- Se trata de un ejercicio, dirigido por la Oficina del Comisionado de Información del Reino Unido (ICO), en coordinación con 24 autoridades de protección de datos en el mundo, incluido el INAI, con el fin de evaluar los avisos de privacidad y las comunicaciones y prácticas disponibles en los sitios web de 455 empresas y organizaciones de distintos países
Ciudad de México.- El “Barrido de Privacidad” es un ejercicio impulsado por la Red Global para la Aplicación de la Ley en Materia de Privacidad (GPEN, por sus siglas en inglés) y dirigido por la Oficina del Comisionado de Información del Reino Unido (ICO), en coordinación con 24 autoridades de protección de datos en el mundo, incluido el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
Este año, el ejercicio consistió en evaluar los avisos de privacidad y las comunicaciones y prácticas disponibles en los sitios web de 455 empresas y organizaciones de distintos países, pertenecientes a sectores como ventas al por menor, finanzas, viajes, redes sociales, educación y salud, con el fin de determinar si a las personas les es claro el propósito para el cual se les recaban sus datos y cómo serán tratados, utilizados y, de ser el caso, compartidos.
En general, la Red llegó a las siguientes conclusiones:
- Las comunicaciones de privacidad en todos los sectores tendieron a ser vagas, carecían de detalles específicos, y frecuentemente contenían cláusulas genéricas.
- La mayoría de las organizaciones no informaron a los usuarios qué pasaría con su información personal una vez proporcionada.
- En general, las organizaciones fueron claras respecto a la información que recabarían del usuario.
- Las organizaciones generalmente no especificaron con quién se compartirían los datos personales.
- Muchas organizaciones no hicieron referencia a la seguridad de los datos recolectados y almacenados.
- Más de la mitad de las organizaciones examinadas hicieron referencia a la forma en que los usuarios podían acceder a sus datos personales.
En el caso de México, el ejercicio estuvo coordinado por el INAI, con la participación de la Asociación de Internet.mx, encargada de hacer la evaluación de los portales de 6 empresas y 2 organizaciones no gubernamentales, la cual reveló lo siguiente:
- En los 8 sitios web analizados se explica a los usuarios el tratamiento que le darán a su información personal.
- 7 de los 8 portales no especifican, de forma clara, cómo se almacenarían los datos personales.
- Las 8 páginas electrónicas precisan si comparten la información personal con terceros y con quiénes.
- Los 8 sitios web proporcionan medios claros para borrar o remover los datos personales.
- Los 8 portales hacen accesible la información personal al usuario.
- En ninguno de los sitios analizados se informa que se toman decisiones, de manera automática.
Asimismo, se detectaron buenas prácticas empleadas por las empresas y organizaciones relacionadas con sus avisos de privacidad:
- Los 8 sitios web incluyen una cláusula o sección para informar a los titulares sobre la posibilidad de acudir al INAI en caso de considerar que su derecho a la protección de datos personales ha sido vulnerado.
- 6 de las 8 páginas de internet especifican el uso de candados de seguridad “SSL” (Secure Socket Layer), al hacer transacciones en línea o solicitar datos personales sensibles; los otros 2 aclaran que dichos candados no son necesarios.
- Los 8 portales insertan una cláusula o sección para entender los términos del aviso de privacidad e informan sobre su última actualización.
En México, de acuerdo a la normatividad en materia de protección de datos personales aplicable tanto al sector público como privado, el aviso de privacidad es una obligación para quienes realizan tratamiento de datos personales, consistente en informar a los titulares de datos, entre otras cosas, qué información personal les será recabada y con qué finalidad.