La privacidad en 2018

 ¿Cómo está cambiando la privacidad en 2018?

FORBES- 8 de junio de 2018

Este año pasará a la historia como uno de los más intensos y transformadores en materia de privacidad. Aquí te explico los cambios y tendencias para que estés preparado.

Si eres un usuario de internet, en las últimas semanas debiste recibir decenas de emails que anunciaban la actualización de las políticas de privacidad de sitios donde eres suscriptor. Este año concuerda con la época de mayor actividad regulatoria, coincidente con la sobre la privacidad de los usuarios —escándalos como el de Cambridge Analytica y fugas de datos como las que han sufrido Yahoo, Adobe o eBay no han pasado inadvertidas.

Los 44 exabytes —unos 44 mil millones de gigabytes— de nuevos datos creados en el mundo cada día son demasiado importantes como para repensar su concepción, por lo que vale la pena preguntarnos, ¿cómo se puede interpretar el estado actual de la privacidad? ¿Qué cambios regulatorios hay este año? Y, ¿qué asuntos serán clave para entender el futuro de la privacidad?

Privacidad: Marcos Operativos y Paradojas

Actualmente existen tres marcos operativos con respecto a la privacidad que, aunque no son mutuamente excluyentes, son suficientemente distintos entre sí; están representados principalmente por China, EU y Europa.

 

Marco 1: El control chino

El país sino se jacta de tener regulaciones muy estrictas, pero en la práctica, la privacidad no es una prioridad tan importante como el control. No tiene un marco regulatorio unificado, sino que las posturas se han ido adaptando a estrategias como el plan “Hecho en China 2025” y el “13º Plan Quinquenal de Informatización Nacional.”

El modelo privilegia la recolección, interconexión y resguardo de información por parte del Estado. En la inauguración de un data-center nacional, el presidente Xi hizo un llamado a construir “infraestructura de información segura, ubicua, móvil y de alta velocidad, integrando los recursos de datos sociales y gubernamentales, y mejorando la recopilación de información fundamental y recursos de información importantes en áreas claves”. Además, el Artículo 37 de la Ley de Ciberseguridad menciona que la información relevante recolectada por las tecnologías chinas debe ser almacenada en China continental.

Marco 2: La autorregulación estadounidense

A pesar de los escándalos de los últimos tiempos, Estados Unidos no ha tenido grandes avances a este respecto, ya que la regulación vigente data de la Ley de Privacidad de 1974. Barack Obama propuso en 2012 el proyecto de ley de Declaración de Derechos de Privacidad del Consumidor, que naufragó en el Congreso. Asimismo, el entonces presidente promulgó una serie de lineamientos para la Comisión Federal de Comunicaciones para que las compañías de telefonía no pudieran ver y seguir todo lo que hace un usuario de telefonía, mismas que ya fueron revocadas por Donald Trump.

Entonces, la postura general estadounidense ha sido la de desregulación, complementada por el obsoleto marco legal del Internet, basado en leyes desarrolladas entre las décadas de los 1970s a 1990s. Cada que se presenta una propuesta de ley al respecto, acuden cabilderos de diferentes industrias con el argumento de que la innovación del sector pasa por la capacidad de las empresas de recopilar, analizar, vender y monetizar los datos de los usuarios, y que dichas corporaciones son el mejor actor para decidir sobre los datos.

Así se ha identificado la Paradoja de la Privacidad, que enuncia que las personas decimos que nos preocupamos por controlar nuestra información privada en línea, pero en la práctica estamos altamente dispuestos a revelarla. Así, mientras encuestas señalan que alrededor del 74% de las personas están de acuerdo en que la privacidad les es muy importante y que el 64% piensa que la privacidad en línea debería ser un derecho humano, un estudio del MIT encontró que 98% de un grupo de estudiantes revelaría los correos electrónicos de sus amigos a cambio de una pizza “gratis”. No es de extrañar que apenas el 31% de los usuarios entienda qué hacen las compañías con la información que ellos les facilitan.

La Paradoja de la Privacidad tiene implicaciones en aspectos como privacidad de datos, seguridad y contenido, gravamen de impuestos y competencia, que se pueden sintetizar en la proliferación de modelos de negocio con recolección primaria y secundaria de datos. En los modelos primarios, las empresas recolectan información sobre lo que hacen las personas en sus plataformas y explotan la información para aumentar el engagement a través de sugerencias y mecanismos que detonan la entrada a los sitios de internet.

Pero en los modelos secundarios, las empresas comparten la información con fines de sinergia e inclusive, explotación. Los casos positivos incluyen el internet de las cosas, mientras que los casos negativos incluyen la divulgación de nuestra ubicación, búsquedas en línea e interacciones, donde a cambio del uso gratuito, los usuarios somos el producto y nuestra información se convierte en activo de capital corporativo.

La paradoja también se vuelve un ciclo al analizar los intereses de los actores. Mientras las compañías tecnológicas buscan mejorar sus servicios gratuitos y de bajo costo a partir de la explotación de los datos del consumidor, los usuarios de internet extraen más valor de los servicios que las compañías ofrecen —a menudo proporcionando aún más información—. Por otro lado, los reguladores quieren garantizar que la información, sea utilizada adecuadamente, aunque, ni los usuarios ni las empresas le dan importancia al asunto… hasta que las cosas salen mal.

El tema es relevante antes de que las implicaciones del poder computacional se pueden volver más grotescas. Hace unos meses se hablaba de cómo Cambridge Analytica explotó exámenes de personalidad para establecer perfiles psicológicos que permitieran enviar mensajes personalizados que alteraran a diferentes votantes.

En el debate de las últimas semanas destaca el de las tecnologías de reconocimiento facial. Amazon desarrolló el software Rekognition para analizar bases de datos de rostros y documentos. En un primer experimento a nivel gubernamental, las municipalidades de Orlando y Washington County conectaron el sistema a su circuito de cámaras de seguridad, y lo compararon con 300 mil credenciales, lo que permitió identificar a algunos transeúntes en las calles con alto grado de precisión.

Se intuye que la siguiente fase podría ser desarrollar este sistema para los policías, con el que podrían identificar a las personas en manifestaciones y revueltas, o detener infractores en conciertos o estadios. Una treintena de organizaciones se han manifestado en contra de anular lo que consideran el derecho a caminar por la calle sin ser vigilado por el gobierno. Este ejemplo muestra que nuestra privacidad tiene implicaciones que, hasta cierto punto, ni siquiera nosotros podemos controlar.

Marco 3: El empoderamiento europeo

Después de 6 años de debate y otros 2 de haber sido promulgado, el 25 de mayo pasado entró en vigor el Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés).  La nueva legislación, con alta influencia alemana y enunciada antes de escándalos como el de Facebook-Cambridge Analytica, es una ley de privacidad multidimensional, robusta y con una estrictez casi radical. Entre las disposiciones del GDPR, destacan:

Portabilidad de Datos – Requerirá que los usuarios den continuamente su consentimiento explícito de que aceptan o no cómo se utiliza, comparte y analiza su información. Además, tendrán el derecho de poder darse de baja de los servicios sin detrimento, y se podrán llevar sus datos si así lo desean, incluyendo los datos personales, los encriptados, los metadatos, la geolocalización, la IP, entre otras.

Derecho (voluntario) al Olvido – Usuarios podrán exigir que se elimine la información que una empresa tenga de ellos, como si nunca hubieran usado el servicio.

Derecho a la Rendición de Cuentas y exigencia de claridad en los términos – Los usuarios tendrán derecho de pedir explicaciones a las empresas sobre las decisiones que los algoritmos tomen sobre ellos. Además, se demanda que las condiciones sean inequívocas y específicas, por lo que cláusulas como “sus datos serán utilizados para mejorar nuestros servicios” serán insuficientes.

Nuevas responsabilidades que derogan la autorregulación – El GDPR expande la responsabilidad de las compañías a toda la cadena de procesamiento de datos, incluyendo compradores, proveedores, agentes y sub-contratistas. Además, exige la creación de un “Data Protection Office” (DPO) para dar mantenimiento a la información resguardada y ser el punto de contacto ante autoridades.

Cambios en el resguardo y filtrado de los datos – Obliga a las compañías a tener más “higiene de datos,” al exigir que continuamente justifiquen para qué tienen un dato. También da el mandato de resguardar la información únicamente en países que tengan legislaciones similares. Por otro lado, obliga a las compañías a reportar cualquier fuga de datos en menos de 72 horas de haber sido identificada.

Es importante subrayar que, si cualquier empresa del mundo tiene actividades en la Unión Europea (UE), el GDPR obliga que se cumplan sus estándares. Así, la UE se ha anotado un tanto al definir la filosofía de una legislación que podría convertirse en un modelo para el resto del mundo, ya que los únicos países con regulación a la altura del estándar europeo son Andorra, Argentina, Canadá, Israel, Nueva Zelanda, Suiza y Uruguay.

El GDPR no ha estado libre de controversias, no solo por el tema de la privacidad, sino por la explosión de costos que traerá. De acuerdo con un estudio de la IAPP en conjunto con EY, las empresas de la Fortune 500 tendrán que destinar un promedio de 16 millones de dólares por corporación para cumplir la nueva regulación.

El no hacerlo tiene el potencial de no tener acceso al mercado europeo, a mecanismos para compartir información, o a servicios de terceros. A nivel competitividad, podría retrasar el desarrollo de tecnologías clave como la Inteligencia Artificial, donde China está ganando velocidad por el gigantesco volumen de información que generan sus habitantes.

Las claves del futuro de la privacidad

Clave 1: La evolución de actividades críticas

Diferentes actividades que son críticas para la oferta tecnológica tendrán que evolucionar rápidamente. En el caso de la mercadotecnia, las empresas tendrán que adaptar sus actividades de marketing basado en datos y microsegmentación, al tiempo de cumplir la legislación. En un caso extremo, algunas empresas podrían encontrar que los costos de cumplimiento regulatorio volverían los modelos de negocio insostenibles, por lo que se tendrían que reinventar, o arriesgar una caída gradual.

En el caso de la ciberseguridad, las exigencias de transparencia impactarán en la adopción de estándares internacionales de seguridad de la información y reformarán la cantidad, uso y resguardo de los datos que se recopilan. Este rubro es un talón de Aquiles para las empresas: el 39% de las amenazas a la seguridad de los datos vienen de dentro de las organizaciones, y no de hackers.

Clave 2: Cambios en la experiencia de los usuarios

En el aspecto positivo, las empresas proveerán a los usuarios de guías para realizar peticiones de información recolectada, de eliminación de datos o de quejas por filtraciones. Pero esto también implicará que aquellos flujos y trayectorias de los clientes para aceptar términos y condiciones no serán tan sencillos: los usuarios serán interrumpidos y forzados a revisar, decidir y reconsiderar cada elemento de información que introducen.

Cada proceso traerá nuevos costos a las empresas. Pero los usuarios también verán nuevas barreras de fricción al grado de que podrían tener una experiencia abrumadora con miles de decisiones en apps, smartphones y sitios web.  Por tanto, los usuarios tendrán que educarse más en materia de privacidad de sus datos.

Clave 3: Incremento de costos con efectos asimétricos

Es indiscutible que la regulación de la privacidad incrementará los costos, pero los efectos varían en diferentes dimensiones.  Por ejemplo, una gran corporación en un país desarrollado deberá contratar alrededor de cinco empleados para enfocarse de tiempo completo en garantizar la privacidad y otros cinco para cumplimiento regulatorio.

Pero en el caso de una empresa pequeña, tendrán que evaluar factores como mercado en el que participan, tecnologías que usan y su modelo de negocio. En el caso de países desarrollados, una empresa pequeña gastaría al menos un millón de dólares adicionales al año en cumplir la legislación, lo que podría mermar su potencial de crecimiento.

Otros afectados serían los países en desarrollo, como Brasil, India, México y Rusia quienes tienen importantes vínculos con países desarrollados y no fueron tomados en cuenta para las diferentes legislaciones. Los emergentes tendrán que cumplir un estándar de mundo desarrollado a precios muchas veces prohibitivos dados sus menores costos de vida y de negocio. Curiosamente, estos países muestran menos preocupación por la privacidad digital, confían más en el contenido online, y son más susceptibles a creerle a las fake news.

Clave 4: Redefinición de premisas como roles y responsabilidades

La entrada en vigor del GDPR coincide con el desarrollo de regulaciones de privacidad en 6 países del americanos, 2 europeos, 10 africanos y 8 asiáticos. Estos procesos han demostrado que el tratamiento de los datos será un tema arduo y en continua evolución.

Ya que los gobiernos tienen muy poco conocimiento tecnológico y no son expertos en seguridad de datos, tendrán que comprometerse a desarrollar conocimientos al respecto y a tener un rol activo para salvaguardar la privacidad de los consumidores. El proceso implicará la migración de los datos, que deberían pasar de ser un activo contable a un derecho cívico… Todo ello sin trastocar la competitividad.

Clave 5: Oportunidades de negocio

Los directivos de pequeñas y medianas empresas son los más propensos a no tener conocimiento o instrumentos para implementar esta nueva legislación, lo cual abre una ventana para aquellos que sí estén tomando acciones para ponerse al día en la legislación.

Otra área de oportunidad es para los países que tienen negocios de servidores para resguardo de información y de computación en la nube, ya que tendrán que cumplir la regulación para hacer negocios con la UE. Al combinar una propuesta de economías de escala, costos de electricidad, laborales y otros costos económicos, se puede llegar a optimizar una oferta que desarrolle la industria en países que se habían quedado fuera.

Finalmente, las tendencias dispararán la cotización de iniciativas de digitalización, atestación y gestión de la identidad basadas en blockchain. En el sector privado destacan las startups Sovrin, UPort, Blockstack, Evernym, Civic, CryptID, tykn, ShoCard, SecureKey, entre otras.  A nivel estatal destacan las iniciativas Aadhaar de la India, la verificación electrónica de Estonia y los esfuerzos de digitalización de identidad en localidades suizas.

Clave 6: Antecedentes a regulaciones futuras

Las experiencias de regulación reciente dejaron claro que el avance tecnológico requerirá otras regulaciones futuras, entre las que se encuentran la Inteligencia Artificial en sus diversos módulos, la propiedad intelectual generada por machine learning, o la misma concepción-gestión de la identidad.

Sin embargo, la regulación más importante podría ser el marco del capitalismo de datos, en el que la capitalización de las empresas no esté anclada únicamente al precio de sus acciones, sino a la riqueza de sus datos. Las empresas que no cuenten con datos difícilmente podrán competir, por lo que profesores como Mayer-Schonberger de la Universidad de Oxford anticipan que los gobiernos terminarán gravando impuestos a los datos para garantizar la competitividad en el futuro, evitando la dictadura de los datos.