Directrices de privacidad de la biblioteca para proveedores

Library Privacy Guidelines for Vendors. ALA, 2021

Texto original

La protección de la privacidad y la confidencialidad de los usuarios ha sido durante mucho tiempo una parte integral de la misión de libertad intelectual de las bibliotecas. El derecho a la libre indagación garantizado por la Primera Enmienda depende de la capacidad de leer y acceder a la información libre del escrutinio del gobierno o de terceros. En su prestación de servicios a los usuarios de las bibliotecas, los bibliotecarios tienen la obligación ética, expresada en el Código de Ética de la Asociación Americana de Bibliotecas y en la Declaración de Derechos de las Bibliotecas, de preservar el derecho a la privacidad de los usuarios y de impedir cualquier uso no autorizado de los datos de los usuarios. Los bibliotecarios y las bibliotecas también pueden tener la obligación legal de proteger los datos de los usuarios de la biblioteca contra la divulgación no autorizada.

Las bibliotecas celebran licencias o acuerdos con terceros proveedores para prestar servicios bibliotecarios a los usuarios y satisfacer las necesidades operativas de la biblioteca. Entre los proveedores externos se encuentran los proveedores de contenidos digitales, los facilitadores de programas e incluso otras bibliotecas, como un consorcio. En el transcurso de la provisión de software, hardware o servicios, la mayoría de los proveedores externos recopilan y utilizan los datos de los usuarios de las bibliotecas por diversas razones, como el análisis y la segmentación de los consumidores, la personalización, la gestión de derechos digitales y el desarrollo de colecciones digitales. Las bibliotecas y los proveedores deben trabajar juntos para garantizar que los contratos y las licencias que rigen la recopilación, el procesamiento, la divulgación y la retención de los datos de los usuarios de la biblioteca reflejen la ética, las políticas y las obligaciones legales de la biblioteca en relación con la privacidad y la confidencialidad de los usuarios.

Elección de un proveedor de terceros

Cuando las bibliotecas inician la búsqueda de un producto o servicio, hay varias formas en las que las bibliotecas se dirigen a los proveedores sobre sus prácticas de privacidad. Las bibliotecas deben incluir requisitos y preguntas sobre privacidad para el proveedor en su solicitud de propuesta (RFP) o proceso de licitación similar. Los requisitos y las preguntas pueden incluir qué datos se recopilan, cómo se recopilan y almacenan los datos, cuánto tiempo se almacenan los datos con el proveedor, y si los datos se comparten con otros terceros y cómo.

Las bibliotecas que solicitan ofertas a los proveedores también deben hacer preguntas a lo largo del proceso de búsqueda relacionadas tanto con el servicio/producto como con las políticas y prácticas del proveedor en torno a la privacidad y seguridad de los datos. Si el servicio o producto no cumple con un requisito de privacidad indicado en la solicitud de propuestas, las bibliotecas deben preguntar a los proveedores sus planes para cumplir con ese requisito. Las bibliotecas deben preguntar cómo cuida el proveedor las violaciones de datos, así como los informes de las bibliotecas o de los usuarios sobre la posible vulnerabilidad del servicio o del producto.

Acuerdos, propiedad de los datos del usuario y requisitos legales

Los acuerdos entre las bibliotecas y los proveedores deben abordar las restricciones apropiadas sobre el uso, la agregación, la retención y la divulgación de los datos de los usuarios, en particular la información sobre los menores. Los acuerdos entre las bibliotecas y los proveedores también deben especificar que las bibliotecas conservan la propiedad de todos los datos de los usuarios y que el proveedor se compromete a respetar las políticas de privacidad y de retención y seguridad de datos de la biblioteca.

Se recomienda encarecidamente a los proveedores que apliquen los principios de privacidad por diseño, es decir, que los productos y servicios deben tener las cuestiones de privacidad “incorporadas, no atornilladas”. Si los productos que se comercializan actualmente no tienen en cuenta estas directrices de privacidad, los vendedores deberían incorporarlas en futuras actualizaciones. Además, los acuerdos entre las bibliotecas y los proveedores deberían reflejar e incorporar las restricciones sobre la posible difusión y uso de los registros y datos de los usuarios de la biblioteca impuestas por la legislación local, estatal y federal.

Menores de edad

Los derechos de los menores varían de un estado a otro, y las responsabilidades legales y la posición del personal de la biblioteca con respecto a los usuarios menores difieren sustancialmente en las bibliotecas escolares, universitarias y públicas. Por lo general, el derecho de un menor a mantener la privacidad de sus registros en la biblioteca se regirá por el estatuto de confidencialidad de la biblioteca de un estado; sin embargo, en las instituciones educativas públicas, la Ley de Derechos Educativos y Privacidad de la Familia (FERPA) también determina la confidencialidad y la divulgación de los registros de la biblioteca de los menores.

Los proveedores que permiten a los menores de 13 años acceder a sus plataformas deben cumplir la Ley federal de protección de la privacidad de los niños en línea (COPPA) y cualquier otra legislación estatal o federal relativa a la recopilación y el intercambio de datos de los menores. Las bibliotecas deben establecer políticas de privacidad claras junto con las agencias locales, estatales y federales que detallen cómo y qué datos sobre los menores se recopilan y comparten con los proveedores y las escuelas.

Políticas de privacidad claras

Las políticas de privacidad deben ser fácilmente accesibles y comprensibles para los usuarios. Para salvaguardar la privacidad de los usuarios es necesario que éstos sepan qué información se recoge sobre ellos, durante cuánto tiempo se almacena, quién tiene acceso a ella y en qué condiciones, y cómo se utiliza. Debe haber una forma de notificar activamente a los usuarios en curso cualquier cambio en las políticas de privacidad del proveedor.

Consentimiento del usuario

El proveedor debe ofrecer a los usuarios opciones sobre la cantidad de información personal que se recopila de ellos y cómo se puede utilizar. Los usuarios deben tener la opción de optar por cualquier recopilación de datos que no sea esencial para las operaciones de la biblioteca y la oportunidad de optar de nuevo en cualquier momento futuro. Toda recopilación de datos no esenciales debería estar desactivada por defecto. En todas las áreas de la biblioteconomía, las mejores prácticas dejan a los usuarios el control de tantas opciones como sea posible en relación con su privacidad.

Acceso a los datos personales

Los usuarios deben tener derecho a acceder a su propia información personal y a corregir la información incorrecta. La verificación de la exactitud ayuda a garantizar que los servicios del proveedor que dependen de la información personal del usuario puedan funcionar correctamente. La orientación sobre cómo el usuario puede acceder a sus datos personales debe ser clara y fácil de encontrar. Los usuarios también deben tener la posibilidad de descargar sus datos personales en un formato de archivo abierto, como CSV, para su propio uso.

El acceso a la información personal debe estar restringido al usuario, al proveedor y a los trabajadores de la biblioteca, según sea necesario para la prestación de servicios y la administración de la biblioteca, y debe ajustarse a las leyes estatales aplicables que abordan la confidencialidad de los registros de la biblioteca, así como a otras leyes locales, estatales y federales aplicables.

Los proveedores deben tener la práctica de borrar los datos de los usuarios cuando se les solicite. Los datos deben ser purgados de los discos duros y servidores, no sólo ocultados a la vista.

Integridad y seguridad de los datos

Siempre que se recojan datos de usuarios, las bibliotecas, los proveedores y cualquier subcontratista deben tomar medidas razonables para garantizar la integridad y la seguridad, incluido el cumplimiento de los requisitos legales aplicables.

  • Seguridad: La seguridad implica medidas de gestión y técnicas para proteger contra la pérdida y el acceso no autorizado, la destrucción, el uso o la divulgación de los datos. Las medidas de seguridad deben integrarse en el diseño, la implementación y las prácticas cotidianas de todo el entorno operativo del proveedor como parte de su compromiso continuo con la gestión de riesgos. El proveedor debe buscar el cumplimiento de las normas de ciberseguridad publicadas por organizaciones como el Instituto Nacional de Normas y Tecnología (NIST).
  • Encriptación: El uso de la encriptación de datos ayuda a mejorar la seguridad. Todas las transacciones en línea entre las aplicaciones de los clientes (navegadores web, aplicaciones móviles, etc.) y las aplicaciones de los servidores deben estar cifradas. Además, cualquier dato del usuario alojado por el proveedor fuera de las instalaciones (infraestructura basada en la nube, copias de seguridad en cinta, etc.) debe utilizar un almacenamiento cifrado.
  • Minimización de datos: Los proveedores y las bibliotecas sólo deben recopilar, procesar, retener o divulgar los datos de los usuarios que sean necesarios para un proceso o tarea específicos. La recopilación y/o retención excesiva de datos pone a los usuarios en mayor riesgo en caso de una violación de datos.
  • Anonimización: Los datos utilizados para el análisis de usuarios y otros tipos de análisis deben ser anónimos, eliminando o encriptando la información de identificación personal. Aunque la anonimización de datos es una buena práctica, no es infalible.
  • Conservación: Los datos de los usuarios no deben conservarse a perpetuidad. Los proveedores y las bibliotecas deben establecer políticas sobre el tiempo de conservación de los diferentes tipos de datos y los métodos para destruir de forma segura los datos que ya no son necesarios. Por ejemplo, las cuentas que hayan caducado o estén inactivas durante un tiempo determinado deberían ser purgadas. Las políticas de retención también deben abarcar las copias de archivo y las copias de seguridad. Las bibliotecas deben remitirse a las leyes de retención de registros y a las políticas de los órganos de gobierno.
  • Intercambio de datos: Los datos de los usuarios no deben compartirse con otros proveedores u otros asociados comerciales sin el consentimiento del usuario. La mayoría de las leyes estatales sobre la confidencialidad de los registros de la biblioteca no permiten la divulgación de la información personal identificable de los usuarios de la biblioteca o de los datos sobre su uso de los recursos y servicios de la biblioteca sin el consentimiento del usuario o una orden judicial.
  • Solicitudes gubernamentales: Los proveedores y las bibliotecas deben desarrollar y aplicar procedimientos para atender las solicitudes gubernamentales y de las fuerzas del orden de información personal identificable y datos de uso de los usuarios de la biblioteca. Los proveedores y las bibliotecas deben tener en cuenta una solicitud gubernamental o de las fuerzas del orden sólo si es emitida por un tribunal de la jurisdicción competente que demuestre una buena causa y esté en la forma adecuada. Los proveedores deben informar y consultar a la biblioteca cuando crean que están obligados a divulgar la información de los usuarios de la biblioteca, a menos que la ley se lo impida. El proveedor también debe informar a los usuarios, a través de sus políticas de privacidad, sobre las condiciones legales en las que podría estar obligado a divulgar información personal identificable.
  • Venta, fusión o quiebra de la empresa: En el caso de que un proveedor se venda a otra empresa, se fusione con otra empresa o se disuelva por quiebra, toda la información de identificación personal debe mantenerse bajo la misma política de privacidad o destruirse de forma segura. Las bibliotecas y sus usuarios deben ser notificados y se les debe proporcionar un método para solicitar que sus datos sean destruidos o exportados de forma segura.

Dispositivos de los usuarios

La protección de la privacidad de la información personal identificable de los usuarios de la biblioteca y de los datos de uso debe extenderse al dispositivo del usuario, incluido el navegador web o cualquier aplicación proporcionada por el proveedor. Todas las comunicaciones entre el dispositivo del usuario y los servicios del proveedor deben estar cifradas. Si el proveedor desea emplear tecnología de personalización, como las cookies persistentes en su sitio web, o permite el seguimiento de la web por parte de terceros, debe notificarlo al usuario y darle la oportunidad de aceptarlo antes de iniciar estas funciones para el usuario. Los usuarios deben ser conscientes de que las experiencias mejoradas de los proveedores pueden requerir la divulgación de datos personales adicionales.

Si una aplicación proporcionada por un proveedor almacena información personal identificable o datos de uso en el dispositivo del usuario, debería estar cifrada. El usuario debe poder eliminar una aplicación proporcionada por un proveedor y borrar cualquier dato almacenado en el dispositivo.

Relación continua de la biblioteca con un tercero

Auditoría y notificación Los proveedores deben establecer y mantener mecanismos eficaces para hacer cumplir sus políticas de privacidad. Deben llevar a cabo auditorías de privacidad periódicas para garantizar que todas las operaciones y servicios cumplen con estas políticas. Los resultados de estas auditorías deben ponerse a disposición de las bibliotecas que sean clientes o posibles clientes, si así lo solicitan.

Respuesta a incidentes Un proveedor que experimenta una violación de datos en sus políticas de seguridad debe notificar a las bibliotecas y usuarios afectados sobre este asunto tan pronto como el proveedor tenga conocimiento de la violación de datos. El plazo de notificación, junto con lo que debe incluirse en la notificación a las bibliotecas y a los usuarios de la biblioteca, difiere de un estado a otro, y es responsabilidad de los proveedores cumplir con la normativa estatal de notificación de violaciones de datos. Las bibliotecas y los proveedores deben planificar el procedimiento de respuesta a incidentes y este plan debe incluirse en el contrato con el proveedor.

Finalización de la relación entre la biblioteca y el proveedor

Las bibliotecas que decidan no renovar un servicio o producto de un proveedor deben trabajar con él para asegurarse de que los datos de los usuarios de la biblioteca que sean personalmente identificables se eliminen de los sistemas del proveedor, incluidos los datos de las copias de seguridad, las copias archivadas y los registros del sistema.

Los proveedores que tienen servicios o productos que permiten el contenido generado por el usuario deben permitir que los usuarios de la biblioteca exporten sus datos en un formato portátil.