21 julio 2020 – La Oficina del Comisionado de Privacy de Canadá, junta a la Autoridad de Protección de Datos y privacy de todo el mundo, han publicado hoy una letra abierta a las sociedades de videoconferencias recordando sus obligaciones de respeto de la ley y de gestionar las informaciones personales de las personas de manera responsable.
La pandemia de Covid-19 ha llevado a un fuerte absorbimiento en el uso de software de video teleconferencia. Mientras que reconocemos que la videoconferencias es un servicio preciso que permite a todos permanecer en contacto independientemente desde el lugar donde estamos en el mundo, aumenta los riesgos relacionados a la recogida y al uso de las informaciones personales. La facilidad de permanecer en contacto no tiene que perjudicar la protección de los datos personales y de los derechos de privacy.
La letra está destinada a todas la empresas que ofrecen servicios de videoconferencia y ha sido también enviada directamente a Microsoft, Cisco, Zoom, House Party y Google. Ofrece a las sociedades de videoconferencias los principios para ayudarles a afrontar los riesgos y protegerlas mejor las informaciones personales de los usuarios.
La letra abierta ha sido firmada desde seis autoridades de protección conjunta con el grupo de trabajo sobre la cooperación internacional en materia de aplicación de cooperación internacional. Las autoridades signataria son:
- El Comisionado de Privacy de Canadá
- La Oficina del Comisionado de Información del Reino Unido
- La Oficina del Comisionado Australiano de Información
- La Autoridad Reguladora de Gibraltar
- La Oficina del Comisionado de Privacy de Datos Personales, Hong Kong, China.
- El Comisionado Federal de Protección de Datos e Información de Suiza
Introducción
Esta es una letra abierta a las empresas que ofrecen servicios de Video Teleconferencing (VTC). Nos escribimos como un conjunto de la comunidad global de reglamentación, con responsabilidad de protección de los derechos de privacy de los ciudadanos en el mundo.
Preocupaciones sobre la privacy.
El uso de VTC para permanecer en contacto no es nuevo. Pero después de la pandemia de Covid-19, hemos visto un fuerte aumento del uso de VTC para fines sociales sino también empresariales, también en el campo de salud y educación virtual, que pueden llevar a compartición de informaciones particularmente sensibles, de grupos particularmente vulnerables. Este aumento del uso agrava los riesgos existentes con la gestión de las informaciones personales de parte de la sociedad VTC y crea nuevos.
Los informes en los medios y directamente a nosotros como autoridades propostas a la aplicación de la privacy indican en algunos casos la realización de estos riesgos. Esto ha despertado preocupación sobre el hecho de que las medidas tomadas desde las sociedades VTC estén al corriente con el perfil de riesgo en rápido aumento de las informaciones que procesan.
Esta letra
El fin de esta letra abierta es de exponer nuestras preocupaciones y aclarar nuestras expectativas y los pasos que tu tendrías que hacer como sociedad VTC para mitigar los riesgos identificados, y, en fin, garantizar que las informaciones personales de nuestros ciudadanos sean protegidas de acuerdo con las expectativas del público y protestas desde cualquiera dano.
Se puede notar que este es una lista no exhaustiva de los problemas de protección de datos y privacy asociados a VTC. Tiene el intento de recordar algunas de las áreas claves que tienen que ser consideradas dado el major utilizo de los servicios de VTC.
Tu tendrías que revisar regularmente tus opiniones sobre las cuestiones de privacy mediante las evaluaciones de impacto de privacy. Donde los riesgos no pueden ser mitigados, nos esperamos que las organizaciones se consulten con los reguladores de privacy para explicar los riesgos específicos identificados y trabajar mediante posibles soluciones sobre cómo podrían ser tratados.
Los principios:
1. Seguridad
Con las informaciones personales que guían nuestras economías digitales, los ciber-riesgos y las amenazas a la seguridad de datos que están en estado constante de morphing y evolución. Las medidas de seguridad de hoy pueden convertirse en obsoletas y comprometidas desde las amenazas emergentes. La seguridad de los datos es una responsabilidad dinámica y la vigilancia de las organizaciones es fundamental.
Durante la actual pandemia hemos observado algunas preocupantes relaciones de defectos de seguridad en los productos VTC que han llevado a un acceso no autorizado desde un account, files compartidos y llamadas.
En un mundo de conversaciones globales, con informaciones personales privadas que pasan a través de países, pensamos que los proveedores de VTC tendrían que ofrecer algunas garantías de seguridad de serie, que generalmente incluyen: criptografía end-to-end eficaz para todos los datos comunicados, dos autenticaciones basadas sobre factores y password complejas.
Estas medidas de seguridad tendrían que ser tomada en cuenta desde las organizaciones que ofrecen servicio de VTC para los sectores que procesan informaciones sensibles, como los hospitales que ofrecen asesoramiento médico remoto y terapias en linea, o donde la plataforma VTC permite la compartición de file y otros media, además de feed video/audio.
La tuya organización tendría que ser constantemente consciente de los nuevos riesgos y amenazas a la seguridad de la plataforma VTC y ser ágil en su respuesta. Sabemos que tu pides habitualmente a los usuarios de la plataforma de actualizar la versión de la aplicación que han descargado, para garantizar que sean actualizados con las últimas mejoras de seguridad.
Particular atención debe prestarse a garantizar que las informaciones sean adecuadamente protegidas cuando son procesadas desde terceras personas, también en diferentes países.
2. Privacy by design y privacy by default.
Si la protección de los datos y la privacy son solo dudas en la proyectación y en la experiencia del usuarios de una plataforma VTC, aumenta la probabilidad que tu no puedas cumplir con las expectativas de tus usuarios para hacer respetar tus derechos. Por ejemplo, hemos visto este manifestarse en informes bien documentados de una aspectada intrusión de terceras parte en las llamadas.
Es necesario asegurarse de adoptar un enfoque de proyectación de privacy al servicio VTC. Esto significa rendir la protección de datos y la privacy parte integrante de los servicios ofrecidos al cliente. Considerar siempre, como punto de partencia, las informaciones más sensibles que podrían ser potencialmente compartidas en la propia plataforma y adoptar las configuraciones más respectos de privacy predefinidas (como el principio de privilegio mínimo en la seguridad informática). Las personas que utilizan tu plataforma para conversaciones o compartición de contenidos más o menos sensibles pueden regular estas importaciones basándose en sus exigencias.
Medidas sencillas para lograr este objetivo incluyen:
creación de configuraciones predefinidas conscientes de la privacy que sean importantes y fáciles de utilizar, incluida la implementación de controles de acceso avanzados como predefinidos, aviso claro de nuevos llameantes y configuraciones de sus feed video/audio como mudas en la entrada;
implementar funcionalidad que permitan a los usuarios empresariales de obtemperar a sus obligaciones en materia de privacy, incluida las funcionalidad que permiten obtener el consentimiento de otros usuarios; y minimizar las informaciones personales o los datos adquiridos, utilizados y divulgados desde el producto solo a los que son necesarios para ofrecer el servicio.
Los proveedores de VTC tendrían que adoptar una evaluación de impacto sobre la privacy para identificar el impacto de sus práctica de gestión de las informaciones personales de privacy de las personas e implementar estrategias para gestionar, minimizar o eliminar los riesgos.
3. Conocer tu público.
Durante la pandemia de Covid-19, hemos visto muchos ejemplos de plataformas VTC implementadas en contexto por los cuales no habían sido designadas. Esto puede crear nuevos riesgos que podrían no ser previstos antes de la crisi actual.
Por esto, es mejor asegurarse de revisar y determinar los entornos y los usuarios nuevos y diferentes desde la propia plataforma VTC después de la pandemia. Esto es muy importante cuando se habla de niños, grupos vulnerables y contexto en el cual es probable que las discusiones en las llamadas sean particularmente sensible (en la instrucción y en la sanidad, por ejemplo), o cuando se opera en jurisdicciones en las cuales los derechos humanos y las cuestiones de libertad podrán crear además riesgos a las personas que interactúan con la plataforma.
Considera cuales son la protección de datos, la privacy y los requisitos para todos los contextos en los cuales tu plataforma está actualmente en uso e implementa las medidas y las garantías apropiadas de consecuencia.
4. Transparencia y equidad.
Después de numerosas violaciones de privacy en alto perfil en los últimos años, hay una mayor conciencia y expectativas de la comunidad sobre cómo las organizaciones gestionan las informaciones personales y utilizan los datos en la economía de hoy, digital y global. Esto no es diferente desde cuando se trata de plataformas VTC. No ser capaz de decir a las personas cómo se utilizan sus informaciones y no considerar si esto que tu estas haciendo es esperado y equo, puede llevar a una violación de la ley y de la confianza de tus usuarios.
Tendría que ser informado sobre cuáles informaciones recoges, como tu las utilizas, con quien las compartes (incluidos los encargados en otros países) y porque – si no también no se considera la recogida, el uso o la compartición de esta informaciones como particularmente significativo para ti, es importante que su uso sea comunicado honestamente al cliente en cada momento. Es particularmente vero cuando es improbable que podamos esperar desde lo que se hace con las informaciones de las personas que no serían consideradas un fin principal del servicio VTC. Estas informaciones tendrían que ser ofrecidas de modalidad proactiva, ser fácilmente accesibles y no simplemente enterradas en una informativa de privacy.
Donde se solicita el consentimiento del usuario sobre el tratamiento de las informaciones personales, es necesario asegurarse que este consentimiento sea específico y informado.
Considera como las eventuales modificaciones aportadas a las versiones futuras de las plataformas influirán lo dicho arriba. Evaluar sus impacto y evaluar si es importante sensibilizar a los usuarios a estos cambios. Esto permitirá a ellos tomar decisiones informadas sobre cómo utilizar la plataforma para seguir adelante.
5. Control del usuario final.
Los usuarios finales tienen a menudo pocas opciones sobre el uso de un servicio VTC si una determinada plataforma ha sido adquirida o utilizada exclusivamente en un determinado puesto de trabajo, en la escuela o en otro entorno. Algunas de las nuevas funcionalidades de las plataformas VTC pueden aumentar el riesgo de control escondido o imprevisto.
Mientras las empresas y las instituciones que utilizan tu plataforma VTC tienen la propia protección de datos, privacy y consideraciones legales y éticas más amplia en tomar las decisiones sobre el uso de las funcionalidades de control, tendría que tomar tus medidas para garantizar que los usuarios finales de tu servicio sean autorizadas teniendo informaciones y control adecuado.
Por ejemplo, si ofrece una plataforma VTC que permite al host recopilar datos de ubicación, realizar un seguimiento de la interacción o la atención de los participantes, o registrar o crear transcripciones de llamadas, debe asegurarse de que el uso de estas características se indique claramente a los de la llamada cuando se activan (a través de iconos y ventanas emergentes, por ejemplo). Siempre que sea posible, también debe incluir un mecanismo para que los usuarios finales decidan no compartir esa información, por ejemplo, a través de la exclusión voluntaria, teniendo en cuenta que los mecanismos de suscripción podrían ser más apropiados en determinados casos.
Resumen
Reconocemos que las empresas de VTC ofrecen un servicio valioso que nos permite a todos permanecer conectados independientemente de dónde estemos en el mundo; algo que es especialmente importante en medio de la actual pandemia de Covid-19. Pero la facilidad de mantenerse en contacto no debe hacerse a expensas de los derechos de protección de datos y privacidad de las personas.
Los principios de esta carta abierta establecen algunas de las áreas clave en las que centrarse para garantizar que su oferta de VTC no solo cumpla con la protección de datos y la ley de privacidad en todo el mundo, sino que también ayuda a generar la confianza y la confianza de su base de usuarios.
Acogemos con beneplácito las respuestas a esta carta abierta de las empresas de VTC, antes del 30 de septiembre de 2020, para demostrar cómo están teniendo en cuenta estos principios en el diseño y la prestación de sus servicios. Las respuestas se repartirán entre los signatarios conjuntos de esta carta.