Digamos que exista una pequeña ficha en la página web de su empresa que los clientes deben rellenar para suscribirse y recibir noticias. Para eso, tienen que poner sus nombres y su dirección de e-mail. Cierto día, usted escucha de algunos colegas del departamento de marketing que algo será añadido a los correos enviados a los clientes suscritos: avisos de ofertas en productos de compañías asociadas a su empresa.
¿Están sonando sus alarmas de protección de datos? Deberían estar, pero si no lo están, usted no es el único. La limitación de propósito es un principio de la seguridad de datos que muchos todavía no conocen. Pero entenderlo va a ayudarlo y reducir los riesgos a la seguridad y privacidad de datos y les mostrará a sus consumidores que su compañía realmente respeta sus datos.
¿Qué es la limitación de propósito?
La limitación de propósito de datos es separada en dos partes. Primero, cuando una empresa recibe informaciones personales de alguien, ella debe ser clara sobre cómo será utilizada esa información desde el principio. En segundo lugar, no se puede utilizar esa información para cualquier otro propósito. Muchas de las leyes de protección de datos alrededor del mundo tienen algunas exigencias de limitación del propósito, particularmente el Reglamento General de Protección de Datos de la Unión Europea (RGPD). Según el RGPD, las organizaciones deben documentar los propósitos de los datos y especificarlos en sus informes de privacidad de información.
Mantente actualizado sobre la protección de datos.
Secure Futures Kaspersky
¿Pero, porqué es tan importante la limitación de propósito? ¿Si alguien elige entregar sus datos a una empresa, cree usted que debería poder utilizar esos datos sin cualquier limitación mientras garantice la privacidad del cliente? No exactamente. Este es un problema mucho más grande de lo que parece.
La joven mujer, el capellán y el hospital
Algunos instructores de privacidad cuentan una historia sobre una mujer que tuvo que rellenar un formulario cuando la internaron en un hospital. Una pregunta de ese formulario era sobre su religión. Como tal vez esa información fuera importante para el tratamiento y ya había visto ese tipo de pregunta en otros formularios, la mujer respondió a la pregunta prontamente, como siempre lo había hecho.
¿Por qué esa pregunta? Ese hospital utiliza esa información para avisar a su capellán que hay un nuevo paciente que tal vez quiera recibir una visita. El problema es que no avisaron a la paciente de eso.
Que pequeño es el mundo: por coincidencia, el capellán del hospital era amigo de la familia de la joven mujer. Pero ella no era casada y estaba en el hospital por causa de un problema con su embarazo. Su familia todavía no sabía que ella estaba embarazada y ella no quería que ellos supieran. Luego, la joven mujer y el capellán se vieron en una situación muy incómoda.
Sin considerar la violación del reglamento del uso de datos, algunos dirán que la mujer es libre para decidir si quiere o no compartir esa información, y que por eso es responsable por los resultados de esa situación. Por otro lado, la confianza que los pacientes tienen en el servicio de un hospital es crucial para que el hospital alcance sus objetivos: ayudar a los pacientes a que mejoren.
Existe un principio de la privacidad de datos: cualquier organización que recibe informaciones personales, sea para ganar dinero o para ayudar personas a salvar el mundo, necesita ser confiable para ser eficiente.
¿Pero estarán las organizaciones a la altura de la confianza que los consumidores depositan en ellas?
El reciclaje de datos
En los últimos años, varios casos que sorprendieron a los consumidores relacionados a como las empresas utilizaron o vendieron sus datos aparecieron en as noticias. Un ejemplo sería el caso de la aplicación de control del ciclo menstrual que vendía los datos de sus consumidoras a Facebook. Esos datos eran utilizados para anunciar productos para mujeres embarazadas.
Con eso, se hizo famoso el caso de una usuaria de la app que empezó a recibir anuncios de ese tipo de productos como si estuviera embarazada, pero que en realidad solamente había olvidado de actualizar sus datos en la app por un tiempo. Es fácil entender como esa manera de utilizar informaciones sensibles puede dañar emocionalmente a algunos consumidores.
En el 2017, la Comisión Federal de Comercio de los E.E.U.U. denunció de manera extrajudicial a Uber. La denuncia trataba de que algunos empleados de la empresa utilizaron una función llamada “Good View” para rastrear políticos, celebridades y hasta exnovias. Aunque Uber haya sancionado estos abusos, hasta hoy ningún proceso ha sido creado por la compañía para prevenir este tipo de problema efectivamente.
Cuando se descubre que las empresas han reciclado informaciones muchas dicen que “no era su intención”. Puede que sea verdad, pero eso sigue ocurriendo.
¿Realmente entienden las empresas y sus empleados cuáles son sus responsabilidades en relación a la manerade como utilizan los datos de sus consumidores?
¿Se permite el reciclaje de datos personales? Qué dicen las leyes:
La RGPD implementa la limitación del propósito como un principio fundamental de la protección de datos. La sección 1B del artigo 5 de ese reglamento realza como los datos personales deber ser colectados solamente cuando su utilización es especificada explícitamente. Los datos no pueden ser utilizados de otras formas que no coincidan con su propósito original. Existen algunas excepciones para usos históricos, científicos y estadísticos, y “si los intereses legítimos del controlador o de terceros se sobreponen a los intereses de la persona en cuestión“.
La Comisión Europea le ofrece orientaciones a las organizaciones para ayudarlas a saber si lo que planean hacer con los dados coincide, o no, con su propósito. Sugieren, por ejemplo, considerar si los datos son sensibles (incluyen informaciones de salud, preferencias políticas y más) y cómo seguir utilizando esos datos puede afectar a la persona involucrada.
Mientras las penalizaciones por infringir el principio de limitación del propósito todavía no son tan severas, una gran cantidad de procesos han sido abiertos, dañando la reputación de muchas empresas. La autoridad de protección de datos de Noruega, por ejemplo, ha multado a la Administración de Vías Públicas del país en cerca de 50 mil dólares por utilizar cámaras de “seguridad” para monitorear el trabajo de sus empleados. Pero infringir este principio con los datos de solamente un consumidor no significa que las multas serán menores: autoridades españolas multaron al banco Bankia en 50 mil dólares por almacenar y reutilizar datos de un consumidor que había cerrado su cuenta 16 años antes.
Esto ocurrió porque al considerar a quien multar, las autoridades penalizan no por la violación del principio, pero sí por las consecuencias que esa violación tiene. Por ejemplo, si las compañías no siguen los procesos de limitación del propósito de los datos, pueden estar infringiendo otras exigencias de la RGPD, como tener una razón legitima para procesar esos datos.
Pero no ha sido solo en Europa que se ha establecido una limitación de propósito de datos. En California se añadió en 2018 la cláusula de limitación de propósito al California Consumer Privacy Act (CCPA), la nueva ley de privacidad de datos del estado. Esa cláusula propone que las empresas deben, antes de colectar informaciones personales, informar a sus consumidores sobre cómo esa información será utilizada y exige que tengan el consentimiento de esos consumidores para utilizar sus datos para otro propósito.
¿Qué hacen las empresas para respetar las obligaciones de la limitación de propósito?
“Cada empresa procesa diferentes tipos de datos personales, de diferentes formas y con propósitos distintos“, afirma el Jefe de Protección de Datos y Privacidad de Kaspersky en Europa, Alexey Testsov. La RGPD obliga a los controladores y procesadores de datos a mantener registros de cuales datos la empresa está recolectando, del motivo que tiene para colectar esos datos y hasta cuando pretenden almacenarlos. Junto con la fiscalización y el mapeo de los datos, esos registros son esenciales para que las responsabilidades con relación a la limitación de propósito sean respetadas.
“Los empleados deben saber cómo colectar, almacenar y utilizar datos personales sin infringir la legislación. Con los altos riegos del procesamiento de datos, es mejor discutir cambios en ese procesamiento con un especialista en seguridad o con el departamento jurídico de la compañía. Los empleados deben saber cómo consultar los expertos internos de la empresa sin tener miedo de hacerlo“, completa Testsov.
Aquí siguen dos ejemplos de problemas identificados que pueden causar errores en el control del propósito del uso de datos:
Sistemas que mantienen los datos separados
Protecciones eficientes contra el uso indebido de datos pueden haber evitado recientemente algunos casos de reciclaje de datos. En el Reino Unido, la Oficina de Comisarios de la Información (del inglés “Information Commissioners’ Office” o ICO) multó a una empresa de campañas políticas y a una compañía de seguros en 120 mil libras cada. El ICO descubrió que informaciones personales recolectadas durante una campaña política fueron utilizadas para ofrecer seguros, realzando errores en los sistemas de protección de datos de las dos empresas. “Los sistemas que separan los datos personales de clientes de la compañía de seguros de los datos de los suscritos políticos fueron ineficientes en este caso”, afirma el informe de ICO.
Los controladores y procesadores de datos deber tener en mente que los avanzos en los softwares pueden causar cambios en la forma de utilización de los datos. Eso es conocido como “function creep”: cuando el uso de una tecnología o sistema va más allá del propósito que tenía originalmente, especialmente cuando puede llegar a una potencial invasión de la privacidad.
Hunter Nelson, presidente de Tortoise and Hare Software, dice que desarrolladores de softwares deben entender los potenciales impactos a la privacidad causados por el “function creep”: “Controladores y procesadores deben tener cuidado al desarrollar sistemas para no infringir leyes de privacidad cuando nuevas funciones son lanzadas. Un proceso de verificación debe ser incluido en los lanzamientos para revisar estas nuevas funciones, con el objetivo de preservar la privacidad“, aconseja Nelson.
Pero independiente de las legislaciones de privacidad vigentes donde opere una empresa, saber de la importancia de la limitación del propósito ayudará a garantizar un estándar alto de privacidad de datos. Por eso, asegúrese de que, al colectar informaciones personales de consumidores, estos entiendan perfectamente cómo serán utilizadas esas informaciones. Con eso, usted estará mostrándole a sus consumidores que respeta su privacidad y ganará la credibilidad y confianza que toda compañía necesita.
