security tracking privacy corporate-policy

security - ¿Es ético monitorear a los usuarios?



tracking privacy (23)

No sabía que recibiría demasiadas respuestas tan rápido. Puedo proporcionar más detalles. Definitivamente es para uso dentro de la compañía. Estaba buscando información sobre si debería tener más cuidado o algo por lo que tener cuidado ...

Mi jefe me está pidiendo que ponga cierta información de seguimiento sobre lo que los usuarios hacen con su aplicación. No se trata de recopilar datos confidenciales, pero puede haber algunas capturas de pantalla involucradas y no estoy seguro de si esto constituye una violación de la privacidad.

Me encantaría escuchar cualquier opinión sobre esto o si manejaste algo similar.


¿Capturas de pantalla? Si no es opt-in, diría que es una violación bastante clara de la privacidad.

usted optó por cobrar su cheque de pago :)

como muchos indicaron, informar al usuario es lo mejor que la empresa puede hacer. Informando , no pidiendo Opt-In.


¿Capturas de pantalla? Si no es opt-in, diría que es una violación bastante clara de la privacidad.


¿Es esta una aplicación interna o algo para el público? Si es interno, no es antiético, incluso si es sucio, monitorear a los usuarios.

Si es algo para el público, para no ser sórdido:

  • el usuario debe poder optar por no participar
  • no se pueden recopilar datos de identificación personal
  • solo se pueden recopilar datos sobre su aplicación (no capturas de pantalla de toda la pantalla)

A veces es bueno recopilar algunas métricas y ayudará a mejorar la experiencia del usuario. Una vez, pudimos probar que una cierta funcionalidad nunca se usó y pudimos eliminar el soporte para ella. Para capturas de pantalla, debe tener cuidado de tomar solo la ventana requerida en lugar de una pantalla completa.


Algo que ayudaría en la aclaración sería si esta es una aplicación interna de la compañía o algo que estará en las computadoras personales del usuario.

Normalmente, cuando se trata de computadoras que son propiedad de la compañía, si la empresa decide hacer el monitoreo, es su elección. La revelación del monitoreo a menudo se fomenta en un esfuerzo por ser abierto y honesto, pero no obligatorio. Un usuario no debe tener ninguna expectativa de privacidad cuando usa equipos que pertenecen y son administrados por la compañía.

Esto no es solo una cuestión de aplicaciones personalizadas, sino también de navegación web, correo electrónico, conversaciones telefónicas, etc. Si está utilizando recursos de la compañía, está liberando su privacidad.

Si se trata de una aplicación dirigida a usuarios externos a la empresa, entonces sí, está mal sin el permiso de los usuarios.


Aquí hay un ejemplo de corolario: ¿querrías que tu jefe grabara y escuchara las llamadas telefónicas que hiciste desde la oficina? No renuncia a todos los derechos que tiene simplemente cobrando un cheque de pago.

Incluso si esta metodología de captura de pantalla es legal, ciertamente no es ética y dañará completamente la moral de los empleados al demostrar que no se puede confiar en ellos.

Es solo una mala idea. Tiene que haber mejores formas de lograr sus objetivos que esto.


Creo que la pregunta todavía es un poco vaga acerca de quién va a ser monitoreado por qué. Por lo que entiendo, quienes serán monitoreados son los usuarios finales que están usando la aplicación y los datos reunidos se usarán internamente. Suponiendo que este sea el caso, creo que puedo aportar la siguiente respuesta:

Si va a supervisar a los usuarios finales para ver cómo están utilizando su producto, está en el negocio de factores humanos / experiencia del usuario y lo que quiere hacer es realmente un experimento. Hacer tal experimento requiere el consentimiento del sujeto (el usuario final). En un entorno académico (y creo que lo mismo ocurre con la industria), existe una Junta de Revisión Institucional (IRB) que otorga permiso para tales experimentos. Creo que en la escena de la industria hay organizaciones similares (simplemente no estoy seguro de cómo se llaman). Una solicitud de permiso para tal experimento se acompaña de un informe que detalla el experimento del usuario de una manera muy específica. El IRB decide si emitir un permiso o no.

El punto importante es el consentimiento aquí y los usuarios deben saber sobre el experimento y aceptar ser sujetos. Creo que, en ausencia de un consentimiento del usuario, el experimento no es ético ni legal. Una vez más, me acerqué a esto en base a una suposición e intenté resumir mi experiencia en dichos experimentos.


Dejando a un lado las cuestiones legales, ¿desea trabajar en una empresa que toma capturas de pantalla de su escritorio?

Incluso si es legal, este comportamiento seguramente alejará a los desarrolladores. Recuerde, en un entorno de trabajo malo, a menudo los mejores desarrolladores se van primero; ellos tienen las mejores perspectivas de trabajo.


En el trabajo, no hay privacidad. Piénselo de esta manera, si trabaja para una institución financiera o una gubernamental, monitorear a los usuarios puede ser la diferencia entre mantener la información confidencial en secreto y no hacerlo. (Quiero que mi información personal se mantenga privada). Les pagan para hacer el trabajo en el trabajo. Si tienen miedo de lo que están haciendo está mal, entonces no deberían hacerlo.

Un comentario trajo un buen punto. Si está vendiendo el producto y espiando a los usuarios finales, eso es totalmente diferente. No es muy ético tomar capturas de pantalla e informarlas a la compañía. De hecho, donde trabajo, haríamos que te arrestaran si nos enteramos. (Sí, estarías violando una ley federal, y te garantizo que perseguiremos a todos y resolveremos los errores más adelante). Esa es una pendiente muy resbaladiza.


En un ambiente de trabajo, creo que está bien siempre y cuando todos los empleados sepan que pueden ser monitoreados. He visto lugares (Intuit era uno) donde los empleados son rastreados todo el día. No es mi taza de té, sin embargo.

En las instalaciones del gobierno, normalmente hay algún tipo de pantalla de inicio de sesión que establece que todo lo que se haga en esa máquina está sujeto a supervisión.

Si se trata de aplicaciones ejecutadas por el público en general, diría que es más claro que está recopilando datos sobre ellas. Personalmente, prefiero no tener programas ''llamando a casa'' con información sobre mis actividades, por aburridas que sean.


En una máquina de trabajo? Absolutamente; siempre que los usuarios sepan en qué medida están siendo monitoreados. Es su elección trabajar para el empleador, y están usando el equipo del empleador.

Si no les notifica que están siendo observados, entonces eso es una especie de "zona gris" ... dependiendo de las leyes estatales, incluso puede ser ilegal , dependiendo del tipo de información que esté monitoreando.


Eso depende en gran medida del país en el que se encuentre y de la información que esté recopilando y de lo que haga con ella.
Hay una gran diferencia entre los EE. UU. Y la UE, por ejemplo.

La Ley, la jurisprudencia, los contratos sindicales y la política de la empresa (cuando no están en contradicción con lo anterior) son lo que determina lo que es aceptable.


Hice un CMS simple en PHP y tuve que almacenar todas las acciones de los usuarios, pero es una situación completamente diferente. En mi opinión, lo que le está pidiendo a su jefe es un poco de privacidad, especialmente si en su aplicación no menciona al usuario este tipo de comportamiento.


La recopilación de uso anónimo debe ser factible sin capturas de pantalla.

Si su aplicación recopila datos que están destinados a estar protegidos por leyes de privacidad, deberá tratar las capturas de pantalla como información sensible y protegerlas en consecuencia. Las leyes de protección de datos son bastante estrictas en la mayoría de los países.

A menos que tenga una empresa realmente pequeña, las leyes de privacidad varían mucho entre países, y la característica probablemente sea más problemática de lo que vale. En cualquier país en el que haya vivido, esa idea nunca volaría.

Pero no pidas muchos hacks en un sitio como desbordamiento de pila. En serio, pregunta a un abogado.


La recolección de capturas de pantalla puede ser ilegal incluso si se notifica a los empleados. Este es un problema de ley local y ley federal. No ha dicho en qué país se encuentra. En California, por ejemplo, las pantallas de monitoreo pueden violar las leyes de privacidad y las leyes de escuchas en el lugar de trabajo. Debe obtener una opinión de su abogado corporativo antes de implementar esto.


Parece que esto ya ha sido respondido, pero debe tenerse en cuenta que hay países donde esto es ilegal, incluso en un lugar de trabajo.
Por ejemplo, en Suiza es ilegal hacer un seguimiento de los sitios web que cada usuario ha estado visitando.

Además de las leyes específicas en contra, yo aceptaría que es aceptable hacerlo, ya que no debería haber una expectativa razonable de privacidad en el lugar de trabajo. Dicho esto, informar a los usuarios es lo correcto.

Otra advertencia, si los datos que está recopilando son lo suficientemente sensibles como para que un atacante pueda usarlos (por ejemplo, las capturas de pantalla incluyen números CC), entonces debe asegurarse de que esta información esté bien protegida. (No me estoy refiriendo a la información del usuario, pero diga los detalles de la cuenta de los clientes del banco).


Realmente depende exactamente de lo que se está recopilando, la divulgación y si el programa podría ser excluido. Si eso pasa la prueba del olfato, entonces garantizar que los informes no proporcionen un vector de ataque y los datos estén debidamente protegidos se convierte en su preocupación. Si las cosas parecen sospechosas, obtenga una "solicitud de función" por escrito a CYA. La idea básica, si se hace bien, no es nada nuevo. Microsoft, por ejemplo, lo hace con algunos de sus productos.


Si el cliente es externo, esto debe ser revelado al cliente. En realidad, si el cliente es interno O externo, si no lo divulga, no es ético.

Un acuerdo de empleo que establezca que no puede haber expectativa de privacidad constituye divulgación.


Si es para una aplicación interna, es completamente ético.

Más allá de divulgar a todos los usuarios que su uso de las aplicaciones es monitoreado, no existe ninguna otra obligación de divulgación (excepto contratos federales y contratos sindicales).

Lo más importante de capturar este tipo de datos es centrarse en capturar la menor cantidad absoluta necesaria: capturar capturas de pantalla de todas las ventanas abiertas más cualquier flujo de datos adyacente de hecho genera problemas de responsabilidad (piense en HIPPA) y produce una montaña de datos que nadie lo revisará hasta que un abogado lo solicite con una citación y se le pida que lo revise y redacte todos los nombres, fechas de nacimiento y números de seguridad social en 160 GB de datos.


Si la aplicación se usa internamente dentro de su organización y tiene una política corporativa que establece "ninguna expectativa de privacidad" que haya sido comunicada y firmada por sus usuarios, entonces no hay problema.

Monitorear las acciones de los empleados dentro de un negocio en los Estados Unidos es una práctica muy común.


Si se realiza sin el consentimiento del usuario, definitivamente es una violación de la privacidad. Incluso con el consentimiento del usuario, debe dejarse en claro exactamente qué información se remite. Si la captura de pantalla capturara toda la pantalla, no solo una ventana, entonces podría obtener toda clase de información privada.


Si se refiere a los usuarios en general, sí, es una violación de la privacidad.

Si se refiere a usuarios internos de su empresa (trabajadores), entonces no, no debe haber expectativa de privacidad en el lugar de trabajo.


Sugeriría leer: Privacidad . Mi interpretación es que la gente esperará que algunas cosas se mantengan privadas, como su información personal. Al interactuar con sus sitios, los usuarios comparten información con usted que usted debería poder usar, pero no distribuir o abusar como si fuera la suya.

Las capturas de pantalla obviamente son el tema candente aquí. Si bien los usuarios ingresan información en un campo de ingreso de texto a sabiendas, le brindan información, las capturas de pantalla van más allá de lo que un usuario típico esperaría y, por lo tanto, deberían divulgarse al usuario a través de una política de privacidad.