Producto de confianza y seguridad/Cuentas temporales/Actualizaciones/Legal

En primer lugar, nos gustaría dar las gracias a todos por participar en estas discusiones. Apreciamos la atención al detalle, la cuidadosa consideración y el tiempo dedicado a nuestro proyecto. Nos gustaría explicar con más detalle cómo surgió este proyecto y los riesgos que inspiraron este trabajo.

Por favor, tenga en cuenta que, a veces, no podemos compartir públicamente todos los detalles de nuestro pensamiento; pero leemos sus comentarios y perspectivas, y nos son de gran ayuda para asesorar a la Fundación.

¡Hola! Hemos publicado una nueva página de política: Acceso a direcciones IP de cuentas temporales. Se explica cómo los usuarios pueden obtener acceso a las direcciones IP. Más adelante, actualizaremos la sección sobre el uso de direcciones IP. En ella, añadiremos información sobre cómo y dónde acceder a las direcciones IP y qué queda registrado cuando se accede a las direcciones IP. También hay una página nueva con preguntas frecuentes. Ambas páginas usan el término «cuentas de usuario temporales». Este nombre proviene de la primera versión del software (MVP). Pronto añadiremos más información sobre el tema. Apreciamos tus comentarios en la página de discusión.

Para explicar cómo hemos llegado hasta aquí, nos gustaría echar la vista atrás. Wikipedia y sus proyectos hermanos se construyeron para durar. Compartir la suma de todo el conocimiento es una visión a largo plazo que no puede alcanzarse en ninguna de nuestras vidas. Pero las estructuras técnicas y de gobierno al servicio de esa visión no eran a largo plazo. Por el contrario, eran de la época en que fueron diseñadas.

Muchas de estas características han prosperado. Los proyectos de Wikimedia estaban por delante del resto de Internet. Los wikimedistas han sabido que la privacidad y el anonimato son clave para compartir y consumir el conocimiento libre. La Fundación ha recogido poca información sobre los usuarios. No se han requerido direcciones de correo electrónico para el registro. La Fundación también ha reconocido que las direcciones IP son datos personales. (Véase, por ejemplo, la versión 2014-2018 de nuestra Política de privacidad).

Sin embargo, en los últimos 20 años, muchas cosas han evolucionado. Las sociedades utilizan y se relacionan con Internet de nuevas formas. Han aparecido normativas y políticas que afectan al funcionamiento de las plataformas en línea. Los usuarios tienen expectativas diferentes sobre el modo en que un sitio web gestiona sus datos.

La situación externa ha cambiado particularmente en los últimos cinco años. Tanto los usuarios como los gobiernos se han sensibilizado con respecto a la privacidad en línea. La recolección, el almacenamiento, manipulación y el hecho de compartir datos personales está ahora mismo en pleno debate. Han emergido nuevas leyes y mejores prácticas. El Reglamento General de Protección de Datos de la Unión Europea, que se llevó a efecto en mayo de 2018, ha llevado la voz cantante para establecer un diálogo global. También definió qué derechos deberían tener las personas para comprender y controlar el uso de datos personales. En los últimos años, otras leyes relacionadas de otros países, han ido evolucionando. Solo hay que echar un ojo a las conversaciones, los proyectos de ley y nuevas leyes en países como por ejemplo en Brasil, India, Japón o EE. UU.

Hace unos años, como equipo de Privacidad de la Fundación, evaluamos que la publicación de las direcciones IP de los contribuyentes que no habían iniciado sesión debía cambiar. Se crea un riesgo para los usuarios cuya información se publica de esta manera.

A pesar de los avisos en wikis que explican cómo funciona la atribución, los editores no conectados se sorprenden al ver su dirección IP en el historial de la página. Algunos de ellos están en lugares donde Wikimedia es controvertida. Tienen miedo de que la exposición de su dirección IP pueda permitir que sus gobiernos los ataquen. Las direcciones IP pueden asociarse a un solo usuario o dispositivo. De esta manera, se pueden utilizar para identificar y localizar a los usuarios no conectados y vincularlos con su actividad en la wiki.

Entendemos que las direcciones IP desempeñan un papel importante en la protección de las wikis. Permiten a los usuarios luchar contra el vandalismo y el abuso. Tenemos que trabajar en este proyecto con las comunidades. Solo teniendo en cuenta sus observaciones e ideas podremos hacer este cambio.

Incluso cuando las direcciones IP se encuentren enmascaradas y construyamos nuevas herramientas para apoyar su trabajo antivandalismo, este proyecto no terminará. Será un proceso iterativo en su lugar. Te preguntaremos qué funciona y qué no, para que las nuevas herramientas puedan ser mejoradas y adaptadas a tus necesidades.

P: Veo que el equipo que prepara estos cambios propone crear un nuevo derecho de usuario para que los usuarios tengan acceso a las direcciones IP. ¿Constituye el acceso a la dirección IP completa asociada a una cuenta temporal información personal no pública según la definición del Acuerdo de confidencialidad para información no pública? ¿Se exigirá a los usuarios que soliciten este nuevo derecho que firmen la Política de acceso a los datos personales no públicos o alguna versión de la misma?

1. En caso afirmativo, ¿podré como checkuser tratar las relaciones entre cuentas registradas y sus direcciones IP con los usuarios que tengan este nuevo permiso, como hago actualmente con otros firmantes?
2. Si no es así, ¿entonces por qué nos tomamos tantas molestias por una información que no consideramos no pública?
3. En cualquier caso, ¿se permitirá a un checkuser divulgar conexiones entre cuentas registradas y máscaras de nombres de usuario no registrados?

R: Parcialmente sí. En primer lugar, sí, cualquier persona que tenga acceso al derecho tendrá que reconocer de alguna manera que está accediendo a esta información con el fin de luchar contra el vandalismo y el abuso en las wikis. Estamos trabajando en la forma en que se hará este reconocimiento. Es probable que el proceso para obtener acceso sea algo menos complejo que firmar el acuerdo de acceso a datos personales no públicos.

En cuanto a cómo afectaría esto a los CUs, ahora mismo la política de acceso a datos personales no públicos permite a los usuarios con acceso a datos personales no públicos compartir esos datos con otros usuarios que también puedan verlos. Así que un CU puede compartir la información con otros CUs para llevar a cabo su trabajo. Mantenemos la distinción entre usuarios registrados y no registrados. Entonces un CU no podría compartir las direcciones IP de usuarios registrados con usuarios que tienen el nuevo permiso, ya que estos usuarios no tendrían acceso a esa información.

Suponiendo que el CU también opte por ver las direcciones IP de los usuarios que no han iniciado sesión, con el sistema actual, ese CU podría compartir información sobre direcciones IP que demuestren conexiones entre usuarios registrados y no registrados con otros CUs que también hayan optado por ello. También podría indicar a los usuarios con el nuevo derecho que han detectado conexiones entre usuarios registrados y no registrados. Sin embargo, el CU no podría compartir directamente las direcciones IP de usuarios registrados con los usuarios que no son CU y que solo tienen el nuevo permiso.

Por favor haznos saber si esto suena difícil de implementar. Como se mencionó más arriba, estamos trabajando en los detalles y queremos tener tu retroalimentación para asegurarnos que funciona.

Esta declaración del Departamento Legal de la Fundación Wikimedia fue escrita por una solicitud en la página de discusión y viene de ese contexto. Por razones de visibilidad, queríamos que también pudieras leerla aquí.

En algunas ocasiones, necesitamos mantener en secreto los detalles de nuestro trabajo o nuestros consejos a la organización, debido a las reglas de ética legal y privilegio legal que controlan cómo los abogados deben manejar la información sobre el trabajo que hacen. Nos damos cuenta de que nuestra incapacidad para explicar con precisión lo que estamos pensando y por qué podemos o no hacer algo puede ser frustrante en algunos casos, incluyendo este. Aunque no siempre podemos revelar los detalles, podemos confirmar que nuestros objetivos generales son hacer lo mejor que podamos para proteger los proyectos y las comunidades al mismo tiempo que nos aseguramos de que la Fundación siga la ley aplicable.

Dentro del equipo de temas legales, el grupo de privacidad se enfoca en asegurarse que los sitios alojados por la Fundación y nuestra recolección de datos y prácticas de manejo de estos están de acuerdo con las leyes relevantes, con nuestras políticas relacionadas a privacidad y con nuestros valores de privacidad. Creemos que la privacidad individual para colaboradores y lectores es necesaria para permitir la creación, el intercambio y el consumo de conocimiento libre en todo el mundo. Como parte de ese trabajo, primero revisamos la ley que aplica, complementada con un mosaico de preguntas de usuarios, dudas, solicitudes, dudas de políticas públicas, políticas organizacionales y mejores prácticas de la industria para ayudar a dirigir el trabajo relacionado a la privacidad de la Fundación. Tomamos esos aportes y diseñamos una estrategia legal para la Fundación que guía nuestro acercamiento a los temas de privacidad. En este caso particular, la revisión cuidadosa de estos factores nos ha llevado a este esfuerzo de enmascarar las IPs de editores no registrados de la exposición de todos los visitantes de los proyectos Wikimedia. No podemos explicar los detalles precisos de nuestra deliberación, o las discusiones internas y los análisis que hay detrás de esta decisión, por las razones discutidas más arriba respecto de ética legal y privilegio.

Queremos hacer hincapié en que los detalles de cómo lo hacemos son flexibles; estamos buscando la mejor manera de lograr este objetivo en concordancia con el apoyo a las necesidades de la comunidad. Hay varias opciones posibles sobre la mesa, y queremos asegurarnos de encontrar la aplicación en colaboración con ustedes. Somos conscientes de que pueden tener más preguntas, y queremos dejar en claro por adelantado que en este diálogo quizás no podamos responder a las cuestiones legales. Gracias a todos los que se han tomado el tiempo de considerar este trabajo y aportar sus opiniones, preocupaciones e ideas.