Cuando se implementó la Ley de Privacidad del Consumidor de California (CCPA) el 1 de enero, muchas compañías aún luchaban por cumplir con la regulación de privacidad de datos, que se estima que cuesta a las empresas $ 55 mil millones. Pero incluso marcar todas las casillas de cumplimiento no es suficiente para proteger los datos del consumidor. Los últimos años de violaciones rampantes y uso indebido de datos han demostrado la rapidez con que los datos personales pueden caer en manos equivocadas. También han mostrado con qué frecuencia los errores de usuario simples habilitados por las malas prácticas de datos tienen grandes consecuencias.
La forma de resolver este problema no es únicamente a través de la legislación, sino que las empresas analizan detenidamente su comportamiento y sus procesos. Las leyes como CCPA y GDPR ayudan a sentar las bases para el cambio, pero no abordan el problema más amplio: las empresas se sienten con derecho a los datos de las personas, incluso cuando no forman parte de su oferta de productos básicos y han codificado ese derecho en sus procesos.
Los llamados a la rendición de cuentas legales y de arriba hacia abajo no solucionarán el problema por sí solos. Para proteger a los consumidores, las empresas necesitan diseñar sistemas internos en torno a la custodia de datos en lugar de la propiedad de los datos. Al hacerlo, se establecerán procesos que no solo alcanzarán los puntos de referencia de cumplimiento, sino que harán que el manejo responsable de los datos sea la acción predeterminada.
El cumplimiento de la privacidad sobre el verdadero cambio de procedimiento es una evasión
La filosofía predominante en Silicon Valley es la propiedad de los datos, lo que afecta la forma en que se utiliza la información personal de los consumidores. Las consecuencias se han informado ampliamente sobre todo, desde las revelaciones que rodean a Cambridge Analytica hasta la violación de datos de 57 millones de usuarios de Uber. Las empresas tecnológicas están perdiendo la confianza de los clientes, socios y gobiernos de todo el mundo. De hecho, la percepción de los estadounidenses sobre las empresas tecnológicas ha caído constantemente desde 2015
Las compañías que confían en regulaciones como CCPA y GDPR para guiar sus políticas de datos esencialmente le piden a otra persona que trace la línea por ellos, para que puedan acercarse lo más posible, lo que lleva a un enfoque de cumplimiento de "marcar la casilla" en lugar de una filosofía central que prioriza las expectativas de privacidad de sus clientes. Si los líderes de tecnología y seguridad crean políticas de datos teniendo en cuenta la privacidad, no tendremos que gastar recursos valiosos para cumplir con las regulaciones gubernamentales.
Cómo quitar el derecho del manejo de datos
El manejo responsable y seguro de los datos es posible para todas las empresas. El paso más importante es que las empresas vayan más allá del mínimo al reevaluar sus procesos de acceso a datos. Lo que ha sido más útil para las empresas con las que he trabajado es organizar estas prácticas en torno a una idea simple: no puedes perder lo que no tienes.
En la práctica, esta idea se conoce como el Principio del Privilegio Mínimo, por el cual las empresas solo les dan a los empleados el acceso a los datos que necesitan para realizar su trabajo de manera efectiva. Aquí hay un ejemplo que se aplica a la mayoría de las empresas orientadas al cliente: digamos que soy un representante de servicio al cliente y una persona me llama por un problema con su cuenta. Si opero de acuerdo con el Principio de Privilegio Mínimo, se aplicarán las siguientes reglas de acceso a datos:
- Solo tendría acceso a la información de la cuenta de ese cliente específico;
- Solo tendría acceso a la parte específica de su cuenta donde está ocurriendo el problema;
- Solo tendría acceso hasta que se resuelva el problema.
Suena intuitivo, ¿verdad? Sin embargo, muchas compañías, particularmente aquellas que operan sin el Principio de Privilegio Mínimo, descubrieron a través del proceso de cumplimiento de GDPR y CCPA que sus controles de acceso a datos no funcionaban de esta manera. Así es como suceden las principales infracciones. Un empleado descarga una base de datos completa, muchos más datos de los que necesita para realizar una tarea específica, su computadora portátil se ve comprometida y, de repente, los piratas informáticos pueden acceder a toda la base de datos.
POLP funciona porque introduce un poco de fricción en el proceso de solicitud de datos. El objetivo aquí es hacer que la decisión correcta sea fácil y la decisión incorrecta más difícil, para que todos sean intencionales sobre su uso de datos. La forma en que una empresa logre esto diferirá según su modelo de negocio y etapa de crecimiento. Una opción es tener una sola base de datos con una capa adicional de infraestructura que otorgue acceso a los datos a través de las reglas POLP.
Alternativamente, las compañías pueden incorporar estas reglas en su software CRM. En el ejemplo que mencioné, el sistema otorgaría acceso a datos a un representante solo cuando reconozca un caso de atención al cliente correspondiente. Si un empleado intenta acceder a datos que no están directamente relacionados con un problema del cliente, se encontrará con un paso de inicio de sesión adicional como la autenticación de dos factores.
No existe un enfoque único para todos; más bien, el acceso a datos debe operar en un espectro. Para una empresa, puede significar limitar el acceso a los datos a una sola cuenta comercial y al conjunto relacionado de información del cliente. En otra compañía, un ingeniero puede necesitar acceso a la información de varios clientes para solucionar un problema del producto. Cuando esto sucede, el acceso a los datos debe ser a tiempo y altamente visible, para que otros empleados puedan ver cómo se usan los datos. También puede haber ocasiones en que un empleado necesite acceder a datos en conjunto para hacer su trabajo, por ejemplo, para ejecutar un informe. En este caso, los datos siempre deben ser anónimos.
Proteger los datos del consumidor es una obligación moral, no solo legal.
El poder de los procesos de datos centrados en la privacidad y un sistema como el Principio de Privilegio Mínimo es que, por diseño, guían a los empleados a utilizar los datos teniendo en cuenta el interés del cliente. La regla de oro debería aplicarse: cada uno de nosotros debe tratar los datos del consumidor de la forma en que queremos que se usen nuestros propios datos. Con los procedimientos funcionales correctos, la infraestructura puede hacer que el acceso responsable a los datos sea intuitivo.
Ninguna empresa tiene derecho a datos; se les ha confiado Los consumidores deben ser conscientes de cómo se tratan sus datos y responsabilizar a las empresas. Regulaciones como CCPA facilitan esto, pero las empresas deben mantener su parte del trato.
La confianza, no los datos, es la moneda más valiosa para las empresas de hoy. Pero las prácticas de datos actuales no hacen nada para ganar esa confianza y no podemos contar con la regulación solo para cambiar eso. Solo las prácticas creadas teniendo en cuenta la privacidad y la transparencia pueden recuperar la confianza del cliente y mantener protegidos los datos personales.