Análisis sobre la importancia de ser más cuidadosos con la información que estamos compartiendo y cómo la tecnología en seguridad reta a las actuales legislaciones.
por Gigi Agassini, CPP*
Se escucha mucho hablar de la “protección de datos personales” y del cuidado que debería tenerse, comenzando por uno mismo, sin embargo, es un tema que aún se toma muy a la ligera y los factores pueden ser muchos, desde desconocimiento, negación (creyendo que a nosotros no va a pasarnos o que, si nos pasa, no será tan grave) o desinterés.
El problema principal es que el ser humano tiende a la “normalización” en todos los ámbitos y el de los delitos no es distinto, sabemos que existen “riesgos” pero los vemos que pasan tan cotidianamente y frente a nosotros, que ya nos parece “normal” que ocurran y la verdad es que no hay nada de “normal” en los delitos, cuando pueden, de cierta manera, prevenirse o disminuir su riesgo.
Datos personales es un tópico de alta relevancia, pues se trata de nuestra identidad como persona (física o moral) de toda esa información que nos identifica como tal y que el mal uso de estos nos compromete; entonces nos sumerge en una “crisis digital” y esta puede ir desde el robo de nuestra identidad hasta la paralización o cierre total del negocio, y ejemplos hay muchos de empresas internacionales sin importar el tamaño de éstas o giro al que se dedican y es que seguimos sumergidos en “la negación” de que estas cosas solo ocurren a las grandes empresas, y eso es total y absolutamente ¡falso!
Como usuarios proveedores de nuestra información personal damos “aceptar” más del 99% de las veces a todos aquellos cuadritos que nos indican si leímos ya el “aviso de privacidad” y el contrato de “términos y condiciones” que, aunque pareciera “son lo mismo” definitivamente no lo son y es que es obligación de todo lugar (físico o digital) velar por el “responsable manejo” de los datos personales, ya que como individuos tenemos derechos y obligaciones ante estos.
Entonces aquí se abren dos responsabilidades importantes: la nuestra como usuario proveedor de nuestra información personal, pero también de la entidad que “tratará” nuestros datos, ya que no solo se trata de publicar un “aviso de privacidad”, sino que debe haber toda una estructura detrás que soporte este “tratamiento” de datos basado en las leyes que se regulan según el país e incluso, de los tratados internacionales a los que esté vinculado, desde la persona que recibirá todas las peticiones de los usuarios que proveyeron sus información, la que “decide” sobre el tratamiento de los datos, hasta quien dará respuesta, y en su defecto, frente a la autoridad en caso de así requerirse. Y aunque el tratamiento de los datos personales parece muy “simple”, esta es una de las muchas razones por las que ambas partes (usuario y entidad que trata los datos) no le dan la seriedad que corresponde.
Vamos a los básicos, la información tiene un ciclo: generación o captura de datos, almacenamiento, uso, divulgación, acceso y destrucción, ¡sí! Destrucción, la destrucción es parte del ciclo de la información, sin embargo, existe un proceso en el caso de datos personales para destruir la información.
Leyes de protección de datos
Dependiendo de cada país existe y regula su legislación y como he mencionado anteriormente, también deberá considerarse los tratados internacionales a los que forme parte. Tomemos como ejemplo México; todo lo descrito anteriormente tiene un sustento legal respaldado en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFDPPP) y en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
La LFDPPP nos sugiere que el encargado del “tratamiento de los datos” es la persona física o moral que trata los datos personales a nombre y por cuenta del responsable, es decir, es la persona encargada del tratamiento, mas no quien decide sobre cómo se tratarán los datos; por ejemplo, se considera encargada del tratamiento a una empresa que ofrece servicios de cómputo en la nube y que almacena bases de datos de un responsable, o bien, aquella que contrató el responsable para la destrucción de sus documentos.
Esta ley incluye ciertos elementos con los que deben cumplir las entidades para “garantizar” la protección de datos personales como son los siguientes:
• Consentimiento del titular de la información
• Informar para que serán usados los datos de los clientes
• Garantizar sus derechos ARCO (aceptación, rectificación, cancelación y oposición)
Con el objeto de dar cumplimiento a la Ley Federal de Protección de Datos Personales, se establecen ciertos principios:
• Licitud
• Consentimiento
• Información
• Calidad
• Finalidad
• Lealtad
• Proporcionalidad
• Responsabilidad
Sin entrar a detalle en la legislación, la pregunta es entonces: ¿por qué es tan fácil aceptar los avisos de privacidad sin leer si ahí nos indican cuál es el tratamiento que darán a nuestros datos personales? Bueno, es una extraordinaria pregunta de la cual existen varias respuestas: nos ahorra tiempo, pues lo que queremos es salir de la fila o simplemente usar lo que necesitamos ya sea una página de internet o una aplicación en nuestro teléfono y damos por hecho que no tendremos ningún problema si damos solo “aceptar”, pues “confiamos” que no se hará mal uso de los datos que nos identifican como tal.
¡Wow! ¿No te parece un riesgo MUY alto brindar esa confianza a quien no conoces? Es como entregarle tu tarjeta de crédito, ahorros y las escrituras de tu casa (por mencionar poco) a la primera persona que se cruza frente a ti, o entregarle los estados financieros y las acciones de tu empresa a un desconocido, ¿no lo habías pensado?
Avances tecnológicos, reto de las legislaciones
Uno de los grandes retos para toda legislación, sin importar el país en el que te encuentres, es el avance tan rápido en la tecnología biométrica, ya que implica y trae consigo desafíos inmensamente grandes para su regulación y cumplimiento de la ley que permita seguir protegiendo lo más importante para toda persona: ¡su identidad!
Cuando vulneran tu cuenta de correo electrónico puedes cambiar tu contraseña, y eso (dentro de las políticas de seguridad personal) deberías cambiarlo cada cierto tiempo, pero cuando vulneran tus datos biométricos no es fácil cambiarte el rostro o tus huellas dactilares o el iris, y es aquí donde existe mucha preocupación sobre el tratamiento de los datos, bueno… al menos la preocupación está en los parlamentos para generar y regular legislaciones suficientemente fuertes para estas tecnologías y que permita seguir garantizando el mejor tratamiento y salvaguardar la identidad de las personas.
Recientemente el Parlamento Europeo pidió la prohibición del uso policial de la inteligencia artificial, ya que uno de los grandes argumentos de la Cámara sobre las tecnologías como el reconocimiento facial o los algoritmos de predicción y es que “hay que ser especialmente vigilantes con estas tecnologías, que deberán estar sujetas a estrictas regulaciones y en última instancia siempre deberán tener supervisión humana”.
Y sin duda alguna falta mucho en temas legislativos para regular el tratamiento de los datos biométricos de las personas. Es una realidad que la tecnología está avanzando más rápidamente que las leyes y las regulaciones, pero no podemos perder de vista que es importante cumplir con las normativas y las leyes que rigen, y, en algo tan delicado como es el tratamiento de los datos personales, no debemos ser parte del crimen y dejar vulnerables a las personas (físicas o morales) porque no queremos involucrarnos en la legislación, bien sea por desconocimiento o por insistir en la negación de que eso no nos pasará.
Por lo que la próxima vez que pienses en implementar cualquier tecnología o algún control de gestión de visitantes o cualquier proceso que implique la colección de datos o biométricos personales de los usuarios, asegúrate de cumplir con la regulación que marca tu país y de esta manera proteger a la organización, así como garantizar un buen manejo de la información de los usuarios.
Cuando tengas frente a ti un aviso de privacidad, piensa antes en que ahí se mencionará que harán con tus datos personales y es importante para ti saberlo, más importante que el apuro de saltar la línea, usar una aplicación o continuar con un llenado de información, ¡tú información!
* Gigi Agassini, CPP
Consultora Internacional de Seguridad
[email protected]
Deje su comentario