Privacidad por Diseño = ¡obligatoria!
Forbes - jueves, 19 de marzo de 2015
Desde daño a la reputación de tu marca hasta
acciones legales contra tu empresa son dificultades que pueden ser evitadas, o
mitigadas, aplicando la Privacidad por Diseño.
La protección de datos no es solamente un
requisito legal; se ha vuelto una expectativa, o incluso un requerimiento del
cliente o consumidor. El Q1 de este año nos ha mostrado tres casos que son
ejemplos claros de las dificultades que una empresa y sus marcas pueden
enfrentar por obviar la expectativa de privacidad que su target tiene, desde el
daño a la reputación de la marca, acciones legales en contra de la empresa e
incluso un producto que podría nacer muerto, y que podrían haber sido evitados,
o mitigados, aplicando la Privacidad por Diseño.
Por andar de pesca. Hace tiempo que China puja
por la superioridad tecnológica. Un componente importante de ello ha sido la
compra de la división de PCs IBM por Lenovo, cuyas Thinkpad y Ultrabooks se han
colocado con éxito en el mercado. Pero recientemente se dio a conocer que el
año pasado ésta llegó a un acuerdo con Superfish, empresa estadounidense de
marketing digital, para que sus máquinas tuvieran instalado de fábrica el
adware de Superfish, que registraba los movimientos de sus usuarios en Internet
sin su consentimiento ni conocimiento. Este software registra el interés del
usuario por el contenido de imágenes y ubica al productor o vendedor de los
artículos en ellas; Superfish obtiene una comisión por cada venta generada así,
y presuntamente le compartiría un porcentaje a Lenovo. Sin embargo, ese adware
también tenía el efecto de circunvenir la seguridad del navegador y la
computadora del usuario, de manera que incluso sesiones que se asumían
protegidas por encripción SSL, como las transacciones bancarias, eran
monitoreadas por Superfish y, consecuentemente, también podían serlo por
hackers, lo cual incluso motivó una advertencia del Department of Homeland
Security de los Estados Unidos, además de demandas por intervención de
comunicaciones, competencia desleal y allanamiento.
La TV te vigila. La protección de datos y
seguridad de la información representan retos considerables para la Internet de
las Cosas, en la que infinidad de aparatos y dispositivos que utilizamos
cotidianamente estarán conectados para facilitarnos su uso y mejorar nuestra
experiencia con ellos. Las TV “inteligentes” son el ejemplo más a la mano, y la
experiencia de Samsung una clara advertencia. La “Política de Privacidad” de
sus pantallas indicaba, con relación a la función de reconocimiento de voz, que
se debería tener precaución con lo que se dijera cerca de ellas, pues esa
información podría ser captada por la pantalla y transferida a terceros. A
pesar de las explicaciones dadas por Samsung y el cambio a esa Política de
Privacidad para explicitar que la recolección de información está restringida a
la necesaria para operar las pantallas por medio de órdenes verbales y la
comunicación de información a terceros estaba limitada a la prestación de
servicios para obtener la respuesta a esas órdenes, la ONG Electronic Privacy
Information Center formuló una queja a la Federal Trade Commission para que
investigue y actúe al respecto.
Hello Barbie! ¿Adiós Privacidad infantil? Los
días de los juguetes que repetían frases grabadas al jalar un cordón o
presionar un botón podrían estar contados, si tan sólo las jugueteras tuvieran
más en cuenta la privacidad. Mediante un micrófono, software de reconocimiento
de voz y conexión WiFi, esta Barbie envía las palabras de la niña a servidores
que las procesarán para “recordar” datos y generar respuestas que parezcan
conversaciones. ToyTalk, que aporta la tecnología para el juguete, aún
desarrolla su Política de Privacidad, pero asegura que la información que se
obtenga únicamente será usada para mejorar el producto, nunca para marketing.
Sin embargo, la Campaign for a Commercial-Free Childhood está cabildeando
contra su lanzamiento. Aunque la Privacidad por Diseño permita cumplir on la
Ley, no asegura complacer a todos: incluso la posibilidad de que los padres
accedan a las conversaciones de sus hijas han motivado reclamos, por la
intimidad de la comunicación de las niñas con sus muñecas.
Privacy by Design. La Privacidad por Diseño es
un principio proactivo por el cual la protección de datos es incorporada en
productos y servicios desde su concepción como un factor predeterminado, de
manera que los datos personales sean tratados conforme a lo estipulado por el
responsable a través de todo el ciclo de vida de esa información, desde su
captación hasta su supresión definitiva.
Uno de los aspectos destacables del marco
normativo de protección de datos personales en México es que contempla a la
Privacidad por Diseño como un elemento de consideración obligatoria para que
los responsables den cumplimiento al principio de responsabilidad que informa a
la Ley Federal de Protección de Datos Personales. La fracción V del artículo 48
de su Reglamento dispone entre las medidas que los responsables están obligados
a adoptar para garantizar el debido tratamiento de los datos personales de los
titulares, privilegiando sus intereses y expectativa de privacidad, el
instrumentar un procedimiento para atender el riesgo para la protección de
datos personales por la implementación de nuevos productos, servicios,
tecnologías y modelos de negocios, así como para mitigarlos.
El artículo 61 del Reglamento contiene aspectos
cuya consideración ex ante permitirá que el producto o servicio sea
desarrollado de forma que provea a la protección de los datos de sus
consumidores o usuarios: el inventario de datos personales tratados permite
evaluar el cumplimiento con el principio de finalidad, y el de sistemas de
tratamiento indica si el tratamiento lo lleva a cabo solo el responsable o por
encargados o terceros; el análisis de riesgo y brecha facilita descubrir
vulnerabilidades y anticipar ataques; el registro de medios de almacenamiento
brinda certeza de la ubicación de los datos tratados.
Tanto los casos aquí mencionados como los de
las vulneraciones que fueron reportadas el año pasado ilustran el alto costo de
ser reactivos en vez de proactivos tratándose de la privacidad y protección de
datos personales. Aunque la normatividad mexicana tardó largo tiempo, tiene la
ventaja de mayor madurez y atención a aspectos como la Privacidad por Diseño,
cuya consideración no sólo es conveniente, sino además obligatoria.
Rodrigo Orenday Serratos es abogado y maestro
en derecho, certificado como profesional en protección de datos personales,
nivel senior. Su práctica se especializa en cumplimiento normativo incluyendo
protección de datos personales.
No hay comentarios:
Publicar un comentario