Desde daño a la reputación de tu marca hasta acciones legales contra tu empresa son dificultades que pueden ser evitadas, o mitigadas, aplicando la Privacidad por Diseño.

 

Por Rodrigo Orenday Serratos

La protección de datos no es solamente un requisito legal; se ha vuelto una expectativa, o incluso un requerimiento del cliente o consumidor. El Q1 de este año nos ha mostrado tres casos que son ejemplos claros de las dificultades que una empresa y sus marcas pueden enfrentar por obviar la expectativa de privacidad que su target tiene, desde el daño a la reputación de la marca, acciones legales en contra de la empresa e incluso un producto que podría nacer muerto, y que podrían haber sido evitados, o mitigados, aplicando la Privacidad por Diseño.

Por andar de pesca. Hace tiempo que China puja por la superioridad tecnológica. Un componente importante de ello ha sido la compra de la división de PCs IBM por Lenovo, cuyas Thinkpad y Ultrabooks se han colocado con éxito en el mercado. Pero recientemente se dio a conocer que el año pasado ésta llegó a un acuerdo con Superfish, empresa estadounidense de marketing digital, para que sus máquinas tuvieran instalado de fábrica el adware de Superfish, que registraba los movimientos de sus usuarios en Internet sin su consentimiento ni conocimiento. Este software registra el interés del usuario por el contenido de imágenes y ubica al productor o vendedor de los artículos en ellas; Superfish obtiene una comisión por cada venta generada así, y presuntamente le compartiría un porcentaje a Lenovo. Sin embargo, ese adware también tenía el efecto de circunvenir la seguridad del navegador y la computadora del usuario, de manera que incluso sesiones que se asumían protegidas por encripción SSL, como las transacciones bancarias, eran monitoreadas por Superfish y, consecuentemente, también podían serlo por hackers, lo cual incluso motivó una advertencia del Department of Homeland Security de los Estados Unidos, además de demandas por intervención de comunicaciones, competencia desleal y allanamiento.

La TV te vigila. La protección de datos y seguridad de la información representan retos considerables para la Internet de las Cosas, en la que infinidad de aparatos y dispositivos que utilizamos cotidianamente estarán conectados para facilitarnos su uso y mejorar nuestra experiencia con ellos. Las TV “inteligentes” son el ejemplo más a la mano, y la experiencia de Samsung una clara advertencia. La “Política de Privacidad” de sus pantallas indicaba, con relación a la función de reconocimiento de voz, que se debería tener precaución con lo que se dijera cerca de ellas, pues esa información podría ser captada por la pantalla y transferida a terceros. A pesar de las explicaciones dadas por Samsung y el cambio a esa Política de Privacidad para explicitar que la recolección de información está restringida a la necesaria para operar las pantallas por medio de órdenes verbales y la comunicación de información a terceros estaba limitada a la prestación de servicios para obtener la respuesta a esas órdenes, la ONG Electronic Privacy Information Center formuló una queja a la Federal Trade Commission para que investigue y actúe al respecto.

Hello Barbie! ¿Adiós Privacidad infantil? Los días de los juguetes que repetían frases grabadas al jalar un cordón o presionar un botón podrían estar contados, si tan sólo las jugueteras tuvieran más en cuenta la privacidad. Mediante un micrófono, software de reconocimiento de voz y conexión WiFi, esta Barbie envía las palabras de la niña a servidores que las procesarán para “recordar” datos y generar respuestas que parezcan conversaciones. ToyTalk, que aporta la tecnología para el juguete, aún desarrolla su Política de Privacidad, pero asegura que la información que se obtenga únicamente será usada para mejorar el producto, nunca para marketing. Sin embargo, la Campaign for a Commercial-Free Childhood está cabildeando contra su lanzamiento. Aunque la Privacidad por Diseño permita cumplir on la Ley, no asegura complacer a todos: incluso la posibilidad de que los padres accedan a las conversaciones de sus hijas han motivado reclamos, por la intimidad de la comunicación de las niñas con sus muñecas.

Privacy by Design. La Privacidad por Diseño es un principio proactivo por el cual la protección de datos es incorporada en productos y servicios desde su concepción como un factor predeterminado, de manera que los datos personales sean tratados conforme a lo estipulado por el responsable a través de todo el ciclo de vida de esa información, desde su captación hasta su supresión definitiva.

Uno de los aspectos destacables del marco normativo de protección de datos personales en México es que contempla a la Privacidad por Diseño como un elemento de consideración obligatoria para que los responsables den cumplimiento al principio de responsabilidad que informa a la Ley Federal de Protección de Datos Personales. La fracción V del artículo 48 de su Reglamento dispone entre las medidas que los responsables están obligados a adoptar para garantizar el debido tratamiento de los datos personales de los titulares, privilegiando sus intereses y expectativa de privacidad, el instrumentar un procedimiento para atender el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos.

El artículo 61 del Reglamento contiene aspectos cuya consideración ex ante permitirá que el producto o servicio sea desarrollado de forma que provea a la protección de los datos de sus consumidores o usuarios: el inventario de datos personales tratados permite evaluar el cumplimiento con el principio de finalidad, y el de sistemas de tratamiento indica si el tratamiento lo lleva a cabo solo el responsable o por encargados o terceros; el análisis de riesgo y brecha facilita descubrir vulnerabilidades y anticipar ataques; el registro de medios de almacenamiento brinda certeza de la ubicación de los datos tratados.

Tanto los casos aquí mencionados como los de las vulneraciones que fueron reportadas el año pasado ilustran el alto costo de ser reactivos en vez de proactivos tratándose de la privacidad y protección de datos personales. Aunque la normatividad mexicana tardó largo tiempo, tiene la ventaja de mayor madurez y atención a aspectos como la Privacidad por Diseño, cuya consideración no sólo es conveniente, sino además obligatoria.

 

Rodrigo Orenday Serratos es abogado y maestro en derecho, certificado como profesional en protección de datos personales, nivel senior. Su práctica se especializa en cumplimiento normativo incluyendo protección de datos personales.

 

Contacto:

Twitter: @OrendayAbogados

Blog: Orenday Serratos Abogados

 

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

 

Siguientes artículos

Hinojosa no tuvo ganancias por venta de casa a Videgaray
Por

El contratista Juan Armando Hinojosa vendió al secretario Luis Videgaray en octubre del 2012 una casa en Malinalco al mi...