Protegiendo la privacidad de los demás

En este mundo “conectado” en el que vivimos, todas nuestras acciones – desde realizar una compra por Internet a escribir en un blog – van dejando una huella digital, un informe de quiénes somos y de lo que hemos hecho. Como consecuencia, cada vez más personas están aprendiendo a tener cuidado con sus huellas digitales.

Pero si bien las personas deben tomar sus precauciones, la protección de la privacidad va más allá de proteger las propias paredes.   

“Por un lado está la cuestión de la información que enviamos por Internet de manera voluntaria, pero también está la cuestión de las huellas online que van dejando la información gubernamental y la de las empresas”, dice Michelle Chibba, responsable de la política del Centro de Información y Privacidad de Ontario (Canadá).  

El mantenimiento y la seguridad de la información privada es una preocupación vital para cualquier organización, y el responsable de la misma suele ser el director del área de privacidad. “La persona que esté a cargo de la privacidad en una organización debe entender que privacidad y seguridad existen en una relación de apoyo mutuo”, recalca Chibba.  

Prácticas Justas sobre Información
Mientras que Europa y Canadá cuentan con legislaciones sobre privacidad que abarcan la cuestión en todo su alcance, Estados Unidos sigue siendo un país sin leyes federales al respecto. Pero en la práctica, las Fair Information Practices (Prácticas Justas sobre Información), respetadas internacionalmente y también llamadas FIPS, forman parte de todos los modelos de privacidad existentes, afirma Chibba.  

“Las FIPS tienen varios componentes clave,” explica. “En primer lugar, determinan que las personas que custodian información personal deben mantenerla a buen recaudo. Esto puede referirse a la seguridad física o a la seguridad informática; es decir, puede tratarse tanto de cerrar con llave un armario de archivos como de construir una pared cortafuegos.”  

Quienes ejercen esta labor deben identificar también con claridad el propósito de la información recopilada, y asegurarse de que el uso de esta información se limita al propósito para el cual fue recopilada.  

“Por ejemplo,” prosigue Chibba: “los hospitales almacenan información personal sobre nosotros con vistas a nuestro cuidado médico. Si un hospital va a utilizar dicha información con propósitos de marketing, debe contar con nuestra aprobación, ya que ése es un propósito secundario.”  

Los encargados de custodiar información deben impedir también que puedan acceder a información privada partes no autorizadas, además de garantizar la integridad y exactitud de los datos que tienen en su haber.  

Los últimos componentes de las FIPS determinan que el individuo cuya información está siendo almacenada debe ser informado de cuál es esa información y de por qué y cómo está siendo custodiada. Y la información personal se debe conservar sólo mientras sea necesaria para cumplir con el propósito original para el cual fue recopilada, dice Chibba, y añade: “También es importante garantizar que la destrucción de dichos informes [imágenes incluidas] se realice de forma totalmente segura.”  

Hackers sociales
Y aunque ya son muchas las compañías y gobiernos que están designando cargos responsables de privacidad o algún equivalente para implementar sus políticas al respecto, la responsabilidad de la protección de información personal no debería quedar simplemente en manos de la persona designada a tal efecto, dice Chibba.

Todos los empleados deben entender a la perfección las normas referentes a privacidad y saber hacer frente a cualquier amenaza a la misma; por ejemplo, ese fenómeno conocido como ingeniería social, en el que uno o varios hackers intentan conseguir información personal sobre los individuos de una organización.  

“A medida que la tecnología de seguridad se va perfeccionando, a los hackers les resulta más difícil el acceso”, explica Chibba. “Por ello han ido surgiendo métodos nuevos, y uno de ellos es la ingeniería social. Es como llamar a un recepcionista con unos pocos datos sobre una persona para intentar extraer mucha más información sobre ella.”  

Según el Identity Theft Resource Centre de Estados Unidos, las acciones de estos “empleados pícaros” – ya sean aquéllos que se proponen acceder a información personal o quienes la facilitan por error – son la causa del 36% de las filtraciones de datos.  

“Es por ello que las compañías deberían poner en práctica lo que llamamos una “Cultura de la Privacidad” o Privacy by Design (Privacidad Premeditada). “La protección de la información personal debería integrarse en el alma de la organización”, dice Chibba.  

Educación para la privacidad
IBM es un ejemplo de compañía que se toma muy en serio esta cuestión: la privacidad de sus empleados y clientes. La política de privacidad de IBM se remonta a la década de los 60. Hoy en día, IBM cuenta con políticas corporativas de privacidad relacionadas con datos sobre empleados, datos de marketing, desarrollo y seguridad. La educación de sus empleados también es pieza clave para mantener el estándar de privacidad de IBM.  

“Es muy importante educar al personal, dado que la privacidad les afecta por un lado como empleados, y por otro lado en el uso que hacen de la información que tenemos sobre nuestros clientes”, dice Yim Chan, responsable de privacidad de IBM Canadá.  

El módulo educativo online de IBM sobre privacidad permite a sus 400.000 empleados conocer bien las directrices de la compañía en cuanto a privacidad; además, la empresa imparte también módulos educativos centrados en seguridad, integridad financiera, código ético y directrices comerciales. Incluso se celebra todos los años la Privacy Awareness Week a nivel mundial.  

“Es importante para todas las organizaciones asegurarse de que sus políticas de privacidad están bien actualizadas”, añade Chan. “Las nuestras fueron implementadas hace ya tiempo, pero las seguimos actualizando constantemente. Así demostramos a nuestros empleados y a nuestros clientes que IBM se esfuerza por proteger la información personal. Todo lo que hacemos se basa en la confianza.”  

De hecho, Michele Chibba opina que la privacidad ya no es tanto una cuestión de conformidad, sino un factor comercial más.  

“Las empresas deben proteger su reputación. Si pierdes los datos personales de tus clientes, ellos se preguntarán: ¿Es así cómo hace las cosas esta empresa?”