Archivo de la etiqueta: Derecho a la intimidad

Los datos de los usuarios de la British Library robados en el ciberataque se ofrecen en un sitio de subastas en la dark web por 600.000 libras esterlinas

Lyon, J. (2023, noviembre 21). Data stolen from the British Library is being auctioned for bitcoin on the dark web. Protos. https://protos.com/data-stolen-from-the-british-library-is-being-auctioned-for-bitcoin-on-the-dark-web/

La British Library, se enfrenta a una crisis cibernética tras un ataque de ransomware. Aunque el edificio y los libros físicos permanecen, el acceso a la información y la conexión entre lectores y materiales se ha visto comprometida. Este incidente destaca la fragilidad de las instituciones que nos conectan y protegen, subrayando la importancia del trabajo que hacen posible.

En Halloween de 2023, la Biblioteca Británica (BL) de Londres sufrió un ciberataque masivo, que dejó su presencia en la web inexistente, su acceso a las colecciones desactivado e incluso su wifi colapsó. El ciberataque también puso en manos de un tercero los datos personales de los usuarios y del personal de la BL. Durante la última semana de noviembre, se presentaron imágenes de los datos robados para su subasta en la web oscura, a la venta a quien estuviera dispuesto a pagar 20 bitcoin, o unas 600.000 libras esterlinas. Al convertir la infraestructura digital de la biblioteca en una mercancía (en un mercado abierto, aunque oscuro), una «banda de ransomware» autodenominada Rhysida espera presionar a la Biblioteca Británica para que pague primero. Los datos privados, que incluyen detalles de pasaportes y documentos de empleo de HMRC. Según The Register, el grupo de ransomware detrás del ataque, Rhysida, ya ha recibido una oferta inicial de 20 bitcoins, con un valor aproximado de $745,000. TechCrunch también afirma que Rhysida amenazó con publicar los datos a menos que se pagara un rescate por parte de la Biblioteca Británica. Un asesor de ciberseguridad global de ESET le dijo a The Register que Rhysida probablemente «no ha recibido el rescate» y «ahora está llevando a cabo la siguiente fase del ataque amenazando con liberar los datos».

«Con solo 7 días en el reloj, aprovecha la oportunidad para ofertar por datos exclusivos, únicos e impresionantes», dice el anuncio de Rhysida. «Abre tus billeteras y prepárate para comprar datos exclusivos. Vendemos solo a una mano, sin revender, serás el único propietario».

La Biblioteca Británica reveló por primera vez las interrupciones a fines de octubre antes de confirmar que fue víctima de un ataque de ransomware el 14 de noviembre. El ataque causó varias interrupciones técnicas importantes, incluida la inutilización del sitio web de la biblioteca. Actualmente, el sitio aún está fuera de servicio, y la biblioteca está publicando actualizaciones en X (anteriormente Twitter).

Esta semana, afirmó: «No tenemos evidencia de que los datos de nuestros usuarios hayan sido comprometidos». Dijo que cualquier persona con una cuenta de la Biblioteca Británica que use una contraseña compartida con otras cuentas debería cambiar esa contraseña en todas partes.

El ataque de ransomware ha expuesto la vulnerabilidad de la institución y sus personas, quienes están dedicadas a proporcionar el derecho humano básico a la información. En última instancia, el incidente destaca que cualquier intento de cuantificar el valor del conocimiento en cualquier moneda, ya sea bitcoin u otra, fracasará. La historia sirve como recordatorio de la fragilidad de las instituciones que nos conectan y protegen, así como de la importancia del trabajo que hacen posible.

Los libros electrónicos se están convirtiendo rápidamente en herramientas de vigilancia de los lectores

Bounds, Lia Holland and Jade Pfaefflin. 2023. «E-Books Are Fast Becoming Tools of Corporate Surveillance». Fast Company. 12 de diciembre de 2023. https://www.fastcompany.com/90996547/e-books-are-fast-becoming-tools-of-corporate-surveillance.

Mientras Internet Archive apela una decisión judicial que bloquea alternativas a las licencias de libros digitales sujetas a vigilancia, un nuevo informe revela que la editorial más grande del mundo puede estar vendiendo datos personales íntimos de sus lectores al mejor postor.

Tres de cada diez estadounidenses leen libros digitales. Ya sea que estén accediendo a libros de texto en línea o consultando el último e-book más vendido de la biblioteca pública, la mayoría de estos lectores están sujetos tanto a la codicia de las grandes editoriales como a las prioridades de las grandes empresas tecnológicas. De hecho, Kindle de Amazon tenía el 72% del mercado de lectores electrónicos en 2022. Y si hay algo que sabemos sobre las grandes empresas tecnológicas como Amazon, su verdadero producto no es el libro, sino los datos del usuario.

Las principales editoriales están dando carta blanca a las grandes empresas tecnológicas para observar lo que lees y dónde, incluyendo libros sobre temas sensibles, como si tomaras un libro de autocuidado después de un aborto. Peor aún, las corporaciones tecnológicas y editoriales están recogiendo datos más allá de tus hábitos de lectura; hoy en día, no hay leyes federales que los detengan de vigilar a personas que leen libros digitales en todo Internet.

La vigilancia de los lectores es una amenaza profundamente interseccional, según una carta del Congreso emitida la semana pasada por una coalición de grupos cuyos intereses abarcan derechos civiles, contra la vigilancia, contra la prohibición de libros, justicia racial, justicia reproductiva, LGBTQ+, inmigrantes y antimonopolio. La carta insta a los legisladores federales a investigar los daños del poderoso control de las corporaciones tecnológicas y editoriales sobre el acceso a libros digitales.

Esta investigación es un primer paso esencial para revivir el derecho a leer sin temor a que tus intereses se utilicen en tu contra. Porque, lamentablemente, ese derecho está en cuidados intensivos cuando se trata de libros digitales.

En este momento, hay un esfuerzo concertado por parte de legisladores antiaborto y vigilantes para descubrir quiénes están obteniendo o apoyando un aborto, y los recolectores de datos ya han sido demandados por compilar datos de visitantes a centros de salud reproductiva. Pero aún no hay protecciones federales significativas de la privacidad de los datos para detener el flujo de datos personales íntimos.

Amenazas al estilo de «1984» tejidas en la vida cotidiana de las personas son particularmente insidiosas. La persona promedio que busca un aborto no sabe cómo navegar de manera segura en un estado de vigilancia, y saber que pueden estar siendo vigiladas lleva a que las personas no accedan a la atención reproductiva o de aborto que necesitan, que no busquen el apoyo mental y emocional que requieren y que pospongan la atención hasta más avanzado en un embarazo no deseado. Todas estas elecciones ponen en peligro a la persona embarazada.

En la era de la inteligencia artificial, la capacidad para analizar datos detallados de manera insondable sobre individuos, crear informes e inferencias sobre esas personas y usar todo eso para entrenar modelos de IA está mejorando constantemente. Los incentivos para explotar los datos de los lectores son los más fuertes que jamás hayan sido.

Las grandes editoriales claramente no ven más que signos de dólar mientras aplicaciones como Hoopla recogen datos vinculados a la identidad de los lectores. Entonces, sería natural depositar nuestra esperanza en las bibliotecas públicas, que ven la privacidad del usuario como un derecho fundamental esencial para una democracia funcional. En la comunidad de derechos humanos, la resistencia de las bibliotecas contra la vigilancia gubernamental bajo la Ley PATRIOT es legendaria.

Desafortunadamente, las grandes editoriales han demandado para evitar que las bibliotecas presten libros digitales libres de vigilancia, ganando un fallo en un tribunal inferior que la organización sin fines de lucro Internet Archive apelará antes de que termine el año. A menos que ese fallo sea anulado o se aprueben nuevas leyes, las bibliotecas no tienen otra alternativa que licenciar libros digitales que probablemente estén llenos de programas espías.

Sabemos menos sobre la vigilancia en las bibliotecas públicas porque, según un informe de noviembre de la Coalición de Publicaciones Académicas y Recursos Académicos, las grandes editoriales han sido cada vez más astutas en cuanto a privacidad y vigilancia en sus contratos con las bibliotecas. Esto es un juego directo del manual del Sillicon Valley: ocultar mal comportamiento con enlaces externos no responsables o acuerdos de no divulgación que prohíben a las bibliotecas advertir a sus usuarios.

Sin leyes para detenerlos, es razonable esperar que aplicaciones populares de bibliotecas como Hoopla y Libby estén ocultando un comportamiento similar detrás de cortinas legales. Ya se ha documentado bien lo absurdo de la recopilación de datos de Amazon Kindle y es una fuente del poder monopsonístico general de Amazon en el mercado de libros.

Con las bibliotecas enfrentando la aniquilación legal desde todos los lados si intentan crear espacios libres de vigilancia para libros digitales, el futuro de la lectura está en la última hora. Los legisladores deben lanzar de inmediato una investigación para proteger no solo a los pacientes de aborto, sino a todos los lectores en todo el país.

Principios para unas tecnologías de IA generativa responsables, fiables y que protejan la intimidad

Canada, Office of the Privacy Commissioner of. 2023. «Principles for Responsible, Trustworthy and Privacy-Protective Generative AI Technologies». 7 de diciembre de 2023. https://www.priv.gc.ca/en/privacy-topics/technology/artificial-intelligence/gd_principles_ai/.

En el contexto general de los avances continuos en las tecnologías de inteligencia artificial, una versión de la tecnología ha experimentado un desarrollo particularmente rápido, una proliferación de casos de uso y un aumento en la adopción en los últimos tiempos: la inteligencia artificial generativa. La inteligencia artificial generativa es un subconjunto del aprendizaje automático en el que los sistemas se entrenan en conjuntos masivos de información, a menudo incluyendo información personal, para generar contenido como texto, código informático, imágenes, video o audio en respuesta a una solicitud del usuario. Este contenido es probabilístico y puede variar incluso en respuesta a múltiples usos de solicitudes similares.

Las autoridades en múltiples campos en todo el mundo están reconociendo los riesgos potenciales planteados por esta tecnología, como se evidencia en la declaración conjunta de las autoridades de protección de datos y privacidad del G7 en junio de 2023 sobre las tecnologías de inteligencia artificial generativa, la Declaración de los líderes del G7 en noviembre de 2023 que incluyó principios rectores y un código de conducta para organizaciones que desarrollan sistemas de inteligencia artificial avanzados, y la resolución de la Asamblea Global de Privacidad en octubre de 2023 sobre sistemas de inteligencia artificial generativa. El Comisionado de Privacidad de Canadá (OPC) y sus homólogos en Columbia Británica, Quebec y Alberta también tienen una investigación abierta relacionada con un servicio específico de inteligencia artificial generativa. Las autoridades de privacidad de todo el mundo han instado recientemente a las organizaciones a ejercer gran precaución antes de recopilar información personal «accesible públicamente», que aún está sujeta a leyes de protección de datos y privacidad en la mayoría de las jurisdicciones. Esta práctica es común al entrenar sistemas de inteligencia artificial generativa. Las autoridades de privacidad también han estado trabajando con sus homólogos en campos relacionados, como los comisionados de derechos humanos, para pedir fuertes salvaguardias que aseguren que los sistemas de inteligencia artificial sean seguros, protectores de la privacidad, transparentes, responsables y afirmativos de los derechos humanos .

Si bien las herramientas de inteligencia artificial generativa pueden plantear riesgos novedosos para la privacidad y plantear nuevas preguntas e inquietudes sobre la recopilación, uso y divulgación de información personal, no se encuentran fuera de los marcos legislativos actuales. Las organizaciones que desarrollan, proporcionan o utilizan inteligencia artificial generativa tienen la obligación de garantizar que sus actividades cumplan con las leyes y regulaciones de privacidad aplicables en Canadá. Las organizaciones también deben reconocer que, para construir y mantener una sociedad digital en la que la innovación sea socialmente beneficiosa y la dignidad humana esté protegida, el desarrollo y uso de la inteligencia artificial deben ser responsables y confiables.

En este documento, se identifican consideraciones para la aplicación de los principios clave de privacidad a las tecnologías de inteligencia artificial generativa. Reconocemos que la inteligencia artificial generativa es un campo emergente y que nuestra comprensión de ella evolucionará con el tiempo. Los comisionados de privacidad federales, provinciales y territoriales de Canadá continuarán explorando este tema complejo y pueden proporcionar orientación u otros recursos a medida que aprendamos más sobre la tecnología y sus riesgos potenciales, incluso a medida que se completen investigaciones formales relacionadas con la tecnología.

Las obligaciones bajo la legislación de privacidad en Canadá variarán según la naturaleza de la organización (si se encuentra en el sector privado, de la salud o público) y las actividades que realice. Como tal, aunque utilizamos «debería» a lo largo de este documento, muchas de las consideraciones enumeradas serán necesarias para que una organización cumpla con la ley de privacidad aplicable. Las organizaciones son responsables de comprender y cumplir con estas leyes. También señalamos que los principios establecidos a continuación no reflejan exhaustivamente todos los requisitos de cumplimiento bajo las leyes de privacidad y otras leyes y no vinculan a investigaciones o fallos específicos llevados a cabo por los comisionados federales, provinciales o territoriales de privacidad de Canadá, según las circunstancias individuales de cada caso.

El documento tiene como objetivo ayudar a las organizaciones que desarrollan, proporcionan o utilizan inteligencia artificial generativa a aplicar los principales principios de privacidad canadienses. Para este documento, utilizamos la siguiente terminología:

Desarrolladores y Proveedores: Individuos u organizaciones que desarrollan (incluido el entrenamiento) modelos básicos o sistemas de inteligencia artificial generativa, o que ponen dichos servicios en el mercado. En resumen, aquellas organizaciones que determinan cómo opera un sistema de inteligencia artificial generativa, cómo se entrena y prueba inicialmente, y cómo puede utilizarse.

Organizaciones que utilizan inteligencia artificial generativa: Organizaciones (o individuos que actúan en nombre de una organización) que utilizan un sistema de inteligencia artificial generativa como parte de sus actividades. Esto podría incluir usos dirigidos al público (por ejemplo, un chatbot basado en inteligencia artificial generativa para interactuar con clientes) o uso privado (por ejemplo, el uso de inteligencia artificial generativa como parte de un sistema de toma de decisiones). Las organizaciones que ajustan un modelo básico para un propósito específico (como al entrenarlo aún más en un conjunto de datos propio de la organización) están incluidas en esta categoría.

Una organización puede cambiar entre roles o desempeñar múltiples roles al mismo tiempo. Las actividades realizadas (incluida la recopilación, el uso o la divulgación de información personal) por una organización también variarán dentro de cada grupo. Sin embargo, la división en «desarrolladores y proveedores» y «organizaciones que utilizan inteligencia artificial generativa» es una forma útil de examinar la aplicación de los principios de privacidad a múltiples elementos del ecosistema de inteligencia artificial generativa.

Para mayor claridad, estos principios se centran en la legislación y regulación de privacidad, y cómo pueden aplicarse a las organizaciones. Sin embargo, reconocemos que las personas u organizaciones pueden tener más obligaciones, restricciones o responsabilidades según otras leyes, regulaciones o políticas.

Un estudio muestra las dificultades para proteger la intimidad de los usuarios de bibliotecas

Wang, Tian, Chieh-Li Chin, Christopher Benner, Carol M. Hayes, Yang Wang, y Masooda Bashir. 2023. «Patron Privacy Protections in Public Libraries». The Library Quarterly 93 (3): 294-312. https://doi.org/10.1086/725069.


Los bibliotecarios, históricamente defensores de la privacidad de los usuarios, enfrentan desafíos diversos para salvaguardar la privacidad, especialmente influenciados por el tamaño de la biblioteca y los avances tecnológicos, según revela el primer estudio sobre prácticas de privacidad en bibliotecas públicas. Liderado por Masooda Bashir, profesora de ciencias de la información y ciberseguridad en la Universidad de Illinois en Urbana-Champaign, el estudio incluyó una encuesta en línea a más de 800 empleados de bibliotecas, principalmente de bibliotecas pequeñas. Los hallazgos destacaron que las bibliotecas más grandes con más titulares de tarjetas estaban mejor equipadas para la protección de la privacidad, mientras que las bibliotecas rurales a menudo carecían de recursos.

A pesar del compromiso compartido con la privacidad, los desafíos incluyeron una capacitación insuficiente y conocimientos técnicos entre el personal de la biblioteca, lo que dificultaba la identificación y mitigación de vulnerabilidades de privacidad. Durante la pandemia de COVID-19, las preocupaciones aumentaron con la expansión de los servicios en línea, introduciendo posibles riesgos de privacidad cuando las bibliotecas utilizan servicios digitales de proveedores. Surgieron problemas cuando los usuarios pasaban del sitio web de una biblioteca al sitio de un proveedor, con posibles protecciones de privacidad que no se extendían.

El estudio resaltó que, aunque las medidas básicas de privacidad eran comunes, existían lagunas en la capacitación de empleados, la publicación de información relacionada con la privacidad para los usuarios y los planes documentados para manejar violaciones de datos. Específicamente, algunas bibliotecas, especialmente las más pequeñas, dependían únicamente de las redes sociales para su presencia en línea, planteando preocupaciones de privacidad debido a las prácticas de recopilación de datos.

Además, se señaló la ausencia de leyes integrales de privacidad en los Estados Unidos, a diferencia de la Unión Europea, como un desafío. Los usuarios de computadoras de bibliotecas a menudo exponen inadvertidamente información personal al buscar ayuda, lo que afecta especialmente a grupos socioeconómicos más bajos. Reconociendo la vulnerabilidad de estas poblaciones, Bashir enfatizó la importancia de protecciones de privacidad personalizadas.

Aunque la Asociación de Bibliotecas de Estados Unidos ofrece pautas para preservar la privacidad, la conciencia entre los bibliotecarios no es universal. El grupo de investigación de Bashir tiene como objetivo desarrollar herramientas para que los bibliotecarios detecten vulnerabilidades tecnológicas, facilitando la formulación de políticas de privacidad y mejores prácticas para bibliotecas con recursos limitados.

En conclusión, Bashir sugirió aprovechar la tecnología tanto para crear desafíos como para encontrar soluciones, enfatizando la necesidad de una mayor conciencia, capacitación y políticas de privacidad integrales en el cambiante panorama de bibliotecas centradas en lo digital.

Cuidado con los datos: proteger la privacidad y la seguridad de los alumnos

Minding the data: protecting learners’ privacy and security. Unesco, 2022

Texto completo

La pandemia de COVID-19 aceleró enormemente el uso de las tecnologías digitales en la educación. Pero más allá de la respuesta de emergencia, existe una tendencia internacional a explorar cómo la inteligencia artificial y la analítica basada en datos pueden apoyar el aprendizaje, las evaluaciones del aprendizaje y los procesos de planificación de políticas basados en pruebas.

El uso de datos en la educación es un arma de doble filo. Por un lado, ofrecen un enorme potencial para crear valor mejorando las políticas y los programas, impulsando una gobernanza transparente y una mejor gestión de los sistemas educativos, la capacitación de los profesores, las experiencias de aprendizaje personalizadas, la evaluación y la certificación. Por otro lado, la acumulación de datos puede conducir a una concentración de poder económico y político, lo que aumenta la posibilidad de que los datos se utilicen de forma indebida en detrimento de los alumnos.

Esta publicación sostiene que es necesario encontrar un equilibrio entre el uso de la tecnología para avanzar en la transformación educativa y la salvaguarda de la privacidad y los derechos individuales. Se necesitan normas y protocolos adecuados para proteger a los estudiantes y a los profesores, no sólo en las políticas nacionales, sino también a nivel internacional, donde también se requiere la cooperación y los esfuerzos de colaboración para apoyar el aprendizaje de políticas, el intercambio de conocimientos y el entendimiento mutuo.

La UNESCO lanza a través de esta publicación un llamamiento a la comunidad educativa no sólo para que preste cuidadosa atención a la privacidad de los datos en la educación, sino para que tome la iniciativa en estos desarrollos.

El 74% de los usuarios de Facebook no sabe que la plataforma social mantiene una lista de sus intereses y rasgos

Paul Hitlin And Lee Rainie. Facebook Algorithms and Personal Data. Pew Research Center, janaury 16, 2019

Texto completo

Una investigación de Pew revela que el 74% de los usuarios de Facebook no sabía que la plataforma social mantiene una lista de sus intereses y rasgos

La mayoría de los sitios comerciales, desde las plataformas de medios sociales hasta los medios de comunicación y los minoristas en línea, recogen una gran variedad de datos sobre el comportamiento de sus usuarios. Las plataformas utilizan estos datos para ofrecer contenidos y recomendaciones basados en los intereses y rasgos de los usuarios, y para permitir a los anunciantes dirigir los anuncios a segmentos relativamente precisos del público. Pero, ¿hasta qué punto entienden los estadounidenses estos sistemas de clasificación basados en algoritmos y hasta qué punto creen que sus vidas coinciden con lo que se informa sobre ellas? Como ventana a este fenómeno difícil de estudiar, una nueva encuesta del Pew Research Center pidió a una muestra representativa de usuarios de la plataforma de medios sociales más popular del país, Facebook, que reflexionaran sobre los datos que se habían recopilado sobre ellos.

Facebook hace que sea relativamente fácil para los usuarios averiguar cómo el algoritmo del sitio ha categorizado sus intereses a través de una página «Tus preferencias de anuncios». Sin embargo, el 74% de los usuarios de Facebook afirman que no sabían que existía esta lista de sus rasgos e intereses hasta que fueron dirigidos a su página como parte de este estudio.

Cuando se les pregunta con qué precisión creen que la lista les representa a ellos y a sus intereses, el 59% de los usuarios de Facebook dicen que la lista refleja muy (13%) o algo (46%) sus intereses. Mientras tanto, el 27% de los usuarios de Facebook dicen que la lista no los representa con mucha (22%) o ninguna precisión (5%).

Sin embargo, incluso con una mayoría de usuarios que señalan que Facebook evalúa sus intereses con al menos cierta precisión, cerca de la mitad de los usuarios (51%) dicen que no se sienten muy o nada cómodos con que Facebook cree esta lista sobre sus intereses y rasgos. Esto significa que el 58% de las personas a las que Facebook categoriza no se sienten generalmente cómodas con ese proceso. Por el contrario, el 5% de los usuarios de Facebook dice sentirse muy cómodo con la creación de esta lista por parte de la empresa y otro 31% declara sentirse algo cómodo.

Directrices de privacidad de la biblioteca para proveedores

Library Privacy Guidelines for Vendors. ALA, 2021

Texto original

La protección de la privacidad y la confidencialidad de los usuarios ha sido durante mucho tiempo una parte integral de la misión de libertad intelectual de las bibliotecas. El derecho a la libre indagación garantizado por la Primera Enmienda depende de la capacidad de leer y acceder a la información libre del escrutinio del gobierno o de terceros. En su prestación de servicios a los usuarios de las bibliotecas, los bibliotecarios tienen la obligación ética, expresada en el Código de Ética de la Asociación Americana de Bibliotecas y en la Declaración de Derechos de las Bibliotecas, de preservar el derecho a la privacidad de los usuarios y de impedir cualquier uso no autorizado de los datos de los usuarios. Los bibliotecarios y las bibliotecas también pueden tener la obligación legal de proteger los datos de los usuarios de la biblioteca contra la divulgación no autorizada.

Las bibliotecas celebran licencias o acuerdos con terceros proveedores para prestar servicios bibliotecarios a los usuarios y satisfacer las necesidades operativas de la biblioteca. Entre los proveedores externos se encuentran los proveedores de contenidos digitales, los facilitadores de programas e incluso otras bibliotecas, como un consorcio. En el transcurso de la provisión de software, hardware o servicios, la mayoría de los proveedores externos recopilan y utilizan los datos de los usuarios de las bibliotecas por diversas razones, como el análisis y la segmentación de los consumidores, la personalización, la gestión de derechos digitales y el desarrollo de colecciones digitales. Las bibliotecas y los proveedores deben trabajar juntos para garantizar que los contratos y las licencias que rigen la recopilación, el procesamiento, la divulgación y la retención de los datos de los usuarios de la biblioteca reflejen la ética, las políticas y las obligaciones legales de la biblioteca en relación con la privacidad y la confidencialidad de los usuarios.

Elección de un proveedor de terceros

Cuando las bibliotecas inician la búsqueda de un producto o servicio, hay varias formas en las que las bibliotecas se dirigen a los proveedores sobre sus prácticas de privacidad. Las bibliotecas deben incluir requisitos y preguntas sobre privacidad para el proveedor en su solicitud de propuesta (RFP) o proceso de licitación similar. Los requisitos y las preguntas pueden incluir qué datos se recopilan, cómo se recopilan y almacenan los datos, cuánto tiempo se almacenan los datos con el proveedor, y si los datos se comparten con otros terceros y cómo.

Las bibliotecas que solicitan ofertas a los proveedores también deben hacer preguntas a lo largo del proceso de búsqueda relacionadas tanto con el servicio/producto como con las políticas y prácticas del proveedor en torno a la privacidad y seguridad de los datos. Si el servicio o producto no cumple con un requisito de privacidad indicado en la solicitud de propuestas, las bibliotecas deben preguntar a los proveedores sus planes para cumplir con ese requisito. Las bibliotecas deben preguntar cómo cuida el proveedor las violaciones de datos, así como los informes de las bibliotecas o de los usuarios sobre la posible vulnerabilidad del servicio o del producto.

Acuerdos, propiedad de los datos del usuario y requisitos legales

Los acuerdos entre las bibliotecas y los proveedores deben abordar las restricciones apropiadas sobre el uso, la agregación, la retención y la divulgación de los datos de los usuarios, en particular la información sobre los menores. Los acuerdos entre las bibliotecas y los proveedores también deben especificar que las bibliotecas conservan la propiedad de todos los datos de los usuarios y que el proveedor se compromete a respetar las políticas de privacidad y de retención y seguridad de datos de la biblioteca.

Se recomienda encarecidamente a los proveedores que apliquen los principios de privacidad por diseño, es decir, que los productos y servicios deben tener las cuestiones de privacidad «incorporadas, no atornilladas». Si los productos que se comercializan actualmente no tienen en cuenta estas directrices de privacidad, los vendedores deberían incorporarlas en futuras actualizaciones. Además, los acuerdos entre las bibliotecas y los proveedores deberían reflejar e incorporar las restricciones sobre la posible difusión y uso de los registros y datos de los usuarios de la biblioteca impuestas por la legislación local, estatal y federal.

Menores de edad

Los derechos de los menores varían de un estado a otro, y las responsabilidades legales y la posición del personal de la biblioteca con respecto a los usuarios menores difieren sustancialmente en las bibliotecas escolares, universitarias y públicas. Por lo general, el derecho de un menor a mantener la privacidad de sus registros en la biblioteca se regirá por el estatuto de confidencialidad de la biblioteca de un estado; sin embargo, en las instituciones educativas públicas, la Ley de Derechos Educativos y Privacidad de la Familia (FERPA) también determina la confidencialidad y la divulgación de los registros de la biblioteca de los menores.

Los proveedores que permiten a los menores de 13 años acceder a sus plataformas deben cumplir la Ley federal de protección de la privacidad de los niños en línea (COPPA) y cualquier otra legislación estatal o federal relativa a la recopilación y el intercambio de datos de los menores. Las bibliotecas deben establecer políticas de privacidad claras junto con las agencias locales, estatales y federales que detallen cómo y qué datos sobre los menores se recopilan y comparten con los proveedores y las escuelas.

Políticas de privacidad claras

Las políticas de privacidad deben ser fácilmente accesibles y comprensibles para los usuarios. Para salvaguardar la privacidad de los usuarios es necesario que éstos sepan qué información se recoge sobre ellos, durante cuánto tiempo se almacena, quién tiene acceso a ella y en qué condiciones, y cómo se utiliza. Debe haber una forma de notificar activamente a los usuarios en curso cualquier cambio en las políticas de privacidad del proveedor.

Consentimiento del usuario

El proveedor debe ofrecer a los usuarios opciones sobre la cantidad de información personal que se recopila de ellos y cómo se puede utilizar. Los usuarios deben tener la opción de optar por cualquier recopilación de datos que no sea esencial para las operaciones de la biblioteca y la oportunidad de optar de nuevo en cualquier momento futuro. Toda recopilación de datos no esenciales debería estar desactivada por defecto. En todas las áreas de la biblioteconomía, las mejores prácticas dejan a los usuarios el control de tantas opciones como sea posible en relación con su privacidad.

Acceso a los datos personales

Los usuarios deben tener derecho a acceder a su propia información personal y a corregir la información incorrecta. La verificación de la exactitud ayuda a garantizar que los servicios del proveedor que dependen de la información personal del usuario puedan funcionar correctamente. La orientación sobre cómo el usuario puede acceder a sus datos personales debe ser clara y fácil de encontrar. Los usuarios también deben tener la posibilidad de descargar sus datos personales en un formato de archivo abierto, como CSV, para su propio uso.

El acceso a la información personal debe estar restringido al usuario, al proveedor y a los trabajadores de la biblioteca, según sea necesario para la prestación de servicios y la administración de la biblioteca, y debe ajustarse a las leyes estatales aplicables que abordan la confidencialidad de los registros de la biblioteca, así como a otras leyes locales, estatales y federales aplicables.

Los proveedores deben tener la práctica de borrar los datos de los usuarios cuando se les solicite. Los datos deben ser purgados de los discos duros y servidores, no sólo ocultados a la vista.

Integridad y seguridad de los datos

Siempre que se recojan datos de usuarios, las bibliotecas, los proveedores y cualquier subcontratista deben tomar medidas razonables para garantizar la integridad y la seguridad, incluido el cumplimiento de los requisitos legales aplicables.

  • Seguridad: La seguridad implica medidas de gestión y técnicas para proteger contra la pérdida y el acceso no autorizado, la destrucción, el uso o la divulgación de los datos. Las medidas de seguridad deben integrarse en el diseño, la implementación y las prácticas cotidianas de todo el entorno operativo del proveedor como parte de su compromiso continuo con la gestión de riesgos. El proveedor debe buscar el cumplimiento de las normas de ciberseguridad publicadas por organizaciones como el Instituto Nacional de Normas y Tecnología (NIST).
  • Encriptación: El uso de la encriptación de datos ayuda a mejorar la seguridad. Todas las transacciones en línea entre las aplicaciones de los clientes (navegadores web, aplicaciones móviles, etc.) y las aplicaciones de los servidores deben estar cifradas. Además, cualquier dato del usuario alojado por el proveedor fuera de las instalaciones (infraestructura basada en la nube, copias de seguridad en cinta, etc.) debe utilizar un almacenamiento cifrado.
  • Minimización de datos: Los proveedores y las bibliotecas sólo deben recopilar, procesar, retener o divulgar los datos de los usuarios que sean necesarios para un proceso o tarea específicos. La recopilación y/o retención excesiva de datos pone a los usuarios en mayor riesgo en caso de una violación de datos.
  • Anonimización: Los datos utilizados para el análisis de usuarios y otros tipos de análisis deben ser anónimos, eliminando o encriptando la información de identificación personal. Aunque la anonimización de datos es una buena práctica, no es infalible.
  • Conservación: Los datos de los usuarios no deben conservarse a perpetuidad. Los proveedores y las bibliotecas deben establecer políticas sobre el tiempo de conservación de los diferentes tipos de datos y los métodos para destruir de forma segura los datos que ya no son necesarios. Por ejemplo, las cuentas que hayan caducado o estén inactivas durante un tiempo determinado deberían ser purgadas. Las políticas de retención también deben abarcar las copias de archivo y las copias de seguridad. Las bibliotecas deben remitirse a las leyes de retención de registros y a las políticas de los órganos de gobierno.
  • Intercambio de datos: Los datos de los usuarios no deben compartirse con otros proveedores u otros asociados comerciales sin el consentimiento del usuario. La mayoría de las leyes estatales sobre la confidencialidad de los registros de la biblioteca no permiten la divulgación de la información personal identificable de los usuarios de la biblioteca o de los datos sobre su uso de los recursos y servicios de la biblioteca sin el consentimiento del usuario o una orden judicial.
  • Solicitudes gubernamentales: Los proveedores y las bibliotecas deben desarrollar y aplicar procedimientos para atender las solicitudes gubernamentales y de las fuerzas del orden de información personal identificable y datos de uso de los usuarios de la biblioteca. Los proveedores y las bibliotecas deben tener en cuenta una solicitud gubernamental o de las fuerzas del orden sólo si es emitida por un tribunal de la jurisdicción competente que demuestre una buena causa y esté en la forma adecuada. Los proveedores deben informar y consultar a la biblioteca cuando crean que están obligados a divulgar la información de los usuarios de la biblioteca, a menos que la ley se lo impida. El proveedor también debe informar a los usuarios, a través de sus políticas de privacidad, sobre las condiciones legales en las que podría estar obligado a divulgar información personal identificable.
  • Venta, fusión o quiebra de la empresa: En el caso de que un proveedor se venda a otra empresa, se fusione con otra empresa o se disuelva por quiebra, toda la información de identificación personal debe mantenerse bajo la misma política de privacidad o destruirse de forma segura. Las bibliotecas y sus usuarios deben ser notificados y se les debe proporcionar un método para solicitar que sus datos sean destruidos o exportados de forma segura.

Dispositivos de los usuarios

La protección de la privacidad de la información personal identificable de los usuarios de la biblioteca y de los datos de uso debe extenderse al dispositivo del usuario, incluido el navegador web o cualquier aplicación proporcionada por el proveedor. Todas las comunicaciones entre el dispositivo del usuario y los servicios del proveedor deben estar cifradas. Si el proveedor desea emplear tecnología de personalización, como las cookies persistentes en su sitio web, o permite el seguimiento de la web por parte de terceros, debe notificarlo al usuario y darle la oportunidad de aceptarlo antes de iniciar estas funciones para el usuario. Los usuarios deben ser conscientes de que las experiencias mejoradas de los proveedores pueden requerir la divulgación de datos personales adicionales.

Si una aplicación proporcionada por un proveedor almacena información personal identificable o datos de uso en el dispositivo del usuario, debería estar cifrada. El usuario debe poder eliminar una aplicación proporcionada por un proveedor y borrar cualquier dato almacenado en el dispositivo.

Relación continua de la biblioteca con un tercero

Auditoría y notificación Los proveedores deben establecer y mantener mecanismos eficaces para hacer cumplir sus políticas de privacidad. Deben llevar a cabo auditorías de privacidad periódicas para garantizar que todas las operaciones y servicios cumplen con estas políticas. Los resultados de estas auditorías deben ponerse a disposición de las bibliotecas que sean clientes o posibles clientes, si así lo solicitan.

Respuesta a incidentes Un proveedor que experimenta una violación de datos en sus políticas de seguridad debe notificar a las bibliotecas y usuarios afectados sobre este asunto tan pronto como el proveedor tenga conocimiento de la violación de datos. El plazo de notificación, junto con lo que debe incluirse en la notificación a las bibliotecas y a los usuarios de la biblioteca, difiere de un estado a otro, y es responsabilidad de los proveedores cumplir con la normativa estatal de notificación de violaciones de datos. Las bibliotecas y los proveedores deben planificar el procedimiento de respuesta a incidentes y este plan debe incluirse en el contrato con el proveedor.

Finalización de la relación entre la biblioteca y el proveedor

Las bibliotecas que decidan no renovar un servicio o producto de un proveedor deben trabajar con él para asegurarse de que los datos de los usuarios de la biblioteca que sean personalmente identificables se eliminen de los sistemas del proveedor, incluidos los datos de las copias de seguridad, las copias archivadas y los registros del sistema.

Los proveedores que tienen servicios o productos que permiten el contenido generado por el usuario deben permitir que los usuarios de la biblioteca exporten sus datos en un formato portátil.

Carta de Derechos de la Biblioteca

Library Bill of Rights

American Library Association

Adoptado el 19 de junio de 1939 por el Consejo de la ALA; modificado el 14 de octubre de 1944; el 18 de junio de 1948; el 2 de febrero de 1961; el 27 de junio de 1967; el 23 de enero de 1980; el 29 de enero de 2019.

La American Library Association afirma que todas las bibliotecas son foros de información e ideas, y que las siguientes políticas básicas deben guiar sus servicios.

I. Los libros y otros recursos de la biblioteca deben proporcionarse para el interés, la información y la ilustración de todas las personas de la comunidad a la que sirve la biblioteca. Los materiales no deben ser excluidos por el origen, los antecedentes o los puntos de vista de quienes contribuyen a su creación.

II. Las bibliotecas deben proporcionar materiales e información que presenten todos los puntos de vista sobre cuestiones actuales e históricas. Los materiales no deben ser prohibidos o eliminados por motivos de desaprobación partidista o doctrinal.

III. Las bibliotecas deben desafiar la censura en el cumplimiento de su responsabilidad de proporcionar información y esclarecimiento.

IV. Las bibliotecas deben cooperar con todas las personas y grupos preocupados por resistirse a la limitación de la libertad de expresión y el libre acceso a las ideas.

V. El derecho de una persona a utilizar una biblioteca no debe ser negado o restringido debido a su origen, edad, antecedentes u opiniones.

VI. Las bibliotecas que pongan a disposición del público al que sirven espacios de exposición y salas de reunión deben poner a disposición dichas instalaciones de forma equitativa, independientemente de las creencias o afiliaciones de los individuos o grupos que soliciten su uso.

VII. Todas las personas, independientemente de su origen, edad, antecedentes u opiniones, tienen derecho a la privacidad y confidencialidad en el uso de la biblioteca. Las bibliotecas deben defender, educar y proteger la privacidad de las personas, salvaguardando todos los datos de uso de la biblioteca, incluida la información de identificación personal.

Aunque los artículos de la Carta de Derechos de las Bibliotecas son declaraciones inequívocas de los principios básicos que deben regir el servicio de todas las bibliotecas, surgen preguntas sobre la aplicación de estos principios a prácticas bibliotecarias específicas. Véanse los documentos designados por el Comité de Libertad Intelectual como Interpretaciones de la Carta de Derechos de las Bibliotecas.

Los derechos humanos en la era de las plataformas de redes sociales

Human Rights in the Age of Platformsnull, [e-Book] The MIT Press, 2019

Texto completo

Hoy en día, empresas como Apple, Facebook, Google, Microsoft y Twitter desempeñan un papel cada vez más importante en la forma en que los usuarios se forman y expresan sus opiniones, encuentran información, debaten, discrepan, se movilizan y mantienen su privacidad. ¿Cuáles son las implicaciones en materia de derechos humanos de un dominio en línea gestionado por plataformas de propiedad privada? Según los Principios Rectores de las Empresas y los Derechos Humanos, adoptados por el Consejo de Derechos Humanos de las Naciones Unidas en 2011, las empresas tienen la responsabilidad de respetar los derechos humanos y de actuar con la debida diligencia en materia de derechos humanos. Pero este objetivo depende de la voluntad de los Estados de codificar dichas normas en reglamentos comerciales y de que las empresas las cumplan. En este volumen, los colaboradores de todos los estudios de derecho e Internet y de los medios de comunicación examinan el estado de los derechos humanos en la sociedad de plataforma actual.

Tor Browser: el navegador que no deja ningún rastro de tu identidad y te permite navegar de manera anónima

 

1200px-tor-logo-2011-flat.svg_

 

Tor Browser

Descargar

https://www.torproject.org/download/

Defiéndete mientras navegas, Tor Browser permite navegar de forma anónima escondiendo nuestra IP real, de este modo protege tu navegación contra el rastreo, la vigilancia y la censura. Si está en un país Tor está bloqueado, se puede configurar para que se conecte a un puente durante el proceso consulta sólo tendremos que seleccionar la opción «Tor is censored in my country».

Tor es una red de túneles virtuales que permiten mejorar tu privacidad y seguridad en Internet, funciona enviando tu tráfico a través de tres servidores aleatorios (también conocidos como repetidores) en la red Tor.

Además el navegador Tor bloquea los plugins como Flash, RealPlayer, QuickTime, y otros, que pueden ser manipulados para que revelen tu dirección IP, no se recomienda la instalación de complementos o plugins adicionales en Tor. Los plugins o addons pueden eludir a Tor o comprometer su privacidad. El Navegador Tor ya viene con HTTPS Everywhere, NoScript, y otros parches para proteger su privacidad y seguridad.

Tor Browser usa la red Tor para proteger su privacidad y anonimato a través de estas características

  • Tu proveedor de servicios de Internet, y cualquiera que vigile su conexión localmente, no podrá rastrear tu actividad en Internet, incluyendo los nombres y direcciones de los sitios web que visites.
  • Los operadores de los sitios web y servicios que utiliza, y cualquiera que los esté vigilando, verá una conexión procedente de la red Tor en lugar de tu dirección de Internet (IP) real, y no sabrán quién eres a menos que te identifiques de manera explícita.
  • Además, el navegador Tor está diseñado para evitar que los sitios web «tomen huellas» o nos identifiquen basándose en la configuración de su navegador.
  • Por defecto, Tor no guarda ningún historial de navegación. Las cookies sólo son válidas para una única sesión