empresaria) puede imponer restricciones y asegurarse de que se obtenga el consentimiento antes de proceder a utilizar los datos para otros fines. Dos sugerencias para solucionar el problema incorporaron en sus sistemas restricciones en cuanto a los tipos de usos que las compañías pueden dar a los datos recolectados y recolectar solo los datos que sean absolutamente necesarios para prestar el servicio; además, establecer plazos para la retención contribuirá a mejorar la “higiene de los datos”.

Observaciones de la OPC

La OPC comparte las inquietudes manifestadas por muchos de los comentaristas y participantes acerca de la forma en que podrían utilizarse los datos. La PIPEDA estipula con toda claridad que toda nueva recolección, utilización o divulgación requiere de su propio consentimiento, y que la recopilación de información personal debe limitarse a lo que se necesita. La ley prescribe además que los datos solo podrán retenerse por el tiempo que se requieran. Dado el modelo de rendición de cuentas contemplado en la ley, las organizaciones que contratan los servicios de un proveedor de nube deben imponer ciertas  restricciones y realizar auditorías. La mayor preocupación parece presentarse con el modelo de los consumidores, en el cual la persona parecería tener menos control y donde la transparencia y el consentimiento podrían correr riesgo. También podría resultar problemático para los negocios muy pequeños que no tienen la capacidad para conducir el análisis previo que se requiere antes de proceder a comprometerse con un proveedor de nube. Nuestras solicitudes de aportes adicionales y las acciones que proponemos sobre esta materia figuran en secciones precedentes de este informe.

Acceso a la información personal propia

El tema de cómo pueden las personas tener acceso a su información personal tendió a abordarse en los comentarios por escrito y los debates de los paneles en el marco de la propiedad y la portabilidad. En efecto, se trata de un tema que Louise ha de considerar, ya que ella tiene la obligación hacia sus clientes de brindarles acceso a sus respectivas informaciones personales y permitirles hacer las correcciones pertinentes. ¿Quién es propietario de los datos? ¿Pueden los datos mudarse de sitio? Algunos se preguntaron qué pasa con los datos de Louise si ella quisiera, por ejemplo, dar por terminado el contrato con su proveedor de servicios de datos. ¿Puede recuperar sus datos y asegurarse de que no se utilizarán en el futuro? ¿Cómo puede recuperar esa información en un formato que le resulte útil? Se hizo el comentario de que no existen garantías en cuanto al borrado de los datos o su devolución en un formato útil. Al explicar que muchos de los proveedores de nubes no permiten a los usuarios recuperar o retirar de la nube todos sus datos con facilidad si desean cambiar de proveedor o cancelar servicios, un comentarista opinó que esto busca aumentar los obstáculos y así evitar la partida de los usuarios y abre la puerta a potenciales abusos del poder de mercado y de la información de los usuarios. Esta persona opinó que eliminar las barreras podría aliviar muchas de las potenciales preocupaciones sobre la privacidad.

Observaciones de la OPC

El consentimiento y la posibilidad de tener acceso a la información personal propia y de poder corregirla son prácticas justas en materia de información contenidas en la PIPEDA que permiten a la persona ejercer control sobre su información personal. Las otras prácticas esencialmente protegen esa información y apoyan la capacidad de la persona de ejercer el control. Preocupa a la OPC que no se está facilitando el acceso y la corrección en la Internet, aunque reconocemos que ello puede ser difícil. La tecnología y los modelos de negocios, así como el mero número de actores en juego hacen que resulte sumamente difícil para las personas el enterarse qué información están reteniendo las organizaciones sobre ellas y el corregir cualquier error en los datos. Este es un aspecto que nos preocupa y que tiene que ver con la cuestión de la gestión de la identidad y la reputación de cada cual en línea, así como con la seguridad de la información personal. De contar con mayor información, los usuarios probablemente expresen nuevas inquietudes, pero nosotros opinamos que la industria necesita responder a los problemas de acceso y corrección de la información en línea.

Conclusión

Para Louise y David, la tecnología es principalmente una fuente de distracción y una manera de socializar. Louise saca pleno provecho de las muchas oportunidades que el mundo en línea tiene para ofrecerle, incluso la posibilidad de conducir su negocio. Sin embargo, tiene reservas en cuanto a su información personal y la de su hermano menor, así como por la información de los clientes de su joyería.

Vivir nuestras vidas en el mundo cibernético tiene muchas implicaciones para nuestra privacidad. Cuando navegamos, compramos, actualizamos nuestros datos en sitios de redes sociales o jugamos juegos, dejamos información tras nuestro paso. Es información sobre nosotros y, en algunas ocasiones, sobre otras personas que las organizaciones  pueden utilizar para hacer  supuestos sobre nosotros. Algunos de estos supuestos pueden usarse por  motivos claramente benignos, mientras que otros usos pueden tener consecuencias graves. La seguridad de esta información también es importante; entonces, ¿quién la tiene y qué están haciendo con ella?

El objetivo de las consultas de la OPC a los consumidores en 2010 era aprender más acerca de ciertas prácticas de la industria, explorar las implicaciones de dichas prácticas para la privacidad y conocer qué tipos de protección de la privacidad pueden esperar los ciudadanos canadienses con respecto al rastreo, la construcción de perfiles y la focalización en línea, así como a la computación en la nube. Las consultas buscaban además fomentar el debate acerca del impacto de los adelantos tecnológicos sobre la privacidad y aportar información al futuro proceso de examen de la PIPEDA.

A medida que evoluciona la tecnología, es importante mantener y, donde sea necesario, reforzar el equilibrio entre las necesidades de las empresas y los derechos de las personas a la privacidad. Nos preguntamos si las herramientas con que contamos hoy día serán suficientes para proteger la vida privada en el futuro. No existe una respuesta sencilla.

Nuestras interacciones con la tecnología, sobre todo en el mundo cibernético, están haciendo desaparecer las fronteras entre nuestra vida pública y nuestra vida privada. Nuestros niños también están viéndose afectados; se les está otorgando, en grado creciente, una presencia digital incluso antes de que puedan pronunciar la palabra “no”. La protección de la información personal debe convertirse en un componente clave del alfabetismo digital si queremos continuar valorando nuestra privacidad y la de otros. Será necesario dar un mayor énfasis a la incorporación de la privacidad en la tecnología y los modelos de negocios, de la misma forma que habrá que dedicar mayor atención a la forma en que manejamos nuestras identidades en línea.

Muchos participantes en la consulta opinaron que la PIPEDA está funcionando bien tal como está en la actualidad; otros no se mostraron tan seguros de ello, por lo que ofrecieron sugerencias para fortalecer su marco. En nuestra opinión, si bien la PIPEDA ha podido adaptarse a tecnologías y modelos de negocios que no existían cuando la ley entró en vigor, existen retos que nos causan preocupación.

Se acerca el segundo examen quinquenal obligatorio de la PIPEDA. Tenemos claro que existen desafíos en cuanto a la forma en que esta ley está aplicándose al mundo en línea:

• ¿Cómo se define la información personal? 
• ¿Cómo puede obtenerse el consentimiento válido de forma razonable y clara?
• ¿Cómo pueden las personas tener acceso a su información personal y corregirla en un medio cibernético donde los datos pueden almacenarse y duplicarse de forma indefinida?

En lo atinente a la computación en la nube, la formulación de normas que salvaguarden la información personal es una materia que requiere gran atención. Si de algo ha servido este ejercicio, ha sido para esclarecer ciertas prácticas que en buena medida son invisibles para las personas. El tema de la transparencia en un ambiente de numerosas actividades cuya complejidad técnica escapa a la comprensión de mucha gente es un asunto serio. En efecto, muchas personas entienden poco o nada de cómo puede usarse su información personal. Los puntos planteados en las consultas nos han dejado mucho que considerar a medida que comenzamos a prepararnos para el proceso de examen de la PIPEDA.

Además de velar por el cumplimiento de la ley, tenemos otra importante función que cumplir. En concordancia con nuestra misión de proteger y fomentar los derechos de los canadienses a la privacidad, estamos llevando a cabo actividades específicas para informar mejor a nuestros ciudadanos sobre su privacidad en línea. En este sentido, actualizaremos la información en nuestro sitio web para los padres y maestros, los jóvenes y las pequeñas y medianas empresas sobre cuestiones relacionadas con la privacidad, como las redes sociales, las cookies, la publicidad conductual, los juegos y la computación en la nube. Igualmente, continuaremos nuestra investigación de los enfoques sobre privacidad que responden a algunos de los problemas planteados, entre ellos la mejor manera de informar a las personas sobre las prácticas en este campo, las formas de obtener el consentimiento y cómo gestionar bien la identidad en línea. Estas tareas contribuirán a definir nuestras posiciones de política a medida que avanza la era digital.

Los ciudadanos canadienses necesitan sentir confianza en que pueden adoptar nuevas tecnologías y apoyar la aparición de nuevos negocios sin perder completamente el control sobre su información personal. Las consultas que hiciera la OPC en 2010 son el inicio de nuestra contribución al debate sobre la mejor manera de proteger la privacidad en el siglo XXI.

APÉNDICE A – Resumen de los temas planteados

Rastreo, construcción de perfiles y focalización en línea

Separación entre lo público y lo privado y la reputación

• La OPC quisiera profundizar el debate con otras partes interesadas sobre la gestión de la identidad en línea.
• La OPC insta a la industria a conseguir medios y maneras de ayudar a la caducidad de los datos, tema que con gusto examinaría con mayor detenimiento. La PIPEDA indica con toda claridad que la información personal debería conservarse solo por el tiempo que se necesite.

Los niños requieren atención especial

• La OPC está interesada en recibir comentarios sobre lo que deberían contener las normas de referencia básica relacionadas con la información personal de los niños y cómo pudieran formularse dichas normas. También quisiéramos conocer opiniones acerca del tipo de marco que debería implantarse.

Consentimiento, consentimiento válido y transparencia

• La OPC continuará trabajando con la industria en la definición del mejor enfoque para velar por que las personas den un consentimiento válido a las prácticas comerciales legítimas. Esta podría ser un área en la cual la tecnología puede contribuir a abordar el problema. En tal sentido, nos gustaría recibir comentarios sobre la mejor manera de lograrlo.
• La OPC continuará concentrando sus actividades de extensión en las personas para ayudarles a protegerse mejor cuando están en línea. Esto incluye explorar la mejor manera de ayudar a las personas a centrar su atención en las explicaciones sobre privacidad a su disposición. Recibiríamos con beneplácito cualquier comentario sobre la forma más conveniente de lograr esto.

Otros usos y divulgaciones

• La OPC se complacería en recibir otras opiniones y comentarios sobre las prácticas actuales y futuras de rastreo y construcción de perfiles en línea (distintas de la publicidad conductual) en Canadá.

Computación en la nube

Salvaguardias

• Escuchamos hablar de la necesidad de establecer normas, por lo que instamos a las organizaciones a formular un conjunto sólido de normas relacionadas con la seguridad de la información personal. Quisiéramos recibir nueva información sobre cualquier trabajo que esté realizándose en Canadá en esta área y sugerencias acerca de cuáles deberían ser los próximos pasos. La OPC se mantiene abierta a todo comentario que la industria quiera hacer sobre esta materia.
• Se hizo la sugerencia de que el gobierno se encargase de formular estas normas. Nos gustaría recibir otros comentarios sobre esa sugerencia.
• Oímos hablar sobre los retos de seguridad en los modelos público y privado de la nube, más no en relación con el modelo híbrido. Invitamos a que se nos hagan llegar comentarios sobre posibles problemas de seguridad que pudieran presentarse con este modelo.

Para mayor información

Para consultas generales, sírvase consultar nuestro sitio web en www.priv.gc.ca or call us

Llamadas gratuitas: 1-800-282-1376
Tel: 613-947-1698
TTY/TDDDispositivo de telecomunicación para sordos: 613-992-9190
Fax: 613-947-6850

Estamos en Twitter: @PrivacyPrivee

N° Cat.: IP54-37/2011E-PDF
ISBN: 978-1-100-18396-1

Notas

---