Por Amy Yeung, consejera general y directora de privacidad de Lotame
En este Día de la Privacidad de Datos, como comunidad, tenemos mucho que celebrar en cuanto a la concienciación sobre la privacidad y la armonización de las mejores prácticas. También es conveniente reflexionar sobre los aspectos en los que podemos avanzar en la conversación y preguntarnos si nuestras políticas nos hacen avanzar en la dirección correcta.
A pesar de las buenas intenciones y el animado debate, en mi opinión, hemos perdido el rumbo en lo que respecta a la privacidad de los datos. Es cierto que hemos conseguido concienciar a los consumidores sobre el uso de los datos, especialmente en el ámbito tecnológico. Sobre todo en la última década, muchas leyes dan prioridad a los objetivos de privacidad de los consumidores, aumentando la transparencia y responsabilizando a las empresas de las malas prácticas de datos.
Sin embargo, y ahora con algo de historia a nuestro favor, ¿estamos cumpliendo estos objetivos? Los objetivos del RGPD incluyen la protección de las personas físicas ante el tratamiento de datos personales y la formulación de normas relativas a la libre circulación (ni restringida ni prohibida). La legislatura californiana declaró su adopción de la CCPA como una forma de dar a los consumidores "una manera efectiva de controlar su información personal", tras la enmienda de los votantes para incluir el derecho a la privacidad como un derecho inalienable en la Constitución de California. Estas responsabilidades, por muy apropiadas que sean, han hecho que se preste mayor atención a la divulgación, en particular al crear la expectativa y la divulgación de los requisitos de las obligaciones de la cadena de suministro de extremo a extremo. La aplicación posterior, también, ha hecho hincapié en el daño próximo a los consumidores como uno de revelaciones inexactas, y no acreditar plenamente el trabajo que erige sistemas que todavía protegen los datos personales a través de otros medios, como la segregación de la arquitectura como medio de seguridad, las estrategias tecnológicas que facilitan los objetivos, y lo más importante, no ingerir ciertos datos en primer lugar que de otro modo podrían ser fácilmente tomados. Esto, también, enfatiza para nuestra industria el resultado -revelaciones- en lugar de la entrada. Sencillamente, esto infravalora las medidas innovadoras que toman las empresas para minimizar y proteger la asociación de datos con un individuo determinado. Como profesionales de la privacidad y participantes en el ecosistema de datos, ¿es este el verdadero resultado que buscamos crear?
Como personas con un profundo conocimiento de las herramientas de las que disponemos, creo que tenemos suficientes datos para reevaluar la filosofía de los Principios de Información Justa (PIF), y en qué casos puede ser necesario priorizar ciertos principios para reequilibrar el marco de los objetivos previstos. Volviendo a los fundamentos de la privacidad de los datos e incorporando una conciencia de los avances tecnológicos actuales, el ajuste de las prioridades ponderadas de los principios puede entonces crear mejor "una forma efectiva de controlar la información (del consumidor)".
Aquí hay dos áreas en las que podemos mover la aguja en la política y la práctica de la privacidad de datos este año:
Tenemos que dedicar más tiempo a entender y distinguir entre "identidad" e "identificadores". Las leyes de privacidad de datos suelen suponer que los identificadores equivalen a la identidad, y esa suposición es inexacta e incorrecta. Las leyes añaden ciertos identificadores como la dirección del domicilio y la dirección IP, pero hoy en día, estos identificadores no equivalen a la identidad. Por ejemplo, una dirección de casa puede tener una familia de individuos en residencia, y una dirección IP puede reflejar una oficina de empleados o una sola persona con 10 dispositivos.
Además, toda la actividad asociada a un identificador ya no pinta la imagen completa del comportamiento de alguien, una suposición de los identificadores. Por ejemplo, lo que hago en mi smartphone es muy diferente de las actividades que realizo en mi portátil. Mis actividades en mi portátil pueden dividirse entre mi vida profesional y personal. Basarse en el identificador de mi smartphone o de mi portátil de forma aislada presenta una visión muy limitada. Estos identificadores son una pieza del rompecabezas de la identidad, pero no una imagen completa de mi identidad polifacética.
El rastreo de contactos ilustra este punto con mayor detalle. La tecnología para el rastreo de contactos de COVID-19 demostró que podemos llegar a los individuos sin confirmar o validar su identidad. Utilizando la IA y una red de identificadores con una identidad mínima o nula, podemos ver dónde se producen los picos del virus. Esta información permite predecir los modelos de propagación de la enfermedad e informar en consecuencia a quienes viven en ese radio. Ese identificador geográfico me dirige el mensaje adecuado, por ejemplo, pero ese punto de datos de localización no equivale a mi identidad. De hecho, no es la identidad de nadie. Este es un ejemplo de cómo la tecnología puede situarse en el centro como resultado de un patrón de IA y no porque la empresa haya recogido mis datos. La clave de este éxito es dar prioridad al principio de limitación de la recopilación (minimización de los datos), y centrarse en la arquitectura y las superposiciones de software para la especificación del propósito.
La tecnología seguirá mejorando la precisión entre el comportamiento identificado y la asociación del comportamiento con una identidad, pero ambos no son lo mismo. En varios ámbitos y funciones de nuestro sector, ni siquiera es necesario que la identidad esté presente para alcanzar los objetivos. Por supuesto, pueden ser sinónimos, pero esto va al corazón de enfatizar, por ejemplo, la minimización de datos por encima de otros objetivos de PIF. Tenemos que replantearnos mejor la suposición de que los identificadores equivalen a una identidad.
Necesitamos más voces en nuestros debates, y más voces empresariales en los debates sobre la elaboración de políticas. Los ejemplos que he compartido más arriba crean verdaderos obstáculos para que las empresas puedan equilibrar el hecho de hacer lo correcto por el consumidor y mantenerse en el negocio. Los que diseñan la tecnología también tienen que defender y educar en términos sencillos sobre cómo están cambiando las mejores prácticas y comportamientos. Las mesas redondas, en las que se incluyan secciones transversales de nuestras organizaciones, contribuirían en gran medida a hacer avanzar nuestro conocimiento colectivo, a ampliar los puntos de vista y a crear soluciones más sólidas y aplicables.
Además, desafío a las empresas a que abran la conversación sobre la privacidad de los datos dentro de su organización. La solución es multidisciplinar, lo que significa que los representantes de ingeniería, tecnología, producto, marketing y legal necesitan un asiento en la mesa. Sin esta visión multidimensional, nos estamos perdiendo el panorama completo, el potencial y la práctica de la privacidad por diseño.
El comienzo de un nuevo año nos brinda la oportunidad de reflexionar, recargar y reajustar nuestras prioridades. Espero con interés las intensas conversaciones sobre la privacidad de los datos que se avecinan y el aprendizaje que inevitablemente se produce. Es hora de que retomemos la historia donde la dejamos, revisemos lo que podamos y nos centremos en escribir un nuevo capítulo sobre la privacidad de los datos.