Llegamos a ustedes gracias a:



Reportajes y análisis

Cambiando las reglas de la privacidad de los datos

Cómo Facebook y Twitter lo están haciendo

[07/07/2009] Los CIO piensan sobre privacidad del modo en que la gente piensa sobre el ejercicio: con una visión y un sentido de dolor inminente. Fuera de industrias reguladas como atención médica -donde la privacidad del paciente es primordial- la privacidad afecta a los CIO como corolario de la seguridad cuando, digamos, una laptop conteniendo millones de archivos de personas es perdida, o los hackers le extraen datos de los clientes.

Los CIO generalmente no se preocupan por la privacidad, señala Peter Milla, ex CIO y gerente general de privacidad en Survey Sampling International (SSI). Milla dice que la mayoría de CIO se enfocan en la tecnología, o consideran la privacidad como fuera de su dominio, la provincia de un jefe de privacidad o un gerente de seguridad. Él encuentra ambas actitudes obstinadas. Los CIO, dice Milla, deben querer estar adelante de la curva en privacidad.
Las razones, añade Milla, se volverán más obvias en tanto los negocios se vuelvan progresivamente digitales. Las aplicaciones Web 2.0 se conectan como Legos, creando oportunidades para las compañías de recopilar cantidades increíbles de datos. En las redes sociales y blogs, la gente postea vastas cantidades de información sobre ellos mismos. Los marketeros, entre tanto, están desarrollando aún mejores herramientas de explotar información sobre qué hacen los individuos en línea. Las compañías rutinariamente desbloquean datos sensibles para sus socios de negocios. En tanto los negocios ingresan al cómputo en la nube, ellos le darán custodia de sus datos a proveedores de servicios. Estas tendencias crean el potencial de una comprensión sin precedentes en el comportamiento de la gente, y abre nuevas vías para hacer negocios. Pero también crean preguntas polémicas sobre privacidad, preguntas para las cuales las respuestas no están claras.
Milla señala que él recientemente trabajó para modificar una solicitud de un vendedor minorista de mucho dinero, que quería información sobre las personas encuestadas por su compañía en su nombre. Ellos se desconcertaron y se frustraron porque no se los dimos, señala Milla. El minorista ya colecciona muchos datos de sus clientes, y no vio cuál era el problema con un poco más. Pero Milla vio una falla de privacidad, una violación contractual. Si se filtraba hacia afuera que SSI compartía datos personales sobre sus panelistas, podría haber devastado su negocio.
Milla señala que la actitud del minorista de mucho dinero es endémica. Las compañías piensan que los datos que ellos recopilan les pertenecen. Eso no es verdad, indica, ¿pero está en lo cierto?
La propia pregunta podría golpear a los CIO como extraña. Hace diez años, el entonces CEO de Sun Microsystems, Scott McNealy, nos dijo Ustedes tienen cero privacidad de todos modos. Supérenlo. Desde entonces, colectivamente nos hemos puesto en contacto con nuestro exhibicionista interno. La gente habla sobre sus antidepresivos en Facebook, o suben videos de ellos mismos violando políticas de trabajo en YouTube (dos trabajadores de Domino?s fueron despedidos por tal hazaña). Los adolescentes están enviando fotografías de ellos mismos desnudos o semivestidos a través de sus celulares.
Pero la gente también pide que fotos y videos sean removidos de los sitios de redes sociales, señala Deirdre Mulligan, una abogada y ex profesora de leyes que ahora es profesora asistente en la Escuela Berkeley de Información de la Universidad de California. Los individuos y las comunidades se han resistido a la forma en que Street View de Google Maps expone información de ubicación. Mientras tanto, una encuesta del 2008 de Harris Interactive encontró que 60% de los estadounidenses estaban inquietos por tener contenido web personalizado para ellos basado en sus patrones de uso.
Quizás la privacidad no está muerta. De hecho, señala Michael Blum, un socio de Fenwick & West y jefe del área de privacidad y seguridad de la información de la firma, la privacidad debería disparar toda clase de alarmas para los CIO, quienes deben proteger secretos de comercio, prevenir fugas de seguridad o limpiar después de incidentes que lleven a malas relaciones públicas, demandas y costosas reparaciones de archivos. No tardará mucho, indica Blum, antes de que alguna compañía tenga que lidiar con empleados hostigándose, uno a otro en público, vía Facebook. Bienvenidos a la Privacidad 3.0.
Faro de problemas
Facebook y otros sitios de medios sociales están en la línea frontal de las guerras de privacidad. Y debido a su tamaño -Facebook tiene más de 200 millones de usuarios- lo que estos sitios hacen con los datos del usuario influenciará lo que los consumidores esperan de otras compañías. Las primeras lecciones de Facebook muestran que los consumidores progresivamente esperan controlar sus datos. Decenas de miles de usuarios de Facebook, se revelaron contra su aplicación Beacon (Faro), una herramienta de publicidad orientada a los que estaban publicando historias sobre ellos en sus entradas de estado. Había muchos usuarios de Facebook quienes querían saber qué es lo que sus amigos estaban comprando. Pero también había muchos que no querían que esa información se hiciera pública (un pobre tipo compró un anillo muy elegante como sorpresa para su esposa, quien subsecuentemente lo vio en su página de Facebook y le preguntó para quién era).
Hay una demanda que se desarrolla contra Facebook y algunos de sus mayores anunciantes por la brecha en privacidad. Separadamente, Viacom fue detrás de los logs de Google como parte de su demanda multimillonaria contra la unidad YouTube del gigante de las búsquedas, ganándole a Viacom mucha mala publicidad, incluso cuando dijo que quería los datos de log anónimos. Después de la Proposición 8 de California falló, enojados defensores de los derechos de los gay combinaron Google Maps con una base de datos de donaciones públicas y revelaron las direcciones de los hogares de la gente que contribuyó con dinero para derrotarla. Algunas de esas personas fueron objetivo de activistas, levantando preguntas sobre si las pequeñas donaciones deben hacerse públicas.
En el despertar de su metida de pata de privacidad con Beacon, Facebook se ha movido para preguntarle a sus usuarios, sus opiniones sobre sus políticas de privacidad. También ha creado más formas para que sus usuarios controlen quién ve sus datos. Para el CTO de Fenwick, Matt Kesner, esto crea una expectativa sobre el control de los datos que podría repercutir a través del mundo TI.
Podría no estar de acuerdo con Kesner en que esto es un problema, particularmente si su compañía no mantiene información sensible en sus logs o no corre una red social. Alissa Cooper, científica de cómputo en jefe en el Centro para Democracia y Tecnología, dice que eso es leer mal las hojas de té. Cuantos más incidentes de estos tengamos, más va a revelar que cada uno de ellos no es un hecho aislado, señala.
Una controversia continua de privacidad involucra a Webwise, una tecnología de publicidad conductista de Phorm, una emprendedora basada en Londres. Webwise usa inspección de paquetes profundos, lo cual les deja ver el contenido del tráfico web, de modo que pueda rastrear mejor el comportamiento del consumidor en la web, y crear perfiles que les permitan proporcionar más avisos orientados al cliente (NebuAd es otra compañía que usa tecnología similar). Phorm afirma que usa tecnología para hacer anónimos los datos que recolecta, ayudando a proteger la privacidad individual. Varios proveedores de servicio de internet británicos dicen que usarían Webwise para proporcionar avisos de manera más efectiva. Pero al menos una firma de antivirus ha sugerido que la tecnología de perfiles de Phorm es similar al spyware.
Entretanto, uno de los ISP británicos, BT, reconoció pilotear el programa usando datos de consumidor reales, sin pedir permiso. Eso ha puesto a BT en agua caliente. La Comisión Europea ha iniciado acciones legales contra el Reino Unido por haberse rehusado a detener a compañías como BT de utilizar datos de clientes reales sin permiso. Por otro lado, Amazon y Wikimedia han dicho que bloquearán a Phorm para que no acceda al tráfico de sus sitios, y a finales de abril, el Congreso de los Estados Unidos empezó a mantener audiencias sobre inspección de paquetes profundos.
Kesner de Fenwick piensa que depende de los CIO ayudar a sus compañías a entender qué significa este mundo Web 2.0 para el control de datos. Como primer paso, él piensa que más CIO deberían establecer una presencia en medios sociales. Es esencial, él cree, para los líderes de TI entender cómo estas herramientas funcionan, y cómo la gente las utiliza.
Entonces, los CIO podrían no decidir por sí mismos lo que sus compañías hacen con los datos de los clientes, pero tendrían que sopesar -y apoyar- cualquier decisión que tomen sus líderes de negocios. Eso incluye cualquier tecnología que las compañías desplieguen para extraer información de los clientes al igual que protegerla del uso sin autorización.
Pérdida de control
Pero no son solo sus clientes quienes quieren controlar los datos sobre ellos mismos. Los medios sociales están difuminando la información personal de los empleados con la información de negocios, lo cual presenta un reto para las políticas de privacidad corporativas. Las compañías no pueden prohibir a los empleados usar Facebook y Twitter. En muchos casos, anota Kesner, aún cuando estos técnicamente son sitios no relacionados con el trabajo, son progresivamente críticos para conectarse con clientes y compradores. Sin embargo, las compañías quieren ser capaces de controlar la información sobre sí mismas.
Fenwick ha encontrado, por ejemplo, que los clientes potenciales esperan ser capaces de echarle un vistazo a sus abogados en Facebook, en lugar de en fuentes tradicionales como el Directorio Legal Martindale-Hubbell. "Si hay fotos de un CEO en una juerga de cerveza de hace 20 años, realmente sí puede cambiar las cosas, señala Kesner. Nuestro trabajo como CIO es educar a la gente sobre cómo lo que ellos hacen hoy, puede ser buscado por todo el mundo hoy o mañana.
Aún más, los CIO enfrentan el espectro de los registros de negocios rutinarios filtrándose hacia afuera. Hemos tenido fusiones enteras hechas vía mensajería instantánea, señala Kesner. Él se preocupa porque hay un pequeño paso entre usar herramientas corporativas de mensajería instantánea, y erróneamente compartir datos corporativos propietarios en un servicio como Twitter.
Una solución para proteger datos corporativos podría ser adoptar ampliamente tecnología de encriptación para la correspondencia por correo electrónico y otros importantes datos de negocios. La encriptación no detendrá a sus empleados de twitear información interna (como hicieron recientemente los reporteros del New York Times después de una reunión de personal, sobre ideas para cobrar por el contenido en línea). Pero puede darle a las compañías cubierta legal en caso de una brecha de privacidad, anota Kesner. Tales controles podrían ser mucho más importantes ahora que los medios sociales hacen posible difundir información rápidamente a grandes grupos de gente-información que vive en línea potencialmente para siempre-.
Y además está el cómputo en la nube. Si bien las compañías pueden ahorrar dinero y ganar eficiencia cambiándose a ambientes en la nube, también pierden control físico sobre sus datos. Por ejemplo, dice Cooper de CDT, poner los datos en la nube hace mucho más fácil para el gobierno obtener acceso a ellos. Si tengo mi diario personal, necesitarían una orden de cateo para meterse en mi casa, señala Al Gidari, jefe del área de privacidad y seguridad en la firma legal de Seattle Perkins Coie. Si está en Google Docs, pueden obtenerla con una citación legal.
Sin embargo, complicando este escenario están las ventajas potenciales de la nube. El colega de Kesner, Blum, señala que el cómputo en la nube podría reducir la exposición corporativa para mantener la privacidad de datos, pasándole esa responsabilidad a los fabricantes. Podría ser una forma para que los CIO descarguen riesgos, señala Blum.
Alex Sandy Pentland, un profesor de MIT y cofundador de Sense Networks, la cual usa datos de ubicación para encontrar tendencias de negocios, argumentan que en el futuro, la mayoría de las compañías no recolectarán datos directamente de los clientes de la forma en que lo hacen ahora. En lugar de eso, accederán a ellos desde la nube a través de agregadores, los cuales operan muy parecido a la forma en la que lo hacen los bancos, entregando datos a las compañías solo cuando son autorizados por los individuos.
Modelos tempranos de este modelo incluyen Google Health y Microsoft Health, bancos de datos operados por Google y Microsoft, respectivamente, a través de los cuales los pacientes pueden compartir solo los datos médicos que se sienten cómodos de divulgar. Ellos también pueden compartir diferentes clases de datos con diferente profesionales del cuidado de la salud.
¿Mucho ruido y pocas nueces?
Las contradicciones, de manera comprensible, hacen que algunos CIO sean escépticos de que la privacidad necesita ser una preocupación generalizada. No es una situación de pesadilla, señala Gerard McCartney, vicepresidente de tecnología de la información y CIO de la Universidad Purdue. No es que él ignore la privacidad -la universidad gasta medio día durante las orientaciones discutiendo temas de privacidad y seguridad con los estudiantes recién llegados-. Pero McCartney piensa que la mayoría de personas puede, y de hecho maneja, su propia privacidad bastante bien por sentido común.
Pero aquí nuevamente, hay múltiples puntos de vista. Hay preguntas, por ejemplo, sobre qué tan lejos va el sentido común en el mundo en línea. Hay un sentido de anonimato para gente cuando se sientan frente a una pantalla de computadora, que no comprenden totalmente, señala Leon Goldman, gerente de conformidad y privacidad en el Centro Médico Diaconesa Beth Israel. "Ellos le dicen cosas a una computadora que no le dirían a una persona real.
Gidari, con Perkins Coie, señala que nuestros valores sobre privacidad podrían estar cambiando: Me pregunto si estamos 10 años detrás en nuestras visiones de privacidad, y esta siguiente generación podría no estar muy preocupada sobre las cosas por las que esta generación está gritando. Él apunta al enfoque conductivo de la publicidad, que la Comisión de Comercio Federal de los Estados Unidos y especialmente la Unión Europea están tratando de regular. Es una broma para niños, quienes esperan publicidad enfocada, observa.
Jim M. Swartz, CIO de Sybase, dice que las preocupaciones sobre privacidad no lo están manteniendo despierto justo ahora. Sin embargo, él anota que los cambios en la tecnología pueden rápidamente reescribir las reglas para los CIO. Más fuerzas laborales móviles, por ejemplo, crean retos y situaciones que incluso nunca hubiéramos imaginado hace cinco o seis años, señala. Por ejemplo, es más fácil para la gente descargar archivos adjuntos en sus dispositivos de mano, haciendo mucho más difícil para las compañías controlar a dónde van los datos sensibles.
Swartz también nota retos potenciales emergiendo de la forma en que los individuos y las organizaciones comparten información. Es más fácil que nunca integrar pedazos dispares de información, desarrollar opiniones sobre ella y presentar esas opiniones públicamente. Quizás ha perdido tres trabajos, o se ha declarado en bancarrota o tiene un DUI. ¿Acaso las piezas de información disponibles sobre usted en la web durante un período de tiempo cuentan una historia que preferiría no haber dicho?, medita. Puede ser una preocupación. No sabemos qué tan grande es la preocupación hasta que hay un incidente de comparación de algún tipo.
Presión de los consumidores
 ¿Si tal incidente ocurre -una brecha de privacidad que cause repercusiones negativas contra compañías- que podría pasar?
Los expertos en privacidad creen que bajo la administración de Obama, la presión pública podría empujar a los legisladores a tomar el lado de los consumidores y demandar más controles a las compañías. Como candidato, el presidente Obama publicó una declaración de posición en su sitio web, que incluía una promesa de fortalecer las protecciones de privacidad de los consumidores. Eso es por lo que los consumidores están realmente preocupados, señala Milla, la ex CIO de SSI.
Milla teme que un importante incidente de privacidad podría desencadenar que el Congreso arme una regulación onerosa y la apruebe rápidamente, tipo la de Sarbanes-Oxley.
¿Recuerda ChoicePoint? La compañía recolectaba y vendía datos del consumidor, y a finales del 2004 tuvo que revelar que había vendido tales datos a un círculo de robo de identidad. Como una de las primeras grandes brechas de datos, los robos desencadenaron pedidos por una ley nacional de robo de identidad. ChoicePoint pagó decenas de millones de dólares en acuerdos legales y multas. Rep. Rick Boucher (D-Va.), jefe del Subcomité del Gobierno en Comunicaciones, Redes y Privacidad del Consumidor (quien convoca las audiencias de abril en publicidad conductiva), dice que él introducirá una legislación en el otoño que fortalecerá la protección de la privacidad. Pero tal legislación no ha ido a ninguna parte en el pasado.
La administración de Obama podría regresar al activismo de privacidad de la FTC de la Administración Clinton, se preocupa Jim Harper, director de estudios de política de información en el Instituto Cato en Washington, D.C. Bajo Robert Pitofsky, la FTC de Clinton presionó por un régimen regulatorio uniforme para la privacidad. Harper piensa que los legisladores actuales deberían tomar sus pistas de los consumidores, y especialmente del diálogo entre Google, Facebook y sus usuarios.
Desde una perspectiva regulatoria, por tanto, las preguntas sobre la privacidad y el control de datos están abiertas en general. De hecho, justo ahora las cortes alemanas están considerando si una dirección IP es información personalmente identificable que necesita ser protegida. Sin importar lo que la corte decida, Milla piensa que las compañías eventualmente encontrarán que los consumidores piensan que su dirección IP es similar a su número de Seguridad Social. Eso al menos forzará a muchas compañías a repensar sus estrategias de márketing.
Sean o no prescripciones legales para el cambio en privacidad, el cambio cultural hacia el control del consumidor de sus datos personales parece estar ganando vapor. En el Foro Económico Mundial a principios de este año, Pentland del MIT llamó por un Nuevo Trato por Datos. Él quiere que las compañías reconozcan el poder de los consumidores, reconociendo:
Que los consumidores tienen el derecho de poseer sus propios datos.
Que los consumidores pueden controlar el uso de esos datos.
* Que los consumidores pueden disponer o distribuir esos datos como elijan.
Él dice que muchas compañías han expresado su apoyo por estos principios, los cuales él argumenta realmente no son muy diferentes de la forma en que las instituciones financieras manejan actualmente los datos. Finalmente, las compañías necesitan decidir si los datos que manejan son sus datos o no.
La cosa de la ?privacidad está muerta? está claramente mal, señala Pentland. Sí, diferentes personas tienen diferentes actitudes hacia la privacidad. Pero la parte de la que sí se preocupan es el control. Ellos están dispuestos a poner algo en Facebook, pero quieren controlar quién lo ve.
La última pregunta de privacidad para los CIO, entonces, es qué significa para sus compañías ceder ese control.
Michael Fitzgerald, CIO.com