El perro guardián del Reino Unido establece un código de diseño "apropiado para la edad" para los servicios en línea para mantener segura la privacidad de los niños – TechCrunch

Heaven32 Comments


El regulador de protección de datos del Reino Unido ha publicado hoy un conjunto de estándares de diseño para servicios de Internet que están destinados a ayudar a proteger la privacidad de los niños en línea.

La Oficina del Comisionado de Información (ICO) ha estado trabajando en el Código de diseño apropiado para la edad desde la actualización de 2018 de la ley nacional de protección de datos, como parte de un impulso gubernamental para crear estándares "líderes mundiales" para los niños cuando están en línea.

Los legisladores del Reino Unido están cada vez más preocupados por el "Datafication" de los niños cuando se conectan y puede ser demasiado joven para consentir legalmente en ser rastreado y perfilado bajo la ley europea vigente de protección de datos.

El código de ICO se compone de 15 estándares de lo que llama "diseño apropiado para la edad", que según el regulador refleja un "enfoque basado en el riesgo", que incluye estipular que la configuración debe establecerse de forma predeterminada en "alta privacidad"; que solo se debe recopilar y retener la cantidad mínima de datos necesarios para proporcionar el servicio; y que los datos de los niños no deben compartirse a menos que exista una razón para hacerlo que sea lo mejor para ellos.

La creación de perfiles también debe estar desactivada por defecto. Si bien el código también apunta a diseños de interfaz de usuario de patrón oscuro que buscan manipular las acciones del usuario en contra de sus propios intereses, decir "técnicas de empuje" no debe usarse para "guiar o alentar a los niños a proporcionar datos personales innecesarios o debilitar o desactivar sus protecciones de privacidad ".

"El enfoque está en proporcionar configuraciones predeterminadas que garanticen que los niños tengan el mejor acceso posible a los servicios en línea mientras minimizan la recopilación y el uso de datos, de manera predeterminada", escribe el regulador en un resumen ejecutivo.

Si bien el código de diseño apropiado para la edad se centra en proteger a los niños, se aplica a una amplia gama de servicios en línea, y el regulador señala que "la ma yoría de los servicios en línea que usan los niños están cubiertos" y también estipula que "este código se aplica si los niños son probable

usar su servicio ”(énfasis nuestro).

Esto significa que podría aplicarse a cualquier cosa, desde juegos, plataformas de redes sociales hasta aplicaciones de acondicionamiento físico, sitios web educativos y servicios de transmisión a pedido, si están disponibles para usuarios del Reino Unido.

"Consideramos que para que un servicio sea" probable "al que acceden (los niños), la posibilidad de que esto suceda debe ser más probable que no. Esto reconoce la intención del Parlamento de cubrir los servicios que los niños usan en realidad, pero no extiende la definición para cubrir todos los servicios a los que los niños podrían acceder ”, agrega la OIC.

Aquí están los 15 estándares completos como los describe el regulador:

  1. El interés superior del niño: El interés superior del niño debe ser una consideración primordial cuando diseña y desarrolla servicios en línea a los que probablemente pueda acceder un niño.
  2. Evaluaciones de impacto de protección de datos: Emprenda un DPIA para evaluar y mitigar los riesgos a los derechos y libertades de los niños que probablemente tengan acceso a su servicio, que surgen de su procesamiento de datos. Tenga en cuenta las diferentes edades, capacidades y necesidades de desarrollo y asegúrese de que su DPIA se desarrolle de conformidad
    con este código
  3. Aplicación apropiada para la edad: Adopte un enfoque basado en el riesgo para reconocer la edad de los usuarios individuales y asegúrese de aplicar eficazmente los estándares de este código a los usuarios menores. Establezca la edad con un nivel de certeza que sea apropiado para los riesgos para los derechos y libertades de los niños que surgen de su procesamiento de datos, o aplique los estándares de este código a todos sus usuarios.
  4. Transparencia: La información de privacidad que proporcione a los usuarios y otros términos publicados, políticas y estándares de la comunidad, deben ser concisos, prominentes y en un lenguaje claro y adecuado para la edad del niño. Proporcione explicaciones adicionales específicas de "tamaño de bocado" sobre cómo utiliza los datos personales en el momento en que se activa el uso.
  5. Uso perjudicial de datos:
    No utilice los datos personales de los niños de maneras que hayan demostrado ser perjudiciales para su bienestar, o que vayan en contra de los códigos de práctica de la industria, otras disposiciones reguladoras o el asesoramiento del Gobierno.
  6. Políticas y estándares de la comunidad: Defienda sus propios términos, políticas y estándares comunitarios publicados (incluidas, entre otras, las políticas de privacidad, restricción de edad, reglas de comportamiento y políticas de contenido).
  7. Configuración por defecto: La configuración debe ser "alta privacidad" de forma predeterminada (a menos que pueda demostrar una razón convincente para una configuración predeterminada diferente, teniendo en cuenta el interés superior del niño).
  8. Minimización de datos: Recopile y conserve solo la cantidad mínima de datos personales que necesita para proporcionar los elementos de su servicio en los que un niño participa de manera activa y consciente. Dé a los niños opciones separadas sobre los elementos que desean activar.
  9. Compartir datos: No divulgue los datos de los niños a menos que pueda demostrar una razón convincente para hacerlo, teniendo en cuenta el interés superior del niño.
  10. Geolocalización Desactive las opciones de geolocalización de forma predeterminada (a menos que pueda demostrar una razón convincente para que la geolocalización se active de forma predeterminada, teniendo en cuenta el interés superior del niño). Proporcione una señal obvia para los niños cuando el seguimiento de ubicación esté activo. Las opciones que hacen que la ubicación de un niño sea visible para otros deben volver a "desactivada" al final de cada sesión.
  11. Controles parentales: Si proporciona controles parentales, proporcione al niño información apropiada sobre su edad. Si su servicio en línea permite a un padre o cuidador monitorear la actividad en línea de su hijo o rastrear su ubicación, proporcione una señal obvia al niño cuando está siendo monitoreado.
  12. Perfilado: Cambie las opciones que usan la opción de perfiles "desactivada" de forma predeterminada (a menos que pueda demostrar una razón convincente para que la creación de perfiles esté activada de manera predeterminada, teniendo en cuenta el interés superior del niño). Solo permita la creación de perfiles si tiene medidas apropiadas para proteger al niño de cualquier efecto dañino (en particular, alimentarlo con contenido que sea perjudicial para su salud o bienestar).
  13. Empujar técnicas: No utilice técnicas de empuje para guiar o alentar a los niños a proporcionar datos personales innecesarios o debilitar o desactivar sus protecciones de privacidad.
  14. Juguetes y dispositivos conectados: Si proporciona un juguete o dispositivo conectado, asegúrese de incluir herramientas efectivas para permitir el cumplimiento de este código.
  15. Herramientas en línea: Proporcione herramientas destacadas y accesibles para ayudar a los niños a ejercer sus derechos de protección de datos e informar inquietudes.

El Código de diseño apropiado para la edad también define a los niños como menores de 18 años, que ofrece una barra más alta que la ley actual de protección de datos del Reino Unido que, por ejemplo, establece solo un límite de edad de 13 años para que los niños puedan legalmente dar su consentimiento. para ser rastreado en línea.

Entonces, suponiendo (muy descaradamente), que los servicios de Internet decidieran de repente seguir el código al pie de la letra, desactivando los rastreadores de forma predeterminada y no empujando a los usuarios a debilitar los valores predeterminados de protección de la privacidad al manipularlos para entregar más datos, el código podría – en teoría – elevar el nivel de privacidad que los niños y adultos suelen obtener en línea.

Sin embargo, no es legalmente vinculante, por lo que hay muchas posibilidades de que eso suceda.

Aunque el regulador señala que los estándares en el código están respaldados por las leyes de protección de datos existentes, que sí regula y puede hacer cumplir legalmente (y que incluyen principios claros como 'privacidad por diseño y por defecto') – señalándolo tiene poderes para tomar medidas contra los infractores de la ley, incluidas "sanciones severas", como las órdenes de detener el procesamiento de datos y multas de hasta 4% de La facturación global de una empresa.

Entonces, en cierto modo, el regulador parece estar diciendo: "¿Se siente con suerte punk de datos?"

Último abril El gobierno del Reino Unido publicó un libro blanco en el que expone sus propuestas para regular una gama de daños en línea, incluida la búsqueda de inquietudes sobre el material inapropiado disponible en Internet al que acceden los niños.

El Código de diseño apropiado para la edad del ICO está destinado a apoyar ese esfuerzo. Por lo tanto, también existe la posibilidad de que algunos de los mismos tipos de estipulaciones puedan integrarse en la factura de daños en línea planificada.

"Esto no es, y no será," ley ". Es solo un código de práctica ", dijo Neil Brown, abogado de Internet, telecomunicaciones y tecnología en Decodificado Legal, discutiendo el impacto probable de los estándares sugeridos. "Muestra la dirección del pensamiento de la OIC y sus expectativas, y la OIC debe tenerlo en cuenta cuando toma medidas de cumplimiento, pero no es algo que una organización deba cumplir como tal. Deben cumplir con la ley, que es el GDPR (Reglamento General de Protección de Datos) y el DPA (Ley de Protección de Datos) 2018.

“El código de práctica se encuentra bajo el DPA 2018, por lo que las compañías que están dentro del alcance de eso probablemente quieran entender lo que dice. El DPA 2018 y el GDPR del Reino Unido (la versión del GDPR que estará en vigencia después del Brexit) cubre los controladores establecidos en el Reino Unido, así como los controladores en el extranjero que se dirigen a los servicios a las personas en el Reino Unido o monitorean el comportamiento de las personas en el Reino Unido. . Simplemente poner un servicio a disposición de las personas en el Reino Unido no debería ser suficiente ".

"En general, esto es consistente con la dirección general de viaje para los servicios en línea y la percepción de que se necesita hacer más para proteger a los niños en línea", también nos dijo Brown.

“En este momento, los servicios en línea deberían estar resolviendo cómo cumplir con el GDPR, las reglas de privacidad electrónica y cualquier otra ley aplicable. La obligación de cumplir con esas leyes no cambia debido al código de prácticas de hoy. Por el contrario, el código de prácticas muestra que la ICO está pensando en cómo podría ser el cumplimiento (y, posiblemente, también cubre algunos de los requisitos de la ley) ".

Las organizaciones que eligen tomar nota del código, y están en posición de poder demostrar que han seguido sus estándares, tienen una mejor oportunidad de convencer al regulador de que han cumplido con las leyes de privacidad relevantes, según Brown.

"Por el contrario, si quieren decir que cumplen con la ley pero no con el código, eso es (legalmente) posible, pero podría ser más difícil en términos de compromiso con el ICO", agregó.

Alejándose, el gobierno dijo el otoño pasado que está comprometido a publicar borradores de legislación en línea para el escrutinio prelegislativo "al ritmo".

Pero, al mismo tiempo, descartó un controvertido plan incluido en una legislación digital de 2017 que habría hecho obligatorios los controles de edad para acceder a la pornografía en línea, diciendo que quería centrarse en desarrollar "el enfoque más completo posible para proteger a los niños", es decir a través de la factura de daños en línea.

Queda por ver cuán exhaustivas serán las "protecciones infantiles" promocionadas.

Brown sugiere que la verificación de la edad podría ser un "requisito general", dado que se eliminó el componente de verificación de la edad de la Ley de Economía Digital de 2017, y "el gobierno ha dicho que estos se incluirán en la sección de daños en línea más amplia".

El gobierno también ha sido consultar con empresas tecnológicas sobre posibles formas de implementar la verificación de edad en línea.

Sin embargo, las dificultades de regular los servicios de Internet que se repiten constantemente, muchos de los cuales también son operados por compañías con sede fuera del Reino Unido, han sido grandes durante años. (Y ahora son sumido en la geopolítica.)

Si bien la aplicación de las leyes europeas de privacidad digital existentes permanece, para decirlo cortésmente, un trabajo en progreso

LO MÁS LEÍDO

Leave a Reply

Your email address will not be published. Required fields are marked *