Privacidad de los datos: cómo recolectar aquellos que se necesita y protegerlos
La recopilación excesiva de datos es un riesgo para la seguridad y el cumplimiento de la normativa; por eso los CISO deben intervenir en las decisiones sobre qué datos hay que recolectar.
Cada vez que un usuario abre una aplicación en su dispositivo, parece que se le pide que proporcione tanto la información necesaria para interactuar con dicha aplicación como, con demasiada frecuencia, información adicional que cae en el nicho del marketing.
Que los CISO participen en las discusiones sobre qué datos son necesarios para que una aplicación funcione es algo que está en el centro del debate. Deberían poder opinar sobre cómo se analizan esos datos para determinar cómo deben protegerse para seguir cumpliendo las leyes de privacidad. Además, los CISO tienen un papel que desempeñar para ayudar a los trabajadores a permanecer seguros online, así como para proteger su privacidad (y la de la empresa).
Los riesgos de la recopilación excesiva de datos
Para Rob Shavell, fundador de DeleteMe, la recolección excesiva de datos por parte de las empresas es un problema galopante. Los brokers de datos cogen lo que les das y lo que pueden extraer, lo empaquetan y lo venden. Señala que "los empleadores están ahora ayudando a los empleados a proteger su PII [información personal identificable], ya que a la empresa le interesa hacerlo".
En cuanto a las medidas que pueden tomar los CISO, Shavell sugiere que se centren en los puntos de cumplimiento de la recopilación de datos y en el etiquetado de los mismos. De este modo, el proceso y el procedimiento evolucionan para que "los datos se conserven el tiempo necesario, de modo que si un individuo quiere que se elimine su IIP, sea factible hacerlo". En este sentido, la privacidad de los datos en la Unión Europea, en forma de Reglamento General de Protección de Datos (GDPR), incluye el "derecho al olvido", que obliga a las empresas a eliminar la información de un individuo si lo solicita.
TikTok, el ejemplo más claro de recopilación excesiva de datos
Un ejemplo de aplicación que hace que uno levante la ceja sería TikTok. Shavell comenta que "TikTok se presenta como una aplicación benigna utilizada por niños, adolescentes y adultos. Cada interacción de vídeo está catalogada. Los adolescentes se convierten en adultos". Continúa diciendo que, con el paso del tiempo, es probable que este corpus de "datos de la trayectoria vital" se utilice para el análisis predictivo con el fin de trazar la trayectoria futura de los individuos.
Un reciente artículo de Gizmodo analiza un estudio realizado por Internet 2.0, una empresa australiana de ciberseguridad, titulado It's Their Word Against Their Source Code - TikTok Report. Su investigación demostró que la aplicación sí se conecta a China y solicita "un acceso casi completo al contenido del teléfono mientras la aplicación está en uso". Esos datos incluyen el calendario, las listas de contactos y las fotos". Robert Potter, coCSO de Internet 2.0, apuntó a Gizmodo: "Cuando la aplicación está en uso, tiene la capacidad de escanear todo el disco duro, acceder a las listas de contactos, así como ver todas las demás aplicaciones que se han instalado en el dispositivo". Señaló que esto era "significativamente más" de a lo que una aplicación como TikTok necesita acceder.
TikTok señaló a la publicación que la recopilación de datos llevada a cabo está "en línea con las prácticas de la industria. Recogemos la información que los usuarios deciden proporcionarnos y la que ayuda al funcionamiento de la app, a operar de forma segura y a mejorar la experiencia del usuario".
La ADPPA está en el horizonte
A finales de junio de 2022, la Ley de Protección y Privacidad de Datos de Estados Unidos (ADPPA) se presentó en el comité de Energía y Comercio de la Cámara de Representantes y salió del comité el 22 de julio. Aunque no es una panacea, de hecho el Gobierno de California señala que si se aprueba tal y como está redactada debilitará algunas de las medidas adoptadas en este Estado para proteger la privacidad de las personas, es un paso adelante. Teniendo en cuenta que es probable que tarde algún tiempo en tramitarse en el Congreso, no hay necesidad de que los CISO esperen para abordar algunas de las recomendaciones contenidas en el proyecto de ley, ya que tienen un sentido inminente desde la perspectiva de la protección de datos y la privacidad.
Violet Sullivan, abogada especializada en ciberseguridad y privacidad que trabaja como vicepresidenta de compromiso con el cliente en Redpoint Cybersecurity, comparte: "La transformación digital ha creado un método muy disponible de seguimiento de la vigilancia". Y añade que esta pieza de legislación bipartidista tiene un gran potencial para ser la primera legislación federal de privacidad real en Estados Unidos.
El proyecto de ley incluye las áreas sugeridas por Shavell para incluir el derecho a la eliminación, el derecho de acceso y corrección, la necesidad de que las empresas designen a los responsables de la protección de los datos (los CISO toman nota), y el deber de lealtad. Sullivan explica: "El deber de lealtad, en teoría, requeriría que las organizaciones actuaran en el mejor interés del individuo al procesar los datos y diseñar los servicios". Y añade: "Lo que esto significa para la ciberseguridad en el aspecto técnico: autenticación multifactor, gestión de la red, control de acceso, evaluaciones de vulnerabilidad, retención de datos y proceso y procedimientos de respuesta a incidentes".
En resumen, los CISO deben presionar para garantizar que los datos recogidos estén protegidos.
