Facebook, el Reglamento General de Protección de Datos, la Privacidad y Usted

Esta página también está disponible en: English (Inglés)

La privacidad personal ya no es algoque es bueno tener, sino un requisito comercial y reglamentario.

“Moverse de prisa y correr riesgos” es el enfoque que se ha atribuido a Facebook a lo largo de los años. Eso ciertamente funcionó hasta 2018. Pero con la revelación de que Cambridge Analytica tuvo acceso a información personal privada de más de 85 millones de usuarios de Facebook y con la llegada del RGPD, la falla de Facebook para proteger la privacidad de las personas está bajo ataque.

La firma de medios sociales ahora planea gastar más de USD 1.000 millones para solucionar el problema. Facebook no es una excepción, la mayoría de las empresas también están expuestas. Los propietarios de pequeñas empresas y los ejecutivos de TI deben saber cuáles son sus riesgos de cumplimiento, privacidad y seguridad y actuar en consecuencia para llevarlos a niveles aceptables.

Cambridge Analytica, una firma de análisis político contratada por la campaña de elecciones presidenciales de Trump 2016, obtuvo acceso a la información de identificación personal (IIP) de más de 85 millones de usuarios de Facebook. Luego utilizaron herramientas para identificar las personalidades y los rasgos de los votantes estadounidenses y las utilizaron para influir en el comportamiento del usuario frente a los anuncios digitales.

Esto no fue un solo fallo de acceso a los datos por parte de Facebook. En junio, The New York Times informó que Facebook tenía asociaciones para compartir datos con los fabricantes de dispositivos móviles Apple, Amazon, BlackBerry, Microsoft y Samsung, así como con los fabricantes chinos de dispositivos Huawei, Lenovo, Oppo y TCL.

La pregunta entonces es: ¿Qué hacen estas empresas con esta IIP, con quién la comparten y qué nivel de control tiene Facebook una vez que los datos ya no están en sus manos?

En su informe trimestral de ganancias recientemente anunciado, la compañía reportó un crecimiento más lento y aseguró que gastarán más de USD 1.000 millones para mejorar su privacidad y seguridad. Las acciones cayeron un 20 por ciento. Además, la firma declaró que anticipa que la tasa de sus crecientes costos de soporte superará el crecimiento de sus ingresos para el próximo año, sin mencionar las demandas legales. Solo se puede concluir que la privacidad tiene un impacto en la lealtad del cliente y en los costos asociados con la protección de la IIP del cliente.

La IIP debe estar protegida

La saga de Facebook es una lección para todas las empresas y se complica por la implementación de Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Las empresas afectadas por el RGPD y que no cumplan con los requisitos de privacidad podrían verse afectadas con una multa de hasta el cuatro por ciento de sus ingresos globales anuales. La privacidad personal ya no es algo que es “bueno tener”, sino un requisito comercial y reglamentario. Y no será barato de implementar.

Para alinearse con los requisitos de IIP, las empresas deberán implementar planes que aborden los siguientes elementos:

  • Asegurarse que el consentimiento para utilizar los datos para cada proceso se obtiene y se documenta
  • La capacidad de clasificación y asignación de datos para que la empresa pueda realmente saber dónde existe la IIP, cómo se usa y por quién (aplicaciones y usuarios)
  • Establecimiento de controles de acceso adecuados.
  • Etiquetado y seguimiento del ciclo de vida de los datos de toda la base de datos de IIP.
  • Registro de eventos de IIP (y alertas para posibles exposiciones)
  • Cifrado de todos los datos de IIP en tránsito y en reposo
  • Informes de incumplimiento y notificación.
  • La capacidad de reconocer la solicitud y eliminación de datos cuando se retira el consentimiento («derecho a ser olvidado»)
  • La capacidad de saber dónde se han transferido los datos y controlar su uso.
  • El establecimiento de la certificación de protección de datos para la compañía y todos los terceros que están en posesión de los datos de IIP obtenidos por la compañía

Resumen

Los riesgos de privacidad han aumentado significativamente desde que ocurrieron las violaciones a las cuentas de Facebook y la fecha de «puesta en marcha» del RGPD, y las personas ahora se sienten más cansadas de las corporaciones y confían menos en ellas.

Por otro lado, se está produciendo una transformación del negocio digital, que está causando que cada vez más transacciones se realicen electrónicamente desde teléfonos inteligentes y otros dispositivos fáciles de usar. Por lo tanto, las empresas deben poder participar en la economía digital, a la vez que se adhieren a los requisitos de privacidad exigidos por individuos y gobiernos.

Los propietarios de pequeñas empresas y los ejecutivos de TI deben crear y ejecutar un plan que les permita ser competitivos en el mundo digital a la vez que satisfacen los requisitos de IIP, o, alternativamente, los ejecutivos deberán aprestarse para enfrentar potencialmente una exposición de riesgo importante.