Privacidad en línea para organizaciones sin ánimo de lucro: Guía de buenas prácticas

English

Lea el artículo del blog sobre por qué deberías minimizar la recopilación de datos.

Saltar al contenido principal ↓

Tabla de contenidos:

Principios para una organización protectora de la privacidad
Si eres una organización pequeña o acabas de empezar a pensar en la privacidad
- Cree un plan de seguridad:
- Crear un balance de las protecciones que ya existen y de las que hay que añadir:
Si se trata de una organización con más recursos o que recopila a sabiendas información de marketing o de los usuarios:
Recomendaciones prácticas para respetar la privacidad de los usuarios digitales
Las empresas deben ofrecer mejores opciones de privacidad por defecto
¿Tiene alguna sugerencia? Queremos escucharle

a series of cursors, each a different color, starting with black and ending with purple. this is a section break

Principios para una organización protectora de la privacidad:

Si trabajas en una organización sin ánimo de lucro o en un grupo de la sociedad civil, puedes ayudar a proteger la privacidad digital de tus clientes y simpatizantes de varias maneras. Puede que no todos los consejos se apliquen a usted, pero todos los principios deberían ser útiles para pensar en cómo avanzar hacia mejores prácticas de privacidad.

Si eres una organización pequeña o acabas de empezar a pensar en la privacidad:

Esta guía está pensada para que las organizaciones mejoren sus prácticas de privacidad, con especial atención al marketing y a la analítica. Sin embargo, dado que muchas organizaciones también pueden querer considerar las prácticas de privacidad de forma más holística, nuestros dos primeros principios y pasos deberían ser ampliamente aplicables independientemente del seguimiento que se realice.

Cree un plan de seguridad:

Planteese esto como un ejercicio necesario con su equipo y pregúntese: ¿Qué datos tenemos que son privados o deben ser protegidos? ¿De quién queremos proteger los datos? ¿Qué probabilidad hay de que tengamos que proteger esos datos? Y, por último, ¿cuáles son las consecuencias si fallamos? Esta breve guía le guiará a través de cómo podría pensar de quiénes pueden necesitar ser protegidos sus datos, y por qué.

Crear un balance de las protecciones que ya existen y de las que hay que añadir:

Es útil empezar a pensar en lo básico. ¿Quién tiene acceso a los datos de los usuarios o partidarios? ¿Están los datos encriptados en tránsito y en reposo? ¿Tienes contraseñas fuertes y únicas para proteger las cuentas que pueden acceder a estos datos? ¿Está activada la autenticación de dos factores en las plataformas en las que es posible? Y ni siquiera estamos tocando todo aquí: hay mucho que tener en cuenta para la seguridad de los datos. Si no conoces ninguno de estos términos, te recomendamos que leas al menos algunas de las guías enlazadas a continuación. Si trabajas en una organización más grande o subcontratas trabajo tecnológico, pregunta a tus equipos de soporte técnico y de desarrollo web qué protecciones existen para los datos de los usuarios.

Creación de contraseñas seguras: Esta guía de la EFF explica cómo crear y almacenar contraseñas muy seguras.
Lo que debería saber sobre el cifrado: No hace falta ser un criptólogo para entender las ventajas de los datos y las comunicaciones cifradas. Esta guía de la EFF le guiará a través de la terminología básica, para que pueda entender si las herramientas que está utilizando satisfacen sus necesidades.
Cómo evaluar la seguridad de los datos de un proveedor: Esta guía de la EFF cubre los aspectos básicos de la seguridad de los datos que hay que tener en cuenta cuando se consideran las herramientas de software o las empresas, como el software de gestión de las relaciones con los clientes (CRM).
La herramienta de evaluación de la ciberseguridad de las organizaciones sin ánimo de lucro de la Fundación Ford le guiará a través de la madurez, resistencia y solidez de los esfuerzos de ciberseguridad de su organización.
Seguro y documentado para el activismo, Políticas y procedimientos de seguridad para organizaciones activistas puede ayudarle a crear políticas y protocolos de seguridad para organizaciones de la sociedad civil.
La aplicación SOAP es una herramienta en línea para crear políticas de seguridad.
What Nonprofits Need to Know About Security (Lo que las organizaciones sin ánimo de lucro deben saber sobre seguridad), de TechImpact (también hay un curso asociado por 60 dólares)
El NDI ha creado un Manual de ciberseguridad para organizaciones de la sociedad
El Fondo de Defensa Digital tiene un paquete de diapositivas sobre seguridad y administración de datos.
Frontline Policies de Open Briefing es una herramienta para las organizaciones sin ánimo de lucro que no pueden financiar de otro modo el desarrollo de políticas de seguridad.

Si se trata de una organización con más recursos o que recopila a sabiendas información de marketing o de los usuarios:

Recoja sólo los datos que realmente va a usar:

Para muchas empresas, la práctica de recopilación de datos que rige es "recogerlo todo, ya veremos cómo monetizarlo después". Pero para las organizaciones sin ánimo de lucro que se preocupan por respetar la privacidad de los usuarios, recomendamos el enfoque opuesto: si no estás utilizando los datos, es probable que no los necesites.

Por ejemplo, muchas plataformas de envío de correos facilitan la realización de pruebas "split" o "A-B" de diferentes versiones de un correo electrónico, para ver cuál es más eficaz. Para determinar esto, generalmente emplean una variedad de métodos de seguimiento. Los píxeles de seguimiento invisibles dentro de los correos electrónicos se utilizan para indicar a una plataforma de correo la dirección IP del destinatario y la hora del día en que se abrió un correo electrónico. Los enlaces en los correos electrónicos incluyen automáticamente una redirección que permite a la plataforma determinar qué IP hizo clic en cada enlace, cuándo y con qué frecuencia. Entre otras cosas, esto también permite a un cliente enviar automáticamente correos electrónicos adicionales a los destinatarios que abren o hacen clic en determinados correos. Pero si no está utilizando pruebas A-B, y no está utilizando correos electrónicos de seguimiento automatizados, es menos importante utilizar estas características y recoger estos datos.

Muchos, muchos sitios, organizaciones, empresas y personas no utilizan ni de lejos todos los datos que recogen para obtener información real. Es simplemente un defecto, y las herramientas de análisis más populares, como Google Analytics, y las plataformas de correo más populares, como Mailchimp o ActiveCampaign, implementan este tipo de seguimiento automáticamente. El uso de las herramientas web más comunes, por desgracia, significa que incluso una organización centrada en la privacidad probablemente esté recopilando (o contribuyendo a la recopilación de) enormes cantidades de datos sobre sus usuarios. Aunque muchas empresas y organizaciones estarían satisfechas con datos anónimos y agregados sobre los visitantes de su sitio web, o con la obtención de información general sobre el uso del correo electrónico en lugar de datos granulares sobre cada destinatario específico, lamentablemente estas no son opciones en la mayoría de las herramientas. A continuación enumeramos algunas de las formas de activar estas funciones.

Si va a recopilar datos, considere la posibilidad de utilizar valores anónimos cuando puedas: Imagina que quieres saber de dónde procede el tráfico de tu sitio web, o cuántas personas hacen clic en un enlace de un correo electrónico que envías. Puedes saber esto respetando la privacidad del usuario. Cambiar a opciones agregadas y anónimas para el recuento de visitantes le dirá cuántas personas llegaron a su sitio desde otro sitio. Si se añaden parámetros a los enlaces de un correo electrónico, normalmente se puede saber cuántos destinatarios han hecho clic en el enlace, pero no se puede saber quién ha hecho clic específicamente ni cuándo. Cuando la EFF está interesada en saber cuántas personas hacen clic en un enlace de nuestro correo electrónico que remite a nuestro sitio web, podemos añadir un parámetro -como "?utm_source=JuneEFFector"- a ese enlace, y averiguarlo a través de nuestra herramienta de análisis, que de otro modo sería anónima.

Como otro ejemplo, The Internet Archive descubrió que, aunque preferían no utilizar el seguimiento de apertura en sus correos electrónicos a los suscriptores, a lo largo de los años se habían añadido a su lista demasiadas direcciones de correo electrónico inalcanzables, y algunas direcciones de correo electrónico se habían convertido incluso en trampas de spam. Para seguir trabajando con su proveedor de servicios de correo electrónico, necesitaban activar algún tipo de seguimiento. Necesitaban datos de apertura de correo electrónico para saber si una dirección de correo electrónico seguía activa o no; pero no necesitaban ni querían datos de género, edad o demográficos. Decidieron informar a los usuarios de que sus índices de apertura de correo electrónico eran objeto de seguimiento y ofrecerles la opción alternativa de suscribirse a versiones de texto plano de sus correos electrónicos, que no transmiten ningún dato.

Reconsidere su política de conservación de datos:

Si recoge datos, considere la posibilidad de borrarlos automáticamente con una frecuencia razonable. Por ejemplo, puede ser útil para nosotros en EFF saber qué partes de nuestro sitio son populares, y tener algunos registros para responder a problemas o errores. Aun así, suponemos que sólo necesitamos datos detallados durante siete días para solucionarlos, y por defecto sólo almacenamos las IPs de los visitantes mientras resolvemos activamente los problemas. Por lo demás, generalmente sólo registramos (de nuevo, durante un máximo de siete días) un solo byte de la dirección IP, así como la página de referencia, la marca de tiempo, la página solicitada, el agente de usuario, la cabecera de idioma, el sitio web visitado y un hash de toda esta información. Transcurridos siete días, sólo conservamos la información agregada de estos registros, que nos proporciona información básica sobre qué páginas se están viendo y de dónde proceden los usuarios. También geolocalizamos las direcciones IP antes de anonimizarlas y almacenamos sólo el país.

Para las analíticas, utilizamos una plataforma de código abierto llamada Matomo que tiene opciones de protección de la privacidad, como la anonimización de datos y la eliminación automática de registros, y que es gratuita si es autoalojada. Hay muchas otras plataformas gratuitas y de pago con protecciones de privacidad similares.

Independientemente de lo que recoja, los datos deben tener una fecha de caducidad clara, y no debe recoger o almacenar datos de los seguidores o visitantes que no necesite realmente.

Informe a los usuarios qué datos está recogiendo y por qué:

Los sitios web, las plataformas de redes sociales y todo tipo de herramientas en línea recopilan silenciosamente enormes cantidades de información después de "informar" a los usuarios en largas condiciones de servicio o políticas de privacidad legalistas, o en ventanas emergentes engañosas que dan a entender que la recopilación de datos es necesaria o buena para el usuario. Ayude a mantener a salvo los datos de sus visitantes haciéndoles saber qué información está recopilando, en términos claros y seguros. Elimine los "patrones oscuros" que pueden llevar a los usuarios a decir "sí, por favor, recoja mis datos", sin quererlo realmente, o que presionan para que se tome una determinada decisión. A continuación, aclare a los usuarios que (por ejemplo) se inscriban en una lista de correo electrónico, o que simplemente visiten su sitio, cómo protege su privacidad y cómo funciona cualquier recopilación de datos que realice. Te lo agradecerán

No comparta los datos a menos que sea necesario:

No comparta los datos que recopile más de lo necesario, y sólo con socios de confianza e investigados. Antes de compartir datos con nadie, debe establecer directrices sobre cómo se tratarán esos datos, y debe considerar la posibilidad de establecer también sus propias directrices. Si utiliza software de terceros para almacenar sus datos, confirme cómo se manejan esos datos y, si es posible, cambie el valor predeterminado para que proteja más la privacidad. Si te asocias con otras organizaciones, pregúntales sobre sus políticas de privacidad y protección de datos. Si sube las listas de donantes a Facebook para la segmentación de anuncios como forma de encontrar personas similares o para hacer publicidad a esos donantes, recuerda que esto es arriesgado y podría dar más información a Facebook de la que ya tiene.

a series of cursors, each a different color, starting with black and ending with purple. this is a section break

Recomendaciones prácticas para respetar la privacidad de los usuarios digitales

Si gestiona su propio sitio web y su lista de correo electrónico, debería poder seguir usted mismo muchos de los siguientes consejos. Sin embargo, algunas de las sugerencias pueden ser difíciles sin algunos conocimientos técnicos, así que si tienes un equipo de marketing o de la web (o un "técnico accidental" que gestione esto) podrías pasarles estas instrucciones.

Una forma fácil de empezar es instalar la extensión del navegador Privacy Badger de la EFF para ver qué tipo de seguimiento utiliza su sitio. Recuerde: Lo que nosotros llamamos seguimiento, muchas plataformas y sitios lo llaman análisis. Pero para mostrarte esos datos, tienen que recopilarlos.

Nota: estas recomendaciones fueron escritas en agosto de 2022. El cómo funciona el seguimiento cambia a menudo, y si considera que alguna de estas sugerencias es inadecuada o ya no es efectiva, por favor, háganoslo saber enviando un correo electrónico a nonprofitprivacy@eff.org Esperamos hacer una revisión con las sugerencias.

La publicidad en línea suele ser extremadamente invasiva para la privacidad. Lo mejor que puede hacer por la privacidad es excluir a su organización del ecosistema de vigilancia en línea. Pero si no puede hacerlo del todo, puede replantearse cómo hace el seguimiento de la eficacia de los anuncios que utiliza, y qué seguimiento se requiere para ello.

Formas rápidas de proteger la privacidad:

Comprueba si tu sitio tiene instalados rastreadores de anuncios. Para ello, puede utilizar la herramienta Privacy Badger de la EFF para obtener información aún más detallada sobre los rastreadores en su sitio, puede utilizar la herramienta Blacklight de The Markup. (Tenga en cuenta que no todos los resultados son motivo de preocupación: debe examinarlos detenidamente para determinar si recogen o comparten datos sensibles. Por ejemplo, algunos sitios que utilizan software para permitir a los usuarios copiar datos de un campo de formulario a otro, como la reutilización de su información de contacto en un campo de dirección de envío, pueden aparecer en Blacklight como "Encontramos este sitio web capturando las pulsaciones del usuario").
Los píxeles de seguimiento de Facebook envían a esta red social información detallada sobre las acciones que realizan los visitantes de su sitio web, incluso si no han iniciado sesión en Facebook. The Markup y Reveal publicaron recientemente un informe en el que se mostraba que, de casi 2.500 centros de embarazo en crisis, al menos 294 compartían información de los visitantes con Facebook, a veces incluyendo información como la de que un visitante había concertado una cita. The Markup también publicó otro informe en el que criticaba a Facebook por recibir información médica de los sitios web de los hospitales. Esto es peligroso e innecesario. La EFF ha utilizado mínimamente los anuncios de Facebook en el pasado, y lo hemos hecho sin añadir ningún tipo de seguimiento a nuestro sitio, ni subir nuestra propia lista de partidarios o donantes a Facebook.
Si por alguna razón es necesario que utilices un píxel de Facebook, puedes reducir la cantidad de datos que recoge y transmite a Facebook de tres maneras:
- En primer lugar, coloque el píxel sólo en las páginas necesarias o relevantes, como las que tienen tráfico publicitario en curso. Cree un "muro" entre todas las páginas que recojan información de los seguidores o clientes y las que sean páginas de aterrizaje para la publicidad que pueda estar haciendo. De este modo, podrá hacer un seguimiento de la eficacia de su publicidad sin necesidad de utilizar píxeles o código de seguimiento en todo su sitio.
- En segundo lugar, desactive la configuración automática, que impide que se transmitan los metadatos de los botones y de las páginas
- En tercer lugar, asegúrese de que la función Advanced Matching está desactivada. (Esta función permite que el píxel de seguimiento busque campos de formulario reconocibles y otras fuentes en su sitio web que contengan información como el nombre, el apellido y la dirección de correo electrónico, y transmita esa información junto con el evento, o la acción, que tuvo lugar).
Independientemente de los consejos anteriores, no debes subir listas de seguidores o donantes a Facebook u otras plataformas publicitarias. Esto se hace con frecuencia para crear audiencias personalizadas o similares en una plataforma publicitaria, o para excluir de tus anuncios a los simpatizantes que ya han expresado su interés o han hecho una donación. Puede ser difícil saber si estás dando datos de usuarios a una plataforma de terceros que no los tenía ya, así que es mejor no subirlos, nunca.

Si tiene el control absoluto de su sitio web, también debería:

Elimine todos los píxeles de Meta/Facebook que tenga en su sitio.
Elimine el código de seguimiento de Google de su sitio y no utilice Google Adwords si puede evitarlo. El modelo de negocio de Google depende en gran medida de la vigilancia de los usuarios. Por sí solos, Google Adwords o Google Analytics pueden no ser particularmente invasivos, pero cuando se conectan entre sí y se implementan en miles de millones de sitios web, Google es capaz de recopilar y almacenar enormes cantidades de datos acerca de dónde van los individuos en la web, incluyendo a su sitio. Si se le solicita, Google puede verse obligado a entregar estos datos a las fuerzas del orden. Intente pasar a un modelo publicitario que no dependa de la vigilancia. (Hay que reconocer que para algunas organizaciones es más fácil decirlo que hacerlo).
Recuerde: Existe una plétora de otros rastreadores de anuncios y cookies más allá de Meta y Google. Sin embargo, es probable que no los estés utilizando sin saberlo.

a series of cursors, each a different color, starting with black and ending with purple. this is a section break

Sitios Web:

Los sitios web son, probablemente, el lugar donde la mayoría de los usuarios interactúan por primera vez con su organización. Por ello, tienen el potencial de recopilar una enorme cantidad de datos sobre una amplia variedad de personas interesadas en su misión, o de sentar un precedente para los usuarios al incorporar una fuerte privacidad.

Formas rápidas de proteger la privacidad:

No utilice patrones oscuros. Un "patrón oscuro" es una interfaz de usuario que ha sido elaborada para empujar deliberadamente a alguien a hacer una elección que de otro modo no haría. Cada vez que un sitio web preselecciona "Apúntame a la lista de correo" en una página de pago, o incluye una ventana emergente que declara que "Las cookies de marketing nos ayudan a mejorar tu experiencia", está utilizando un patrón oscuro para empujarte a dar tus datos. Puede ver ejemplos de patrones oscuros aquí. En su lugar, recomendamos dejar muy claro lo que se le pide al usuario, y el efecto que puede tener sobre él, y darle siempre la opción de aceptar la recopilación de datos, en lugar de rechazarla.
Compruebe si su sitio funciona correctamente cuando se ve en una VPN, o considere la posibilidad de crear una réplica Tor Onion de su sitio.
No utilices captchas si puedes evitarlo. Suelen ser difíciles de resolver si alguien utiliza un navegador con protección de la privacidad.

Si tiene el control total de su sitio web, también debería:

Desactive o elimine el código de seguimiento analítico que invade la privacidad, los píxeles de seguimiento y las cookies, y cambie a herramientas analíticas que protejan la privacidad. ¿Quiere saber de qué país provienen sus visitantes? Genial. Nosotros también. Por suerte, puedes hacerlo sin Google Analytics. Pero debido a su ubicuidad, Google Analytics está instalado en muchísimos sitios web. En la EFF, en cambio, utilizamos una plataforma de análisis de código abierto llamada Matomo, que tiene una variedad de opciones de protección de la privacidad, como períodos de retención de datos personalizados y la recopilación de datos agregados que anonimiza los datos sin dejar de ofrecer un montón de métricas. (Esto no es un respaldo a ninguna herramienta en particular, es sólo una nota de que usamos tales herramientas, y usted debería ser capaz de encontrar una que se adapte a su propósito). Hay muchas otras plataformas de análisis que respetan la privacidad y que le darán la información básica que necesita, protegiendo mucho más la privacidad del usuario. Aunque Google Analytics tiene una configuración de IP anónima, otras plataformas de análisis permiten un control mucho mayor sobre la configuración de la recopilación y la retención de datos. Una vez más, puede obtener más información sobre el seguimiento de su sitio con la herramienta Privacy Badger de la EFF.
Asegúrese de que su sitio funciona si el usuario bloquea completamente las cookies. En lugar de (por ejemplo) exigir al usuario que seleccione un idioma antes de mostrar cualquier contenido, un sitio web debería elegir un idioma a partir de las pistas de las cabeceras HTTP del cliente, y recurrir a una suposición razonable. Si se utilizan cookies de seguimiento en el sitio, todos los usuarios deben tener la opción de optar por ellas; deben estar desactivadas por defecto. Esa opción debe ser lo más clara posible. Puede comprobar si su sitio funciona sin cookies de seguimiento instalando el Privacy Badger de la EFF.
No recojas los datos del formulario antes de que se envíe. Es probable que no lo hagas, pero algunos formularios y plugins de terceros ocultan intencionadamente los datos que recogen de los usuarios. Por ejemplo, algunos formularios en línea recopilan datos incluso antes de que los usuarios pulsen el botón de envío. No lo hagas, es espeluznante y viola el consentimiento del usuario. Estos formularios se utilizan, por ejemplo, para enviar correos electrónicos a personas que nunca han completado un proceso de compra o se han inscrito en una cuenta. La herramienta Markup's Blacklight puede indicarle si este tipo de software está instalado en su sitio.
Asegúrese de que no está utilizando rastreadores de publicidad también. Es posible que no se dé cuenta de que están en su sitio. Deben ser eliminados o reconsiderados cuidadosamente. (Para más información, consulte la sección sobre publicidad).
Rechace las medidas hostiles para el usuario, como la toma de huellas del navegador, que es cada vez más común a medida que las cookies pierden funcionalidad. Es poco probable que esté haciendo esto sin saberlo, a no ser que tenga configurado cierto seguimiento de anuncios en su sitio.

Si utilizas un constructor de sitios web de terceros, ajusta la configuración de análisis por defecto.

Squarespace, Weebly y otras herramientas tienen un sistema de análisis incorporado, pero a menudo puedes simplemente desactivarlo si no necesitas la información. Por desgracia, algunas herramientas de creación de sitios web de terceros no ofrecen acceso directo a los datos de borrado que el sitio recopila. Esto es lo que hemos aprendido sobre Weebly, Wix, Squarespace y Wordpress:
- En este momento, Weebly y Wix no permiten a los usuarios desactivar la recopilación de datos. (Nos hemos puesto en contacto con el servicio de asistencia de Weebly y Wix para confirmarlo). Es posible que puedas ponerte en contacto directamente con la empresa para eliminar los datos que tu sitio ha recopilado. Si utilizas una de ellas, considera la posibilidad de cambiar a una plataforma web que permita desactivar la recopilación de datos.
- Squarespace sí permite desactivar el seguimiento y las analíticas, lo que llaman Registro de Actividad y Analíticas. Desde la sección "Inicio", puedes ir a Configuración y luego a "Cookies y datos de visitantes". Desde allí, activa la opción "Desactivar las cookies de análisis de Squarespace" y desactiva el registro de actividad, como se indica a continuación.
  - "Desactivar el registro de actividad garantiza que no se recojan ni vean las direcciones IP de los visitantes ni otros datos personales".
  - "Desactivar las cookies de análisis de Squarespace se utiliza para evitar que coloque estas cookies no esenciales en los navegadores de los visitantes".
- Wordpress recien instalado (también conocido como Wordpress "vainilla") no viene con características de análisis. Sin embargo, muchas instalaciones de Wordpress suelen recoger automáticamente los datos analíticos a través de un plugin llamado Jetpack. Desactivar y borrar Jetpack debería desactivar la recogida de datos. Usted puede hacer esto visitando la sección de Plugins de la configuración de administración dentro de su instalación de Wordpress. Existe una variedad de plugins de Wordpress que recogen y muestran datos analíticos con más opciones de protección de la privacidad, pero no los hemos revisado cuidadosamente. (Wordpress ofrece sugerencias de privacidad para los desarrolladores de plugins que también podrían aplicarse a muchas organizaciones sin ánimo de lucro).

a series of cursors, each a different color, starting with black and ending with purple. this is a section break

Correo electrónico:

Muchas plataformas de correo electrónico hacen un seguimiento de quién abre los correos electrónicos y quién hace clic en los enlaces que contienen, lo que permite saber el grado de "popularidad" de los correos, o desencadenar acciones (es posible condicionar el envío de correos electrónicos sólo a quienes hacen o no hacen clic o abren otros correos). Este seguimiento puede incluso recoger la ubicación aproximada de los lectores de correo electrónico, potencialmente Hasta la calle donde vive..

De hecho, este seguimiento se ha vuelto omnipresente. Un informe mostró que dos tercios de los correos electrónicos recibidos por los usuarios contenían un píxel espía para rastrear las interacciones. La información que recogen estos rastreadores a veces puede ser útil, pero las personas de su lista de correo electrónico merecen recibir noticias suyas sin renunciar a su privacidad. Es poco probable que puedas gestionar una lista de correo electrónico sin compartir la información de tus suscriptores con tu proveedor de servicios de correo electrónico, pero puedes proteger su privacidad minimizando la cantidad de información que recogen en secreto los correos electrónicos que envías.

Formas rápidas de proteger la privacidad:

Puedes rastrear las visitas a tu sitio desde tus correos electrónicos de forma que se proteja la privacidad. Desactivar el seguimiento de clics dentro de su plataforma de correo (como Mailchimp) no le impide saber si se hace clic en un enlace de un correo electrónico a su propio sitio. En su lugar, puede utilizar manualmente los parámetros UTM en los enlaces de sus correos electrónicos, y la mayoría de las plataformas de análisis le permitirán ver cómo los usuarios llegaron a una página con ese enlace específico. (Por ejemplo, el enlace https://eff.org?utm_source=newsletter debería indicarnos a través de nuestra plataforma de análisis cuántos visitantes llegaron a nuestra página de inicio haciendo clic en el enlace del "boletín". Sólo tiene que añadir ?utm_source=email a los enlaces de sus correos electrónicos para ver esta información en la plataforma de análisis de su sitio web).
Puedes desactivar el "seguimiento de aperturas" y el "seguimiento de clics" del correo electrónico en muchas plataformas de correo populares, y deberías hacerlo siempre que puedas. Sin embargo, en algunas plataformas esto es difícil o imposible; si no está seguro de cómo hacerlo, puede ponerse en contacto con el soporte de su plataforma. También es posible enviar correos electrónicos en texto plano que (a menudo, pero no siempre) eliminan parte del seguimiento. Esto es lo que hemos aprendido de algunas herramientas populares:
Mailchimp y EmailOctopus hacen que el no seguimiento de sus lectores sea relativamente sencillo. Aquí están las instrucciones para desactivar el seguimiento de aperturas y clics en Mailchimp. Las instrucciones para EmailOctopus están aquí.
- Nota: The Markup informó de que Mailchimp, al menos, tiene un período de prueba durante el cual la desactivación del seguimiento de clics no provoca inmediatamente la desactivación del seguimiento de clics. Es posible que desee enviar algunos correos electrónicos de prueba para confirmar que el seguimiento se elimina después de desactivar estas características.
Otras plataformas como Campaign Monitor, Aweber y SendGrid hacen que sea más difícil desactivar el seguimiento, pero es posible.
GetResponse y SalsaLabs (con los que hemos hablado a través del servicio de asistencia), no parecen permitir la desactivación del seguimiento en absoluto. Lo mismo ocurre con Constant Contact.
Desgraciadamente, no hacer un seguimiento de las tasas de apertura de los correos electrónicos puede causar a veces problemas de "higiene" de la lista, ya que se hace difícil saber si los suscriptores de su lista siguen interesados. Puede enviar correos electrónicos de vez en cuando para asegurarse de que los suscriptores quieren recibir correos electrónicos, utilizando el seguimiento de aperturas o de clics, e informando a la gente de que el propósito de ese correo electrónico específico es determinar los suscriptores activos. En la sección de Principios encontrará más información sobre la forma en que el Archivo de Internet abordó este problema. Lo esencial es informar a los usuarios cuando se utiliza el seguimiento, y hacerlo de forma limitada cuando sea posible.

Servidores y arquitectura en línea:

Los servidores de su sitio web procesan y recogen regularmente datos sobre los visitantes de su sitio web, pero con algunos conocimientos técnicos, usted puede controlar cómo se hace.

Si tiene el control total de su sitio web, debe asegurarse de que:

Su sitio está disponible por defecto a través de HTTPS en lugar de HTTP sin cifrar. El "https" que se ve en un navegador significa HTTP sobre SSL, o Secure Sockets Layer. HTTPS cifra las comunicaciones entre los visitantes y su sitio web, lo que hace que la navegación sea más segura. Si su sitio no utiliza HTTPS, es probable que al visitarlo aparezca una advertencia de "no es seguro" en el navegador. La EFF dispone de una herramienta para ayudarle a configurar el HTTPS si aún no lo ha hecho: Certbot, que le ayuda a obtener automáticamente certificados HTTPS gratuitos para su sitio.
Los registros del servidor se eliminan automática y regularmente. Examine sus políticas generales de retención, porque ahora es el momento de eliminar sus registros. Piense detenidamente qué datos precisos necesita realmente (por ejemplo, si necesita comprobar si hay abusos o para depurar). A continuación, elimínelos con regularidad, por ejemplo, cada semana para los datos más sensibles. Es especialmente arriesgado conservar las direcciones IP. Evita registrarlas, o si tienes que registrarlas para la lucha contra el abuso o las estadísticas, hazlo en archivos separados que puedas agregar y eliminar con frecuencia. También puede requerir cierta experiencia técnica, y debe tener cuidado de que no esté borrando información pertinente que sea necesaria para el funcionamiento de su sitio web o de su organización.
Para los usuarios que tienen un sitio alojado por un tercero, la arquitectura del servidor puede ser difícil de modificar. Recomendamos que se ponga en contacto con su anfitrión para obtener asistencia, o que trabaje estrechamente con un tecnólogo para determinar qué opciones tiene para proteger la privacidad en su backend.

a series of cursors, each a different color, starting with black and ending with purple. this is a section break

Consejos adicionales para los visitantes de su sitio web:

También hay medidas que los usuarios pueden tomar para proteger directamente su privacidad en línea. Puede ofrecerles este consejo, si es oportuno:

Instala bloqueadores de rastreadores de terceros, como Privacy Badger, o la propia extensión "Analytics Opt-out" de Google.
Desactiva los Ad ID en teléfonos y tabletas. Tenemos instrucciones aquí.
Tenemos muchos más consejos de autodefensa de vigilancia disponibles en nuestro sitio de autodefensa contra la vigilancia.
Recuerde a las personas que no deben incriminarse en los formularios de admisión u otras comunicaciones a través del sitio (o del correo electrónico). (La admisión legal es diferente de otros tipos de formularios de admisión, ya que está protegida por el privilegio abogado-cliente). Considere la posibilidad de añadir algo como "Este formulario de admisión es para comunicaciones no privilegiadas, y no debe utilizarse para discutir actividades que puedan ser ilegales en su localidad". Este consejo depende de su modelo de amenaza: en algunos casos, es mejor diseñar un formulario que minimice la información que se recoge; por ejemplo, si la gente quiere obtener información para encontrar servicios de aborto o dónde obtener productos farmacéuticos para el aborto autogestionado. Y en otros casos, es mejor no utilizar un formulario y tener una llamada telefónica que no se conserve.

a series of cursors, each a different color, starting with black and ending with purple. this is a section break

Las empresas deben ofrecer mejores opciones de privacidad por defecto

Todos los pasos necesarios para convertirse en una organización más protectora de la privacidad pueden parecer abrumadores. Es indignante que una organización sin ánimo de lucro interesada en proteger la privacidad tenga que pasar por tantos obstáculos para hacerlo. Por desgracia, gran parte del ecosistema online se ha construido para monetizar la información, en lugar de protegerla. Y dado que las prácticas de privacidad que comentamos aquí generalmente no protegen a las organizaciones que son clientes directos de estas empresas de tecnología publicitaria, correo electrónico y sitios web, sino a las personas que visitan y/o apoyan a la organización a través de su sitio web, estas empresas de infraestructura a menudo no consideran la privacidad como su prioridad. Pero debería serlo.

Las plataformas deberían ofrecer una configuración de privacidad sencilla y dar por sentado que los usuarios la quieren por defecto. En lugar de obligar a los usuarios a navegar por menús complicados o a realizar cambios en cada envío de correo electrónico -o, peor aún, a navegar por otras plataformas-, las empresas de infraestructura deberían dejar claro y facilitar la desactivación de la recopilación de datos o la activación de la recopilación anónima y agregada. También deben ser claros sobre los datos que se recogen, tanto con sus usuarios como con los correos electrónicos o sitios web resultantes que incluyen esos métodos de seguimiento.

Si estás de acuerdo, puedes ayudar: pide a las empresas con las que trabajas que ofrezcan mejores opciones de privacidad. Las funciones no se añaden sin demanda, así que exijámoslo.

a series of cursors, each a different color, starting with black and ending with purple. this is a section break

¿Tiene alguna sugerencia? Queremos escucharle

Esta lista es sólo un punto de partida. Es imposible abarcar todas las formas en que se debe minimizar el seguimiento, especialmente a medida que la tecnología cambia y se crean nuevos métodos de seguimiento. También es probable que hayamos pasado por alto algunos consejos o cuestiones obvias. Si tiene sugerencias o herramientas que le hayan ayudado a proteger la privacidad, o cree que nos hemos equivocado en algo, nos encantaría que nos lo dijera. Envía un correo electrónico a nonprofitprivacy@eff.org con más información, y ¡gracias por acompañarnos! Esperamos poder ofrecer revisiones más adelante.

Además, si ha tenido éxito con estos u otros consejos de protección de la privacidad en su organización, ¡hágasnoslo saber! Nos gustaría que una futura versión de esta guía incluyera estudios de casos y ejemplos. Este es un primer borrador de recomendaciones a fecha de agosto de 2022, y esperamos ofrecer una revisión con más información.

Gracias a Digital Defense Fund, Internet Archive , The Markup, y Media Cause por su ayuda en esta guía.

Related Updates

Deeplinks Blog by Hayley Tsukayama, Rindala Alajaji | December 30, 2024

State Legislatures Are The Frontline for Tech Policy: 2024 in Review

State lawmakers are increasingly shaping the conversation on technology and innovation policy in the United States. As Congress continues to deliberate key issues such as data privacy, police use of data, and artificial intelligence, lawmakers are rapidly advancing their own ideas into state law. That’s why EFF fights for internet...

Deeplinks Blog by Thorin Klosowski | December 28, 2024

Cars (and Drivers): 2024 in Review

If you’ve purchased a car made in the last decade or so, it’s likely jam-packed with enough technology to make your brand new phone jealous. Modern cars have sensors, cameras, GPS for location tracking, and more, all collecting data—and it turns out in many cases, sharing it.Cars Sure Are Sharing...

Deeplinks Blog by Paige Collings | December 27, 2024

Global Age Verification Measures: 2024 in Review

EFF has spent this year urging governments around the world, from Canada to Australia, to abandon their reckless plans to introduce age verification for a variety of online content under the guise of protecting children online. Mandatory age verification tools are surveillance systems that threaten everyone’s rights to...

Deeplinks Blog by Daly Barnett | December 27, 2024

The Growing Intersection of Reproductive Rights and Digital Rights: 2024 in Review

Dear reader of our blog, surely by now you know the format: as we approach the end of the year, we look back on our work, count our wins, learn from our misses, and lay the groundwork strategies for a better future. It's been an intense year in the fight...

Deeplinks Blog by Josh Richman | December 23, 2024

EFF in the Press: 2024 in Review

EFF’s attorneys, activists, and technologists were media rockstars in 2024, informing the public about important issues that affect privacy, free speech, and innovation for people around the world. Perhaps the single most exciting media hit for EFF in 2024 was “Secrets in Your Data,” the NOVA PBS documentary episode...

Deeplinks Blog by Thorin Klosowski, Lena Cohen, Cooper Quintin, Paige Collings, Christian Romero, Jason Kelley, Mario Trujillo, Joe Mullin, Bill Budington, Guest Author | December 19, 2024

The Breachies 2024: The Worst, Weirdest, Most Impactful Data Breaches of the Year

Privacy isn’t dead. While some information about you is almost certainly out there, that’s no reason for despair. In fact, it’s a good reason to take action.

Deeplinks Blog by Paige Collings | December 18, 2024

Australia Banning Kids from Social Media Does More Harm Than Good

Age verification systems are surveillance systems that threaten everyone’s privacy and anonymity. But Australia’s government recently decided to ignore these dangers, passing a vague, sweeping piece of age verification legislation after giving only a day for comments. The Online Safety Amendment (Social Media Minimum Age) Act 2024,...

Deeplinks Blog by Jillian C. York | December 16, 2024

Saving the Internet in Europe: How EFF Works in Europe

This post is part one in a series of posts about EFF’s work in Europe.EFF’s mission is to ensure that technology supports freedom, justice, and innovation for all people of the world. While our work has taken us to far corners of the globe, in recent years we have worked...

Deeplinks Blog by Jason Kelley, Molly Buckley | December 12, 2024

X's Last-Minute Update to the Kids Online Safety Act Still Fails to Protect Kids—or Adults—Online

Late last week, the Senate released yet another version of the Kids Online Safety Act, written, reportedly, with the assistance of X CEO Linda Yaccarino in a flawed attempt to address the critical free speech issues inherent in the bill. This last minute draft remains, at its core, an unconstitutional...

Deeplinks Blog by Betty Gedlu, Cindy Cohn | December 2, 2024

Amazon and Google Must Keep Their Promises on Project Nimbus

When a company makes a promise, the public should be able to rely on it. Today, nearly every person in the U.S. is a customer of either Amazon or Google—and many of us are customers of both technology giants. Both of these companies have made public ...

Search form

Search form

Privacidad en línea para organizaciones sin ánimo de lucro: Guía de buenas prácticas

Privacidad en línea para organizaciones sin ánimo de lucro: Guía de buenas prácticas

Lea el artículo del blog sobre por qué deberías minimizar la recopilación de datos.

Saltar al contenido principal ↓

Tabla de contenidos:

Principios para una organización protectora de la privacidad:

Si eres una organización pequeña o acabas de empezar a pensar en la privacidad:

Cree un plan de seguridad:

Crear un balance de las protecciones que ya existen y de las que hay que añadir:

Si se trata de una organización con más recursos o que recopila a sabiendas información de marketing o de los usuarios:

Recoja sólo los datos que realmente va a usar:

Reconsidere su política de conservación de datos:

Informe a los usuarios qué datos está recogiendo y por qué:

No comparta los datos a menos que sea necesario:

Recomendaciones prácticas para respetar la privacidad de los usuarios digitales

Publicidad:

Si tiene el control absoluto de su sitio web, también debería:

Sitios Web:

Formas rápidas de proteger la privacidad:

Si tiene el control total de su sitio web, también debería:

Si utilizas un constructor de sitios web de terceros, ajusta la configuración de análisis por defecto.

Correo electrónico:

Formas rápidas de proteger la privacidad:

Servidores y arquitectura en línea:

Si tiene el control total de su sitio web, debe asegurarse de que:

Consejos adicionales para los visitantes de su sitio web:

Las empresas deben ofrecer mejores opciones de privacidad por defecto

¿Tiene alguna sugerencia? Queremos escucharle

Contact

About

Issues

Updates

Press

Donate

Search form

Search form

Privacidad en línea para organizaciones sin ánimo de lucro: Guía de buenas prácticas

Privacidad en línea para organizaciones sin ánimo de lucro: Guía de buenas prácticas

Tabla de contenidos:

Principios para una organización protectora de la privacidad:

Si eres una organización pequeña o acabas de empezar a pensar en la privacidad:

Cree un plan de seguridad:

Crear un balance de las protecciones que ya existen y de las que hay que añadir:

Si se trata de una organización con más recursos o que recopila a sabiendas información de marketing o de los usuarios:

Recoja sólo los datos que realmente va a usar:

Reconsidere su política de conservación de datos:

Informe a los usuarios qué datos está recogiendo y por qué:

No comparta los datos a menos que sea necesario:

Recomendaciones prácticas para respetar la privacidad de los usuarios digitales

Publicidad:

Si tiene el control absoluto de su sitio web, también debería:

Sitios Web:

Formas rápidas de proteger la privacidad:

Si tiene el control total de su sitio web, también debería:

Si utilizas un constructor de sitios web de terceros, ajusta la configuración de análisis por defecto.

Correo electrónico:

Formas rápidas de proteger la privacidad:

Servidores y arquitectura en línea:

Si tiene el control total de su sitio web, debe asegurarse de que:

Consejos adicionales para los visitantes de su sitio web:

Las empresas deben ofrecer mejores opciones de privacidad por defecto

¿Tiene alguna sugerencia? Queremos escucharle

Related Updates

Follow EFF:

Contact

About

Issues

Updates

Press

Donate