¿Qué son las Prácticas justas de información? | FIPP

Los Principios de Prácticas justas de información, o FIPP, son un conjunto de principios para la privacidad de datos que muchas organizaciones siguen en la actualidad.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Enumerar las prácticas justas de información
  • Describir cómo se desarrollaron los FIPP
  • Explicar por qué se referencia tanto a los FIPP

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué son los Principios de las Prácticas justas de información (FIPP)?

Las Prácticas justas de información, también conocidas como Principios de Prácticas justas de información (FIPP), son un conjunto de ocho principios relativos al uso, recopilación y privacidad de los datos. Fueron publicados en 1980 por la Organización para la Cooperación y el Desarrollo Económicos (OCDE) y varios países los aceptaron en principio.

Aunque no forman parte oficialmente de ninguna legislación sobre privacidad, estos principios siguen siendo relevantes e influyentes en la actualidad. Muchas organizaciones los utilizan como orientación para cómo tratar los datos personales. Varios de los principios enumerados en los FIPP están incluidos en importantes marcos de privacidad como el Reglamento general de protección de datos (RGPD) y la Ley de privacidad del consumidor de California (CCPA).

Los ocho Principios de Prácticas justas de información son:

  1. Principio de limitación de la recopilación. Debe haber límites a la recopilación de datos personales, y cualquier dato de este tipo debe obtenerse por medios legales y justos y, en su caso, con el conocimiento o el consentimiento del sujeto de datos.
  2. Principio de calidad de los datos. Los datos personales deben ser pertinentes para los fines para los que se van a utilizar y, en la medida necesaria para esos fines, deben ser exactos, completos y estar actualizados.
  3. Principio de especificación de la finalidad. Se debe especificar la finalidad para la que se recopilan los datos personales como tarde en el momento de la recopilación de los datos, y el uso posterior debe limitarse al cumplimiento de esos fines, o de otros que no sean incompatibles con ellos y que se especifiquen en cada ocasión que se produzca un cambio de finalidad.
  4. Principio de limitación del uso. Los datos personales no deben ser revelados, puestos a disposición o utilizados de otro modo para una finalidad distinta de la especificada de acuerdo con [el Principio de especificación de la finalidad] excepto: a) con el consentimiento del sujeto de datos; o b) si lo indica la ley.
  5. Principio de garantías de seguridad. Los datos personales deben estar protegidos por garantías de seguridad razonables contra riesgos tales como la pérdida o el acceso no autorizado, la destrucción, el uso, la modificación o la divulgación de los datos.
  6. Principio de apertura. Debe haber una política general de apertura sobre el desarrollo, las prácticas y las políticas relativas a los datos personales. Debe haber medios fácilmente disponibles para establecer la existencia y la naturaleza de los datos personales, y la finalidad principal de su uso, así como la identidad y la residencia habitual del controlador de datos.
  7. Principio de participación individual. Una persona debe tener derecho a:
    1. obtener de un controlador de datos, o de otro modo, la confirmación de si el controlador de datos tiene o no datos que le conciernan;
    2. que se le comuniquen los datos que le conciernen en un plazo razonable; a un precio, en su caso, no excesivo; de manera razonable; y en una forma que le resulte fácilmente comprensible;
    3. que se le expliquen los motivos en caso de que una solicitud presentada haya sido denegada en virtud de los apartados (a) y (b), y a poder impugnar dicha denegación; y
    4. impugnar los datos que le conciernen y, si la impugnación tiene éxito, hacer que los datos sean borrados, rectificados, completados o modificados.
  8. Principio de responsabilidad. Un controlador de datos de datos debe ser responsable del cumplimiento de las medidas que dan efecto a los principios mencionados anteriormente.

¿Cómo se desarrollaron las Prácticas justas de información?

Las FIPP, tal y como aparecen actualmente, están basadas en las recomendaciones que propuso un comité asesor del Departamento de Salud, Educación y Bienestar de EE. UU. en 1973. El informe del comité señalaba que "Las garantías de la intimidad personal basadas en nuestro concepto de reciprocidad en el mantenimiento de registros requerirían la adhesión de las organizaciones de mantenimiento de registros a ciertos principios fundamentales de la práctica justa de información." Luego, pasaba a describir varios principios para la protección de datos.

En 1980, la OCDE amplió esas recomendaciones y las dividió en los ocho FIPP mencionados anteriormente. Desde entonces, se ha hecho referencia a los PIFI en numerosas ocasiones, especialmente en Estados Unidos. Siguen siendo una parte importante de las directrices sobre privacidad y protección de datos.

¿Las Prácticas justas de información forman parte de alguna legislación sobre privacidad?

Los FIPP no forman parte de ningún requisito oficial o legal. Sin embargo, han sido la base de varias directrices de privacidad diferentes. También reflejan muchos principios de privacidad ampliamente aceptados que aparecen en otros marcos oficiales de privacidad.

Por ejemplo, el principio de Participación individual (n.º 7) enumera una serie de derechos que deben tener las personas. La CCPA introdujo algunos de ellos en la ley: incluye un "derecho a saber," muy parecido a lo que se describe en las partes a) y b) del principio de Participación individual. El RGPD también incluye un "derecho de eliminación," similar a la capacidad de "hacer borrar los datos" descrita en la parte d) del principio de Participación individual.

Como otro ejemplo, el principio de Calidad de los datos de los FIPP tiene una contrapartida en el RGPD: el artículo 5 exige que los datos personales sean "exactos y, en caso necesario, se mantengan actualizados; deben tomarse todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta los fines para los que se tratan, se borren o rectifiquen sin demora."

Es importante señalar que estos marcos de privacidad no coinciden exactamente con los FIPP en sus descripciones y requisitos. Las organizaciones que quieran cumplir con el RGPD, la CCPA o cualquier otra legislación en materia de privacidad deben asegurarse de que siguen los requisitos de esas legislaciones específicas, y no solo los de los FIPP.

¿Sigue Cloudflare las Prácticas justas de información?

Todos los empleados de Cloudflare están obligados a realizar una formación sobre protección de datos que les sirva de introducción en las Prácticas justas de información, además del RGPD y otras leyes importantes de protección de datos. Cloudflare ha lanzado también una serie de productos (algunos de los cuales son gratuitos) para mejorar la privacidad de los usuarios. Entre estos productos se incluyen:

Para más información sobre el compromiso de Cloudflare con la privacidad de datos, lee las últimas actualizaciones en el blog de Cloudflare.