Traducción: Paula Zapatero Santos (2016)
(Silvère Mercier, (2016): “Vie privée et bibliothèques : enjeux et bonnes pratiques“. Bibliobsession)
El pasado mes de diciembre se celebró la asamblea general del grupo de la región Isla de Francia de la ABF (Asociación de Bibliotecarios de Francia), de la que fui elegido vicepresidente. Con motivo de este evento, tuvo lugar una media jornada de estudio, que fue organizada por el inigualable Thomas Fourmeux, quien fue elegido tesorero. En el siguiente enlace pueden encontrar la estructura del Consejo de Administración y de la Mesa Directiva y de la Mesa. Thomas se encargó de la introducción, de la que pueden ver un extracto a continuación.
Razones por las que los bibliotecarios deben interesarse por la protección de los datos personales de los usuarios
«El desarrollo fulgurante de la sociedad digital y del impacto de ésta en las prácticas de las personas han invitado a las bibliotecas a renovar su misión de acompañamiento y ayuda al dominio de las tecnologías y de la comunicación modernas. Esta misión se presenta bajo el vocablo de alfabetización digital; es decir, la habilidad y la capacidad de utilizar las herramientas y aplicaciones digitales, la capacidad de comprender de forma crítica el contenido y las herramientas de los medios de comunicación digitales, así como el conocimiento y la pericia para crear gracia a la tecnología digital para hacer de cada ciudadano un miembro activo de una sociedad libre y democrática. Hoy en día, ya no basta con saber leer y escribir para ser parte de la vida en sociedad, sino que también es necesaria la capacidad de utilizar, entender y crear en un entorno digital. Los bibliotecarios somos actores privilegiados por poder llevar a cabo esta misión y acompañar a los usuarios».
Esta reflexión se extiende a toda la profesión, incluso a escala internacional. La IFLA publicó ya hace varios años un Manifiesto sobre Internet [en francés] en el que se podía leer lo siguiente: «Las bibliotecas y los servicios de información (…) tienen la responsabilidad de (…) esforzarse por garantizar la privacidad de los usuarios y que continúen siendo confidenciales las fuentes y servicios que utilicen». El mensaje es muy explícito. Recientemente, con motivo de la celebración de su último congreso, la IFLA publicó un comunicado en el que instaba a los bibliotecarios a ser consciente de la urgencia de la situación[en francés]. Pero también se señalaba que, a veces, pueden ser cómplices de la utilización de datos personales, especialmente en el marco del desarrollo del mercado de recursos digitales. En su comunicado, la IFLA explica que:
Los servicios comerciales de Internet, incluidos los que se utilizan para suministrar servicios bibliotecarios y de información, recopilan una gran cantidad de datos sobre los usuarios y su comportamiento. A su vez, dichos servicios pueden vender los datos de sus usuarios a terceras partes que, como consecuencia, tienen la capacidad de actuar a partir de esos datos, suministrando, monitorizando o denegando prestaciones.
Pues sí. Muy a nuestro pesar, participamos en la utilización de los datos personales de los usuarios. Tomemos el ejemplo de una prestación que está causando actualmente una gran polémica dentro de la profesión. Hablo, por supuesto, del Préstamo Digital en Biblioteca. El Préstamo Digital es un dispositivo que permite a las bibliotecas poner a disposición de los usuarios libros electrónicos. Sin embargo, los libros «prestados» están sujetos al DRM. Este candado, que impide la copia de los archivos, requiere la utilización de un programa específico que se llama Adobe Digital Editions, desarrollado por la empresa Adobe. El año pasado, se desencadenó una polémica relacionada con este programa. Se descubrió que Adobe espiaba los ordenadores de los usuarios de Adobe Digital Editions. Y no sólo eso, sino que además proporcionaba los datos que recopilaba a sus servidores. Dicho de otro modo: cualquier persona malintencionada podía apropiarse de estos datos sin ningún problema. En este caso, las bibliotecas se convierten en cómplices de esta exposición de datos personales. Pero, por desgracia, el Préstamo Digital no es el único ejemplo en el que los usuarios deben sacrificar sus datos personales para acceder a un servicio suministrado por la biblioteca.
Queridos compañeros, debemos sentirnos obligados a proteger de la mejor forma posible la privacidad y la libertad de expresión de los usuarios. Y disponemos de herramientas para hacerlo. El propio documento de la IFLA es una de estas herramientas. Les invito a leerlo si aún no lo han hecho o a releerlo si ya lo han hecho. Entre las recomendaciones de la IFLA, voy a mencionar alguna que es importante que no olvidemos:
• Los servicios bibliotecarios y de información deben asegurar la capacidad de los usuarios de tomar decisiones bien informados, emprender acciones legales y sopesar los riesgos y beneficios de sus comunicaciones y del uso de servicios en Internet.
• La protección de los datos y de la privacidad deben formar parte de la alfabetización mediática e informacional de los usuarios de los servicios bibliotecarios y de información. Esta formación debe incluir herramientas que se puedan utilizar para la protección de su privacidad.
•La formación de los profesionales de la biblioteconomía y la documentación debe incluir prácticas y principios para la protección de los datos y de la privacidad en un entorno conectado en red.
Por nuestra parte, también disponemos de un documento que la ABF ha elaborado este año. Se trata de la carta Bib’Lib [en francés] que puede utilizarse como recurso contra algunas decisiones que constituyan un peligro contra la capacidad de los ciudadanos para acceder a la información y al conocimiento. El hecho de que alguien entre en una biblioteca sin estar inscrito, consulte un libro y se vaya no molesta a nadie. Ahora bien, entonces, ¿por qué este mismo usuario debería inscribirse en el entorno digital, comunicar su nombre, su dirección postal, proporcionar una dirección de correo electrónico y un número de teléfono para consultar Wikipedia?
Es cierto que existe un marco legal que prevé un determinado número de disposiciones, pero, en ocasiones, también se produce una autocensura por nuestra parte. A veces, somos más papistas que el Papa e imponemos exigencias mucho más estrictas que las que establece la ley para acceder a la conexión Wi-Fi o para utilizar los ordenadores. No obstante, hablaremos de este tema en futuras intervenciones.
Les invito de nuevo a que lean la carta Bib’Lib [en francés] si no lo han hecho, y en especial el punto 6 sobre «el derecho de acceder a un internet público, abierto y fiable. Las bibliotecas no deben establecer restricciones ni limitaciones al acceso a Internet, salvo las que dispone la ley, ya sea en términos de identificación del usuario, de ancho de banda o de filtrado de contenidos». O también «Durante una consulta en Internet en la biblioteca, los ciudadanos deben tener la garantía de que se respeta su derecho a la privacidad y de que no se recopila ninguno de sus datos personales ni se transmite a terceros, salvo en casos explícitamente establecidos por ley».
Bib’lib – Biblioteca para el acceso libre a la información y al saber
Una carta es un sello que garantiza el derecho fundamental de los ciudadanos el acceso al saber y a compartir información mediante las bibliotecas. Folleto de la carta signataria en 2014 de la «Declaración de Lyon sobre el acceso a la información y el desarrollo» presentado durante el 80º congreso de la IFLA, durante el cual la ABF se comprometió…
ASOCIACIÓN DE BIBLIOTECARIOS DE FRANCIA
Queridos compañero, el debate está abierto. Espero que aprovechen esta media jornada de estudio para preguntarse acerca de su propia práctica. Como ya sabrán, tenemos por delante un gran trabajo y no debemos descuidar nuestra acción a la hora de conseguir estos nuevos objetivos. Reflexionemos sobre las condiciones de uso de datos personales cuando nos abonamos a un recurso en línea. Pensemos en los usuarios cuando apostamos por el software propietario.
Termino mi intervención citando el eslogan de Framasoft: “La route est longue mais la voie est libre…”, es decir, el camino es largo pero está libre.
Las buenas prácticas de la BULAC: un ejemplo a seguir
La media jornada contó con las intervenciones de Thomas Jacqueau y Benjamin Guichard de la BULAC de París(Biblioteca Universitaria de las Lenguas y las Civilizaciones), que compartieron un elemento muy importante: ejemplos de buenas prácticas precisas y documentadas. Estas prácticas son aplicables más allá del ámbito de las bibliotecas universitarias y, en concreto, validan el análisis jurídico escrito por Lionel Maurel sobre el acceso a Internet en las bibliotecas [en francés] que la IABD publicó en 2010. Ambos tuvieron a bien contestar a mis preguntas. ¡Muchas gracias!
§ Thomas Jacqueau, informático cualificado, consultor de Protección de Datos en la BULAC, donde trabaja desde 2005.
§ Benjamin Guichard bibliotecario cualificado, fue responsable de la selección informática de la BULAC, donde ocupa actualmente el cargo de director científico.
¿Qué datos es obligatorio conservar cuando se proporciona acceso a Internet en una biblioteca?
En realidad, muy pocos. A primera vista, las obligaciones de la legislación parecen un rompecabezas entre las obligaciones de seguridad y los imperativos de protección de datos personales que controla la CNIL, la Agencia Francesa de Protección de Datos. Sin embargo, cuando una biblioteca o un cibercafé proporcionan acceso a Internet a sus usuarios, ejercen como «operador interno»: su única obligación es conservar durante un año «las informaciones facilitadas por los procesos de comunicación electrónica, susceptibles de ser registrados por el operador durante comunicaciones electrónicas de los que éste asegura su transmisión y que son pertinentes en virtud de los objetivos que persigue la ley». Esto quiere decir de forma muy precisa que la ley no obliga a autenticarse ni identificarse si no se hace para dar acceso a este servicio a los usuarios. Los datos mínimos que se exigen son los que sirven para asegurar la telecomunicación: bien la dirección del ordenador utilizado (dirección IP o dirección MAC, que corresponde a la identificación de la tarjeta de red) y la dirección IP del servidor que hospeda el sitio web al que se quiere acceder. Es importante saber que hay datos que tiene absolutamente prohibido recopilar y conservar: los datos intercambiados, por supuesto, y también la URL de los sitios web a los que se accede.
Un documento de la CNIL esclarece especialmente bien el contexto jurídico en este ámbito[en francés].
Las bibliotecas a menudo van más allá de estas obligaciones. ¿Cuáles son las consecuencias?
No sólo las bibliotecas. Basta con consultar los resúmenes anuales de controles de la CNIL; por ejemplo, el de 2014[en francés]. Frecuentemente, en las bibliotecas se sobrepasan los límites al exigir al usuario autenticarse, bien debido a lógicas de servicios complicados que jerarquizan los usos y a los usuarios más o menos legítimos, bien debido a lecturas abusivas de la reglamentación por los responsables informáticos.
El primer riesgo es exponerse a la recogida de datos ilegales, como ya he mencionado con el tema de las URL. Pero además, podemos complicarnos la vida: la ley impone que sólo un pequeño número de datos deben recogerse. Sin embargo, también precisa que todos los datos recopilados deben conservarse si pueden utilizarse para identificar un uso en el marco de una investigación judicial. La recogida de estos datos implica su almacenamiento de forma segura durante 1 año, algo que puede ser vinculante en términos administrativos y de protección de estos datos (toda conservación abusiva o fuga de estos datos durante un acto de piratería pondría en riesgo al establecimiento). Por eso, decidimos que los ordenadores de las salas de lectura y el acceso a internet no requerirían identificación.
¿Cuál es la diferencia entre las redes wifi y las redes alámbricas?
Legalmente, ninguna. Pero, por definición es más difícil delimitar geográficamente dónde se encuentran los usuarios que se conectan a una señal wifi. Entonces, si quiero cubrir la totalidad de un espacio con una señal de buena calidad, ¿cómo evitar que no se capte desde la calle, desde el piso de abajo o desde la habitación de al lado? Si un usuario que se encuentra en el exterior ataca o hackea mi red, las represalias que puedo tomar son más dificultosas (búsqueda de la fuente del ataque, persecución, exclusión reglamentaria, etc.). Por no hablar de las obligaciones con los proveedores de recursos electrónicos. En resumen, habitualmente tendemos a pedir autenticación a los usuarios de una red inalámbrica para poder controlar a la población usuaria. Otra solución podría ser cubrir sólo una parte de la sala de lectura, sin riesgo de «fuga» de señal al exterior. Cuando se concibió la BULAC, se descartó la opción del wifi porque era muy caro y complejo de programar. Sin embargo, este no sería necesariamente el caso hoy en día. Por tanto, se instaló en su lugar una red alámbrica de banda ancha. No es wifi, pero se trata de una red de fácil acceso que no requiere log in ni contraseña. Además, ofrece una velocidad fiable y estable de 100 Mb/s y sin límite de duración en ninguno de los 600 y pico puestos de lectura. ¡No está mal tampoco! Pero debo admitir que los usuarios con tabletas y portátiles sin puerto Ethernet se ven discriminados por esta medida cuando tienen que trabajar con su material.
¿Existe algún reglamento para las notas que toman los profesionales e introducen en el sistema informático sobre el comportamiento de algunos usuarios? ¿Cómo se cumple?
Para simplificar el tema, diré que estos datos son de carácter personal; es decir que simplemente están sometidos a lo establecido por la ley francesa «Informática y Libertades» (evidentemente, en primer lugar, la declaración del procesamiento del que forman parte).
La CNIL ha redactado un documento sobre este tema[en francés]. En concreto, damos orientaciones a nuestros compañeros para indicar esas zonas de notas y recordar que son susceptibles de ser vistas por los usuarios y exigimos limitar los comentarios a recordatorios sobre los puntos que determina el reglamento.
Regularmente, el contenido de las zonas de notas de los usuarios se extraen del SIGB y pasan a manos del consultor de Protección de datos o de un compañero responsable de servicios prestados al público: los mensajes abusivos, subjetivos, ambiguos, etc., se suprimen o reformulan.
¿Qué hacer para utilizar los datos estadísticos de las colecciones sin entrar en conflicto con la ya mencionada ley francesa de «Informática y Libertades»?
Cuando los datos de carácter personal recogidos para su procesamiento se destinan a alimentar estadísticas, se debe anunciar este propósito subyacente al usuario a la hora de recolectar la información. Es normal que los servicios gestores tengan acceso a los datos personales para producir información estadística, pero, evidentemente, sólo durante el periodo de su conservación. Esto es lo que explicaba Benjamin: si los procesamientos intervienen después de este periodo, los datos conservados deben ser anónimos o ya agregados sin tener ya el estatus de datos de carácter personal. En cuanto al resultado de los procesamientos, éstos no deben permitir ningún tipo de nueva identificación de las personas físicas implicadas por ningún tipo de medio (especialmente el cotejo de datos con otros archivos) Por ello, debemos ser muy prudentes con los datos que conciernen sólo a un pequeño número de usuarios. Documento de la CNIL sobre el tema[en francés].
En todas las páginas de nuestro catálogo, indicamos a los usuarios los siguientes elementos:
Procesamientos de datos personales
Las informaciones recogidas por la BULAC serán objeto de un procesamiento informático destinado a la gestión de las inscripciones, de los préstamos de obras, de la reserva de espacios de trabajo y del acceso a la biblioteca. También podrán utilizarse para elaborar estadísticas. Los datos se destinarán exclusivamente a los servicios de la BULAC responsables de la ejecución de estos procesamientos.
De conformidad con la ley de «Informática y Libertades» del 6 de enero de 1978 modificada en 2004, usted se beneficiará del derecho de acceso y de rectificación de sus datos, que podrá ejercer dirigiéndose al consultor de Protección de datos de la BULAC (cil@bulac.fr, 65 rue des Grands Moulins, 75013 PARÍS). Por motivos legítimos, también podrá oponerse al procesamiento de sus datos.
La página web www.bulac.fr utiliza Google Analytics para compilar sus estadísticas de consulta. Si desea inhabilitar Google Analytics para su navegador, puede instalar este complemento en su navegador.
Más precisamente, al igual que muchas bibliotecas, necesitamos elaborar estadísticas de préstamo cruzadas con el perfil de nuestro público (somos una biblioteca universitaria y tenemos la ambición de cotejar los datos de préstamo con el establecimiento de origen, el nivel de estudio e incluso la rama de conocimiento en cuestión). Cuando los datos de préstamo pasan a ser anónimos, el número del usuario desaparece de la tabla de préstamo. Por tanto, no puede establecerse un vínculo entre los préstamos y los datos de perfil. Por eso, las estadísticas de préstamo deben realizarse con anterioridad. Para evitar los olvidos desafortunados, hemos creado una extracción periódica automáticas de las estadísticas más frecuentes que se almacenan en un depósito de datos. De esta forma, respetamos los plazos sin arriesgarnos a que se nos olvide. No obstante, se ha requerido de antemano un preciso registro de las necesidades de indicadores de los diferentes servicios.
¿Cuáles son las reglas relativas a la videovigilancia en los edificios públicos? En concreto, ¿han tenido ya solicitudes de los servicios policiales?
En resumen, las cámaras que graban espacios públicos (interiores o exteriores) deben declararse en la prefectura de policía. El resto, a la CNIL o al consultor de Protección de datos) Ver detalles y textos de referencia[en francés].
Normalmente, recibimos solicitudes de las autoridades. Sólo aceptamos estas peticiones cuando provienen de «terceros autorizados» y tras verificar los principios jurídicos en las que se basan.
Aquí podrán ver un breve catálogo (no exhaustivo) de las situaciones en las que un responsable de procesamiento está autorizado a transmitir datos personales a un tercero.
¿Es posible, por ejemplo, utilizar las direcciones de correo electrónico de los usuarios de la biblioteca para suscribirlos de forma automática a un boletín informativo?
Por supuesto que no. Esto representaría una recolección desleal e ilícita de datos de carácter personal (5 años de cárcel y una multa 300 000 €…) Una información recopilada por un procesamiento A no puede servir para un procesamiento B. Al fin y al cabo, se trata de finalidades diferentes, procesamientos distintos y recolecciones de datos separadas Pero si el usuario está bien informado durante su suscripción de que su dirección se utilizará igualmente a este fin y que en todo momento puede cancelar su suscripción, no habría ningún problema. Un documento útil sobre el tema[en francés].
El servicio de Préstamo Digital utiliza el software Adobe. ¿Esta práctica es conforme a las reglas en vigor? ¿Cuáles son los riesgos?
¿Puedo pasar palabra? Me hago una idea de cuál sería la respuesta, pero no utilizamos el Préstamo Digital ni el programa Adobe Reader, así que no estoy en posición de responder.