Federal Trade Commission

PROTEGIENDO LA
PRIVACIDAD A TRAVES DEL
CUMPLIMIENTO DE LA LEY

24 de Noviembre, 2005
Seminario Internacional de Brasil sobre
Protección de Datos
U.S. Federal Trade Commission
 AGENDA
 La protección de la privacidad en E.E.U.U.
 La FTC y la privacidad
• La privacidad en la FTC Act
• La privacidad bajo otras leyes
 En profundidad
• Robo de identidad
• Spam y Soyware
• Do not call
• Cooperación internacional para el cumplimiento de la ley
• Educación
 Privacidad en EEUU

 Uso de información v. abuso de la

información
 Daño a los consumidores
 Buscando el equilibrio: beneficios
del uso correcto de la información
 La FTC
 Agencia líder en
protección de
consumidores en los
E.E.U.U. (competencias
civiles)

 Jurisdicción para
perseguir prácticas
comerciales
fraudulentas o desleales
 COMPETENCIAS DE
LA FTC
 FTC Act (Section 5) sobre prácticas comerciales
fraudulentas o desleales
 FTC tambien aplica otras 45 leyes y mas de 30 reglamentos
 Leyes relacionadas con la privacidad incluyen:
• Gramm-Leach-Bliley Act
• Fair Credit Reporting Act
• Children’s Online Privacy Protection Act
• CAN-SPAM Act
 EL CASO DE GATEWAY
LEARNING
 Gateway paso a otras empresas
información personal sobre los
consumidores que había obtenido a través
de su pagina web violando su propia
política de privacidad.
 La FTC alegó la forma en que Gateway
cambio su política de privacidad.
 La FTC alegó que Gateway había incurrido
en una conducta fraudulenta y desleal.
GATEWAY WEB SITE (2005)
POLí
POL TICA DE PRIVACIDAD
DICIEMBRE 2001
 EL PRIMER PROBLEMA
 En contra a sus promesas, Gateway
comparte información sobre los
consumidores.
 La información incluye nombre y
apellidos, dirección, número de
teléfono, historial de compra, y edad y
sexo de los hijos.
 Pero eso no es todo…
POLÍTICA DE PRIVACIDAD
JUNIO 2001
 THE SECOND AND THIRD
PROBLEMS
 Gateway posted a revised privacy policy
that permitted third-party sharing
 But
• Did not take any other steps to alert
consumers to the change
• Gateway proceeded to rent to third
parties information that consumers
had provided under the earlier policy.
 And so…
 LA DEMANDA
I (Fraude)
 Gateway alegó falsamente que
• (1) no vendería, alquilaría o prestaría a
terceros información personal de sus
clientes.
• (2) no proporcionaría a terceros bajo
ningún concepto información personal
de menores de trece años.
 LA DEMANDA:
II (Práctica desleal)

 Cambiar sustancialmente la política

de privacidad y aplicando la nueva
política de manera retroactiva.
 La Demanda:
III (Fraude)
 Gateway prometió que notificaría a
los consumidores sobre cualquier
cambio en su política de
privacidad.
 La FTC y la aplicación de
correctas medidas de
seguridad
1. La seguridad de la información es un proceso
continuo.
2. Las medidas de seguridad tienen que ser
razonables y adecuadas a las circunstancias.
3. Un quebrantamiento de la seguridad no significa
necesariamente que una empresa no haya
empleado medidas de seguridad adecuadas.
4. Las prácticas de una empresa pueden no ser
razonables incluso si no ha ocurrido un
quebrantamiento en la seguridad.
PETCO ANIMAL SUPPLIES
 nationally known, publicly-held
company
 retailer of premium pet food, supplies
and services
 generated net sales of $1.48 billion in
the fiscal year ended February 1, 2003
 operates 636 stores in 43 states
 marketed and sold pet food and
supplies to consumers through its
website since February 5, 2001.
POLÍTICA DE PRIVACIDAD
PETCO
SQL Injection Attack
 DECISIÓN
 Explicar de manera adecuada hasta qué
punto se mantiene la seguridad y
confidencialidad de la información
personal que recoge sobre sus clientes.
 Establecer y mantener un programa de
seguridad adecuado.
 Obtener una evaluación independiente de
su programa de seguridad cada dos años
durante 20 años.
 BJ’S WHOLESALE CLUB
 Public company that operates about
150 stores and 78 gas stations in 16
U.S. states
 Membership club with 8 million
members
 Net sales of about $6.6 billion in 2003
 MEDIDAS “NO RAZONABLES”
 No usar métodos de codificación.
 Guardar la información en ficheros que se
podían acceder de manera anónima.
 No limitar el acceso inalámbrico a su red.
 No emplear medidas adecuadas para
detectar un acceso sin autorización.
 Guardar información durante 30 días sin
un motivo para ello.
 LA DEMANDA
 La combinación de estos fallos demuestra
que BJ’s no usó medidas adecuadas y
razonables para proteger la información de
sus clientes.
 La información robada se usó para hacer
duplicados de las tarjetas con los que se
realizaron compras por valor de varios
millones de dólares.
 Las prácticas de BJ’s eran desleales.
 ROBO DE IDENTIDAD

 Educación de consumidores.
 Teléfono gratuito y website para presentar
quejas.
 Base de datos para otras agencias que
aplican la ley.
 SPAM
 Educación, investigación y cumplimiento
de la ley.

 80 casos, 225 encausados.

 Cooperación internacional para el

cumplimiento de la ley.
 SPYWARE
 Seminario sobre spyware.

 Educación.

 6 casos.
 DO NOT CALL
 Invasión en la privacidad de los hogares.

 109 889 044 números de teléfono.

 14 casos.
 COOPERACIóN
INTERNACIONAL
 US SAFE WEB Act.

 Compartir información.

 Asistencia en investigaciones.
 EDUCACIóN

 OnGuard Online / Alerta en línea.

 Tú puedes participar.
www.ftc.gov/privacy
Federal Trade Commission

¿Preguntas?

24 de Noviembre, 2005
Seminario Internacional de Brasil sobre
Protección de Datos
U.S. Federal Trade Commission