Privacidad 17 septiembre 2019

Un análisis de la OTA descubre que la mayoría de las organizaciones no están preparadas para las nuevas leyes de privacidad

Reston (Virginia). 17 de septiembre de 2019 – La organización Online Trust Alliance (OTA, por sus siglas en inglés) de Internet Society, que se dedica a identificar y promover buenas prácticas de seguridad y privacidad para forjar la confianza del consumidor en Internet, ha publicado hoy los resultados de su último informe titulado “¿Están preparadas las organizaciones para las nuevas leyes de privacidad?”. La OTA analizó 29 variables en 1.200 políticas de privacidad cotejándolas con los temas habituales tratados en las tres leyes de privacidad más importantes del mundo: el Reglamento General de Protección de Datos de la Unión Europea (RGPD), la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés) y la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA, por sus siglas en inglés) de Canadá.

El informe puso de manifiesto que las políticas de privacidad de muchas organizaciones no cumplen los principios básicos de privacidad establecidos en el RGPD, la CCPA y la PIPEDA, incluidos el derecho del usuario a solicitar información, saber cómo se van a compartir sus datos con terceros y la posibilidad de solicitar la eliminación de dichos datos. Las organizaciones también tienen la obligación de informar a los usuarios sobre sus derechos de una forma sencilla y comprensible.

Si bien las organizaciones auditadas pertenecen principalmente a Estados Unidos y no están obligadas legalmente a cumplir todos los requisitos, estas leyes representan los puntos de referencia generales para la privacidad del consumidor y sientan las bases de las nuevas leyes que se aplicarán en 2020, incluida la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés).

La auditoría analizó organizaciones de los siguientes sectores de actividad:

Tratamiento de datos

  • La mayoría (98 %) de las políticas de privacidad dedican unas líneas a la cesión de datos a terceros y dos tercios (67 %) afirma que no ceden datos a terceros. Sin embargo, menos del 1 % de las organizaciones incluyen cláusulas que explican el tipo de terceras partes que pueden acceder a los datos.
  • Aunque aún no es un requisito en EE. UU., ninguna de las organizaciones auditadas incluye cláusulas que obligan a notificar al usuario si sus datos se han vendido o cedido.
  • Una gran cantidad de ciberincidentes importantes tienen que ver con algún tipo de fallo en empresas subcontratadas. Ahora muchas leyes de privacidad exigen que cualquier subcontrata que trabaje con una organización cumpla las mismos estándares en la cesión de datos que la organización que las contrata. Solo el 57 % de las organizaciones afirma que sus subcontratas cumplen este estándar.
  • Muchas leyes de privacidad destacan la retención de datos como un concepto importante, ya que cuando un atacante accede a datos almacenados que una empresa no está obligada a conservar, se producen numerosas divulgaciones de datos no autorizadas. Solo el 2 % de las organizaciones habla explícitamente sobre la retención de datos.

Acceso del usuario a los datos

  • Cuando la CCPA entre en vigor en enero de 2020, las organizaciones tendrán que informar explícitamente al usuario sobre cómo pueden acceder a sus datos y solicitar su eliminación. Actualmente, prácticamente casi ninguna organización explica claramente la forma de contacto para este fin.

Las políticas son comprensibles y la fecha de entrada en vigor está clara

  • Los usuarios deben poder encontrar y entender fácilmente las políticas de privacidad. Una parte de ello consiste en ofrecer la política de privacidad en varios idiomas, cosa que solo hace un 3,5 % de las organizaciones analizadas.
  • En 2019 fue el primer año en el que la OTA hizo un seguimiento directo del concepto de “legibilidad”. Los analistas de la OTA revisaron todas las políticas y el 32 % de las organizaciones tiene políticas “legibles”, según los estándares de la OTA. Todas las leyes de privacidad internacionales incluyen el requisito de legibilidad, si bien cada una define el concepto de una forma. No obstante, las organizaciones deben entender estas normas y asegurarse de encajarlas en sus políticas, algo que, según la OTA, no hace prácticamente ninguna.
  • Además de ser legibles, las políticas de privacidad también deben incluir sellos de fecha para que los usuarios vean su fecha de entrada en vigor. En general, el 70 % de las organizaciones incluye el sello de fecha en algún lugar de la página, un 46 % en la parte superior, un 22 % en la parte inferior y un 2 % en ambos sitios.

“Las leyes de privacidad internacionales están evolucionando y muy pronto el cumplimiento normativo será un requisito, no una opción”, afirmó Kenneth Olmstead, analista de seguridad y privacidad en Internet de la OTA de Internet Society. “Solo en EE. UU., varios estados están trabajando en leyes de privacidad. Lo mejor para el interés de todas las organizaciones es ponerse al día con estas leyes a medida que cambien los requisitos. La protección de los datos del cliente no solo será un componente esencial para promover la fidelidad y la confianza, sino que también será necesaria para evitar cuantiosas multas”.

La OTA celebrará un webinario público el jueves 26 septiembre a las 13:00 (GMT) para debatir sobre estos resultados. Para más información visita https://www.internetsociety.org/privacystatements.

Acerca de la OTA

La organización Online Trust Alliance (OTA, por sus siglas en inglés) de Internet Society identifica y promueve buenas prácticas de seguridad y privacidad para forjar la confianza del consumidor en Internet. Las principales organizaciones públicas y privadas, comerciantes, investigadores y legisladores participan en la elaboración de las orientaciones de la OTA y las siguen, para fortalecer la seguridad de las transacciones online y mejorar la protección de los datos del usuario. Internet Society es una organización global sin ánimo de lucro dedicada a garantizar un Internet abierto, conectado globalmente, fiable y seguro para todo el mundo.

Contacto:
Ashley Mann
Voxus PR (para la OTA)
+1.253.444.5955
[email protected]

Related resources

Fortalecimiento de Internet 22 agosto 2022

Bruselas vuelve a la carga contra la privacidad y pone a los menores de excusa

Bruselas vuelve a la carga contra la privacidad y pone a los menores de excusa msn

Generar confianza 25 septiembre 2019

La organización Online Trust Alliance de Internet Society presenta su metodología para la undécima Auditoría de Confianza en la Red y Cuadro de Honor

Se han actualizado los criterios para prestar mayor atención al cifrado y a las leyes de privacidad internacionales; se...