La privacidad está muerta, larga vida a la privacidad

En mayo, las empresas vieron Y2K remasterizado. Llegó el Reglamento General de Protección de Datos de Europa, y no pasó nada. Empresas de todo el mundo y de todos los sectores se apresuraron a lograr el cumplimiento, temerosas de fuertes multas y la ira de los consumidores.

Pero casi tres meses después de que se promulgó la regulación, ha habido poca acción.

Aunque la industria aún no ha visto ramificaciones en la regulación, GDPR hizo que muchas organizaciones reconsideraran cómo recopilan y usan los datos. Más empresas están considerando la privacidad como un tema comercial importante, no como una ocurrencia tardía.

Y un concepto está facilitando la comprensión de cómo se deben tratar los datos, inyectando más privacidad en el camino: manejar los datos como una moneda.

Poner precio a los datos

El concepto de datos como moneda es el sucesor de una representación más física que se encuentra en la frase "los datos son el nuevo petróleo". Un concepto que acuñó hace 20 años en Europa, Michelle Dennedy, vicepresidenta y directora de privacidad de Cisco, declaró que los datos son el nuevo petróleo porque fluyen a través de los sistemas y son más valiosos que el oro u otras monedas.

Si los datos fueran el nuevo petróleo, las empresas solo necesitarían seguridad para administrarlos, asegurándose de que no se filtren ni provoquen incendios. Pero si, en cambio, los datos se ven como una moneda, "dependen totalmente del tiempo, la comprensión cultural, las condiciones y el contexto", dijo Dennedy, en una entrevista con CIO Dive.

Cada moneda tiene un "bamboleo", dijo Dennedy. Tomemos, por ejemplo, lo que está sucediendo con las fluctuaciones del euro, que ilustran cómo los ciclos electorales pueden influir en las valoraciones de las monedas.

Las organizaciones logran el éxito cuando aprenden a valorar los activos. Si los datos se tratan con descuido y los factores internos o externos tienen un impacto, las organizaciones podrían encontrarse en la mira de los reguladores.

---

Si los datos se ven como una moneda, son "totalmente dependientes del tiempo, la comprensión cultural, las condiciones y el contexto".

michelle dennedy

Vicepresidente y director de privacidad de Cisco

---

"Si ve sus datos confidenciales como un activo que le causa tanto daño si se ve comprometido como sus fondos reales, su dinero, entonces se comportará de manera diferente", dijo Tanya Forsheit, socia y presidenta de la ley de privacidad y seguridad de datos. firma Frankfurt Kurnit Klein y Selz, en una entrevista con CIO Dive.

Si bien el concepto está ganando apoyo general, la industria aún no está allí. Las empresas que consideran los datos como moneda rápidamente vuelven a asociarse con el riesgo, creyendo que los datos son algo que perder.

La otra restricción es cómo las regulaciones definen los datos personales. GDPR ofreció una definición amplia.

En los EE. UU., los datos personales se consideran información de identificación personal (PII). Pero según el RGPD, los datos personales son cualquier información que podría usarse para identificar a una persona, incluidas las identificaciones de dispositivos y las direcciones IP.

Ampliar el alcance de los datos personales complica su tratamiento como moneda. Los números de seguridad social, por ejemplo, tienen mucho más valor que una dirección de correo electrónico. Esto significa que el concepto de datos como moneda requiere un valor asociado.

Si existen mecanismos para tratar las direcciones IP como centavos y los números de seguridad social como billetes de cien dólares, entonces tiene sentido, dijo Forsheit. "Es una mentalidad difícil de entender para alguien".

Empresas hambrientas de datos

Si las empresas no recolectaran datos en exceso, la semántica que rodea su tratamiento y definición no tendría sentido. Pero, por desgracia, ese no es el caso.

A mediados de la década de 1990, Internet comenzó a girar hacia el comercio y se hizo más fácil obtener datos, dijo Rebecca Herold, directora ejecutiva de la práctica de consultoría The Privacy Professor y cofundadora y presidenta de SIMBUS , una firma de consultoría de gestión de privacidad y seguridad.

Antes de Internet, las empresas tenían que depender de anuncios impresos y correos para llegar a compradores potenciales, dijo Herold, en una entrevista con CIO Dive. Pero el auge del comercio por Internet revisó los esfuerzos de marketing y las empresas ya no tenían que pedir datos de los clientes. En cambio, la gente simplemente regaló información.

---

"Históricamente, las empresas en los EE. UU. son acaparadoras de datos. Eso es lo que hacen. Recopilan toneladas y toneladas de datos, a veces incluso sin saber necesariamente cuál es su objetivo final".

Tanya Forsheit

Socio y presidente de privacidad y seguridad de datos en Frankfurt Kurnit Klein and Selz

---

La industria vio "cuán ansiosas estaban las organizaciones por comenzar a recopilar más datos de los que realmente necesitaban", dijo Herold.

Los años 90 sirvieron de presagio. Hoy en día, las empresas recopilan y almacenan más datos de los que saben qué hacer con ellos, con la esperanza de que el análisis de big data y la inteligencia artificial faciliten el análisis. Esta sobrecobro ha tenido un impacto directo en la privacidad.

"Las empresas en los EE. UU. Históricamente son acaparadoras de datos. Eso es lo que hacen", dijo Forsheit. "Recopilan toneladas y toneladas de datos, a veces incluso sin saber necesariamente cuál es su objetivo final".

GDPR está trabajando para cambiar la forma en que las empresas interactúan con los datos, deteniendo el uso de datos personales de formas que los consumidores no esperaban o no sabían que era posible, según Forsheit. Al conectar conjuntos de datos dispares, los analistas pueden determinar y delinear información personal sin el conocimiento del usuario, una acción que GDPR está tratando de evitar.

¿Es posible la privacidad?

Los datos pueden tener un impacto positivo y negativo, y aquellas organizaciones que temen las repercusiones regulatorias y las fuertes multas están trabajando para repensar la recopilación y el tratamiento de datos.

El aumento de la regulación más allá de GDPR también está teniendo un impacto. Los reguladores de EE. UU. están tratando de intensificar y crear un ecosistema que considere los impactos en la privacidad de los servicios ofrecidos por los gigantes de Internet, como fue el caso de la legislación reciente de California .

Las industrias de todos los sectores se encuentran en un "período de despertar" para el uso de datos, dijo Herold. El reciente y bien publicitado uso de datos de Facebook ha alertado a la industria. Facebook estaba "dormido al volante" cuando mapeó cómo vender datos", dijo Herold. "Eran demasiado confiados".

Hay dos problemas principales con los datos, dijo Herold:

• Las organizaciones están haciendo demasiadas suposiciones sobre lo que podría y no podría considerarse datos personales. Y esas mismas empresas no creen que las personas puedan analizar conjuntos de datos para obtener información personal sobre un individuo.

• La mayoría de los desarrolladores de aplicaciones y muchas empresas de tecnología no dedican suficiente tiempo a los controles de ingeniería en sus soluciones y productos. En cambio, están haciendo lo mínimo requerido por la ley.

Esto destaca la brecha entre lo que las empresas están legalmente obligadas a hacer y lo que deberían hacer, dijo Herold.

Ciertamente, la privacidad es posible, pero las empresas carecen del incentivo para hacerla realidad.

"Las cosas malas que han sucedido no son porque no tenemos leyes o porque no tenemos reguladores que se preocupen", dijo Forsheit. "Es porque las empresas han estado hambrientas de datos y, en algunos casos, codiciosas, y han barrido todo lo que han podido y luego han tratado de aprovechar todo lo que han podido hasta que las atrapan porque ese es, en muchos sentidos, el estilo estadounidense". ."