El pasado 24 de agosto, una declaración firmada por la Directora de la Agencia de Acceso a la Información Pública (AAIP), Beatriz de Anchorena, en conjunto con los presidentes de las agencias de protección de datos de Australia, Canadá, Reino Unido, Hong Kong, Suiza, Noruega, Nueva Zelanda, Colombia, Jersey, Marruecos y México, sobre la extracción de datos y la protección de la privacidad (la “Declaración Conjunta”), fue publicada en el sitio web de la AAIP.

La Declaración Conjunta tiene como objetivo delinear los principales riesgos de privacidad asociados con la extracción de datos y establecer cómo las redes sociales y sitios web deben proteger la información personal de los individuos contra la extracción ilegal de datos (en inglés, “illegal data scraping”) para cumplir con las expectativas regulatorias. Ello debido a que se ha observado un incremento en los incidentes relacionados con la extracción ilegal de datos, entre otros, el uso de datos extraídos para ciberataques dirigidos, fraude de identidad, monitoreo, perfilado y vigilancia de individuos, uso de datos para inteligencia o marketing directo no autorizado.

Los firmantes de la Declaración Conjunta expresamente instan a las redes sociales y sitios web que alojan datos de acceso público a compartir comentarios demostrando cómo cumplen con las expectativas descritas en la Declaración Conjunta dentro del mes a partir de la publicación. Se aclara que cualquier respuesta se compartirá entre los firmantes y podría ser publicada.

El texto completo de la Declaración Conjunta fue publicado en el sitio web de la AAIP únicamente en inglés y puede accederse al texto completo del mismo ingresando al siguiente enlace: Declaración Conjunta.

A continuación, resumimos los aspectos más relevantes:

Los firmantes destacan que, en la mayoría de las jurisdicciones, la información personal que está “disponible públicamente” en Internet está sujeta a las leyes de protección de datos y privacidad. Por lo tanto, las personas y las empresas que extraen esa información personal son responsables de asegurarse de cumplir con estas y otras leyes aplicables y de cumplir con las obligaciones pertinentes respecto de la extracción de sitios de terceros desde sus propios sitios.

Si bien la Declaración Conjunta reconoce expresamente que ninguna medida de seguridad será adecuada para proteger completamente contra todos los posibles daños a la privacidad asociados con la extracción de datos por la naturaleza dinámica de las amenazas de extracción de datos, indica que las redes sociales y otros sitios web deben implementar controles técnicos y procedimentales multicapa o combinaciones de ellos para mitigar los riesgos, por ejemplo:

• Designar un equipo y/o roles específicos dentro de la organización para identificar e implementar controles para protegerse contra, monitorear y responder a actividades de extracción de datos.
• Limitar la cantidad de visitas por hora o día de una cuenta a perfiles de otras cuentas, y limitar el acceso si se detecta actividad inusual.
• Supervisar la rapidez y agresividad con la que una nueva cuenta comienza a buscar otros usuarios. Si se detecta una actividad anormalmente alta, esto podría ser indicativo de un uso inaceptable.
• Tomar medidas para detectar a los recolectores de datos identificando patrones en la actividad de “bots” como el uso de captchas y bloqueo de direcciones IP donde se identifica actividad de extracción de datos.
• Tomar acciones legales como requerimientos de cese y eliminación de información extraída.
• En jurisdicciones donde la extracción de datos pueda constituir un incidente de seguridad, notificar a los titulares de los datos afectados y a la autoridad de aplicación.
• Apoyar de manera proactiva a los usuarios para que puedan tomar decisiones informadas sobre cómo utilizan la plataforma, qué información personal comparten y mayor comprensión y conciencia sobre   las configuraciones de privacidad que pueden utilizar.

La Declaración Conjunta también menciona que, dado el carácter dinámico de las amenazas de extracción de datos, las redes sociales y otros sitios web deben monitorear de manera continua y responder con agilidad a los nuevos riesgos de seguridad y amenazas de actores maliciosos u no autorizados en su plataforma.

Asimismo, la Declaración también refiere a las medidas que las personas pueden tomar para minimizar los riesgos derivados de la extracción de datos, como por ejemplo, recomienda (i) la lectura de las políticas de privacidad de los sitios sobre compartición y divulgación de la información para tomar decisiones informadas sobre la información eligen compartir y comprender los riesgos de privacidad resultantes, (ii) evaluar qué cantidad y tipo de información se comparte y considerar si compartir cierta información puede ponerlos en riesgo de daño a la reputación, discriminación, acoso, fraude de identidad o robo, y (iii) comprender y gestionar la configuración de privacidad.

Por Emilio Beccar Varela y Florencia Rosati