jueves, 8 de mayo de 2014

Presiones emergentes sobre la privacidad de la información

La seguridad de la información es un proceso, la privacidad una consecuencia.
Rebecca Herold.

Introducción
Escuchando a la Comisionada Interina de Protección de Datos de Canadá, Chantal Bernier, en el marco del Simposio Internacional sobre Privacidad de la IAPP (International Association of Privacy Professionals), sobre las presiones que tiene la privacidad actualmente, queda claro que con la explosión de tecnologías emergentes y servicios de información, este derecho fundamental poco a poco será comprometido, bien por nuestras propias decisiones o por las imposiciones de las fuerzas de los mercados.

Anota la funcionaria canadiense, que cuanto más información personal incluyan las organizaciones en sus modelos de negocio, mayor generación de utilidades van a tener. Sin ir muy lejos el caso de Google con sus “Ads”, nos ilustra que sólo por este concepto, la empresa obtiene el 90% de sus ganancias.

En este sentido, analizar las consideraciones de la Comisionada en el contexto de nuestra realidad, es un sano ejercicio de reflexión que nos pone en línea con las situaciones concretas y retos emergentes respecto de la protección de los datos personales.

Ella detalla en su presentación cinco presiones claves a tener en cuenta:
  • Normalización de la vigilancia.
  • Relación entre la privacidad y la rendición de cuentas.
  • Violar la privacidad para proteger la privacidad.
  • Modelos de negocio basados en información personal.
  • Vulnerabilidades en las nuevas plataformas de información.

Normalización de la vigilancia
La normalización de la vigilancia hace referencia a los casos de monitoreo activo que tienen los gobiernos sobre aspectos estratégicos de una nación. Una acción avanzada que, sin control particular, vulnera diferentes ámbitos de la esfera particular del ser humano, tomando control de información, posiblemente privilegiada (EL MUNDO 2013), para sacar ventaja de la misma, bien para anticipar movimientos de su contraparte o limitando su actuar en campos específicos.

Como quiera que las situaciones de seguridad nacional, que por ley en muchos países, son de carácter reservado, no así las acciones que se tomen para defenderla y adelantar las acciones correspondientes para preservar tales intereses. El acceso a la información y la correlación de la misma debe obedecer a una necesidad legítima del Estado para salvaguardar los intereses de los ciudadanos, la cual debe estar ponderada por las garantías y deberes constitucionales, que asisten a las personas y las actividades que desarrollan.

La vigilancia electrónica, el monitoreo activo de las comunicaciones y las acciones de la inteligencia del Estado, son elementos fundamentales para el ejercicio de soberanía y control de posibles amenazas, las cuales deben ceñirse en a una apertura recíproca donde ciudadanos y Estado establezcan las estrategias que permitan tener la mayor efectividad de estas actividades y la protección de las garantías de los individuos.

Privacidad y rendición de cuentas
De otro lado, la relación entre la privacidad y la rendición de cuentas, es otro elemento fundamental frente al reto de la protección de los datos personales. No solamente el Estado, desde la autoridad de protección de datos es responsable por el cabal cumplimiento de los requisitos de ley, sino que con la explosión de información y flujo de la misma, los ciudadanos tienen una responsabilidad inherente que es clave resaltar en la protección de la información personal.

Somos custodios y depositarios de confianza de terceros todo el tiempo, como quiera que tenemos acceso a información de carácter personal. Sin embargo, nuestra cultura incipiente sobre esta realidad, nos aleja de una renovación y realce de un derecho fundamental que está consagrado para todos y cada uno de nosotros en la Constitución, el cual se encuentra en riesgo por un contexto hiperconectado y de flujo de información instantánea, móvil y en la nube.

Es necesario, retomar y reconstruir los supuestos de base de la privacidad de la información al interior de nuestra sociedad, toda vez que no hacerlo, nos compromete no solamente a nivel personal sino a nivel social. ¿Se ha puesto a pensar lo que usted siente, cuando se le pierde su cartera con los papales? ¿Quién se los habrá encontrado? ¿Qué información tenía allí? ¿Pueden saber quién soy y qué hago?

Violar la privacidad para proteger la privacidad
El siguiente tema es una contradicción en sí mismo, es la acción de entrar en profundidad con la información de las personas para caracterizar y perfilar sus comportamientos, como estrategia preventiva frente a las actividades delictivas o conductas punibles. Es claro que hoy tenemos atacantes con diferentes perfiles, diferentes intereses y variadas habilidades. En este contexto, movilizar los esfuerzos de prevención y anticipación (si esto fuese posible) requiere una dosis importante de información que no está a la vista de las personas y que puede invadir la privacidad de las mismas.

Balancear esta necesidades, nuevamente legítimas de un Estado, frente su política criminal, determina un reto de consensos, que cruza los intereses de la ciudadanía frente a la necesidad de tranquilidad y protección, con los requisitos de información detallada exigidos por los entes de policía judicial, como base de las acciones que deben tomar frente a los vectores de ataque y conductas criminales que se presentan a través de las redes informáticas.

Si fuese suficiente la recolección de información pública para las labores de prevención y control ejercidas por las fuerzas del orden, no fuese necesario este debate. Por tanto, la exigencia y responsabilidad mutua que tiene tanto el Estado como el individuo, es la garantía que nos dice que es posible convivir en un mundo en constante contradicción, pues existe un punto de encuentro que asegura una sintonía de los intereses particulares con el interés general y de amplio propósito.

Modelos de negocio basados en información personal
La realidad de internet y el flujo de información, las estrategias de seguimiento activas y pasivas que se tienen en los sitios web, las aplicaciones móviles y la geolocalización, así como los dispositivos inteligentes de las casas y demás “cosas” conectadas a internet, nos muestra que la información y caracterización de nuestras vidas es cada vez más un libro abierto para las empresas y los terceros.

Esta situación nos revela que la información se constituye en el nuevo “petróleo” del siglo XXI, pues el tratamiento de la misma, en diferentes formas y modelos, permite una particular forma de explotación comercial que algunos pocos se han venido apropiando. Bien revela un reciente estudio de Harvard (PARMAR, MACKENZIE, COHN y GANN 2014), que los nuevos patrones de innovación y las nuevas fronteras de la generación de valor están en el tratamiento de la información.

Este estudio nos muestra cinco patrones clave para generar valor en contexto de una economía globalizada y digital, asistida por las redes sociales, los grandes datos y la computación en la nube. Los patrones son:
  1. Usar los datos que los objetos físicos generan ahora (o podrían generar) para mejorar un producto o servicio, o crear un nuevo valor para el negocio.
  2. Digitalizar los activos físicos.
  3. Combinar datos dentro y entre industrias.
  4. Comercializar los datos.
  5. Desarrollar una capacidad usando los datos.

El primer patrón nos habla de la capacidad de poder “sensar”, recoger los datos del entorno del objeto monitoreado. Esto es poder reconocer y colectar información con sensores, dispositivos inalámbricos, alertas o alarmas producidas por estos con el fin de mejorar la experiencia de este o aumentar su desempeño. Esta realidad emergente, se denomina el Internet de las Cosas (en inglés IoT – Internet of Things), donde cualquier cosa es capaz de conectarse a internet y transmitir datos en tiempo real, para efectos de lo que se requiera.

El segundo patrón nos habla de los nuevos modelos de negocio basados en streaming de video, lectores electrónicos de libros, música digital, técnicas de visualización de espacios físicos, modelaje de la operación de plantas nucleares, procedimientos médicos, entre otros aspectos, que potencian un entendimiento y capacidad de las personas para tener una experiencia diferente de los objetos del mundo real en un contexto virtual.

El punto tres es la ciencia de los grandes datos, de la analítica, de la exploración de patrones diferenciadores y emergentes entre el mar de información disponible para analizar. Es el ejercicio de poder anticipar tendencias y condiciones de operación de situaciones particulares, identificar aspectos que no se habían considerado, temas que claramente se pueden explotar en el contexto de un servicio particular y especializado para generar nuevas ventajas comparativas en las organizaciones. Los cruces de información y las capacidades de análisis disponibles son nuevos recursos que están a la venta, soportados en los nuevos científicos de los datos.

El elemento número cuatro nos indica que usando los datos disponibles es posible disparar ofertas focalizadas, análisis de flujos de dinero, condiciones del tiempo globales, conjuntos de datos específicos que le permitan a industrias y sectores particulares tomar ventaja de aspectos relevantes de la realidad, antes inexplorados.

El patrón número cinco, nos indica que las organizaciones pueden desarrollar procesos estandarizados y asegurados, que se convierten en capacidades que pueden ofrecer a terceros. El uso de modelos de operación o tecnologías aplicadas a procesos internos de las empresas, que tienen altos niveles de desempeño y aseguramiento, los cuales definen una forma particular de lograr un resultado, puede terminar siendo una capacidad que otros requieren y que la organización tiene la posibilidad de ofertar a terceros.

Vulnerabilidades en las nuevas plataformas de información
Las vulnerabilidades de las plataformas tecnológicas suman el último componente de las presiones establecidas por la Comisionada Canadiense. Esta realidad, fue experimentada por la misma funcionaria durante este año cuando advirtieron una brecha de seguridad, por la pérdida de un disco duro sin mecanismos de cifrado, con información personal sensible de 800 de sus empleados y ex-empleados el pasado mes de abril. (COULTER 2014)

Entender que la seguridad de la información no es un problema de tecnología, sino de prácticas y de personas, es una lección que muchas organizaciones han tenido que aprender como fruto de las adversidades de la inseguridad. En el ejercicio de la autoridad de protección de datos, la Comisionada aprendió que establecer las causas de un incidente exige una visión ágil y focalizada que busque las razones de fondo por las cuales se presenta, demanda un equipo preparado y asistido para asegurar las acciones requeridas, incluye contar con un plan de comunicaciones con los grupos de interés identificados y una categorización de los incidentes, para actuar en consecuencia frente a los individuos afectados y establecer las obligaciones que se deriven del hecho.

Esta situación experimentada por el mismo regulador, muestra que se necesita un mayor entendimiento de lo que implican los procedimientos y la dinámica de la atención y reporte de un incidente de seguridad de la información que afecte la protección de los datos personales. Esto necesariamente genera un llamado de convergencia entre las dos disciplinas: seguridad y privacidad, para establecer esfuerzos conjuntos que se ajusten a la realidad de las empresas y la dinámica de sus operaciones y negocios. (CANNON 2005)

Reflexiones finales
Luego de recorrer cada una de las presiones enumeradas por la Comisionada Interina Bernier, se establece un panorama de sentimientos encontrados respecto de la protección de la información personal.

Si bien por un lado las regulaciones se vuelven más exigentes y las sanciones más ejemplarizantes (SWIRE y AHMAD 2012), por otro, no se observa una motivación, diferente a la sanción y pérdida de reputación, para que las organizaciones desarrollen una distinción de protección de datos personales ajustada con su realidad de negocio y como arma estratégica para crear relaciones de largo plazo con sus clientes.

La privacidad vista como una amenaza para una organización, sólo genera una teoría de mínimos de cumplimiento, los cuales son cubiertos con programas de acción minimalistas que sin ser el mejor esquema, dejan mucho espacio para que patrones inadvertidos del tratamiento de datos personales se presenten, motivando la aparición de brechas inesperadas, con las consecuencias consabidas; que como anota la norma deben ser notificadas a la autoridad correspondiente.

La privacidad vista como una oportunidad, piensa en las relaciones y estrategias de largo plazo que generan nuevas opciones para desarrollar y utilizar la información a favor de la empresa y sus clientes. Este ejercicio permite fundar las bases de la protección de datos personales desde el gobierno corporativo como fundamento de los vínculos y la construcción de confianza que permite usos de información personal adecuada y asistidos por intereses comunes y legítimos.

Así las cosas, la comisionada Bernier propone un marco de referencia sobre los retos de la privacidad ajustado con la realidad actual, un escenario de análisis con variables dinámicas que nos indican las luchas y desafíos que los Estados, las organizaciones y los individuos tienen respecto de la protección de sus datos personales. Un ejercicio de derechos constitucionales, así como de ciudadanía global, que demanda responsabilidad y compromiso de todos nosotros, los miembros de la sociedad de la información y el conocimiento.

Referencias
PARMAR, R., MACKENZIE, I., COHN, D. y GANN, D. (2014) The new patterns of innovation. Harvard Business Review. January-February.
SWIRE, P. y AHMAD, K. (2012) Foundations of information privacy and data protection. A Survey of global concepts, laws and practices. IAPP Publication.
CANNON, J. C. (2005) Privacy. What developers and IT Professionals should know. Addison Wesley.
COULTER, K. (2014) Who’s minding the store? Disponible en: http://www.privacyanddatasecuritylaw.com/whos-minding-the-store (Consultado: 8-05-2014)
EL MUNDO (2013) Las fechas claves del caso Snowden. Disponible en: http://www.elmundo.es/america/2013/06/23/estados_unidos/1371994686.html (Consultado: 8-05-2014)