La percepción de los datos personales está evolucionando | ¿Son los consumidores más conscientes del valor de sus datos?
¿Es la sociedad tan ingenua con respecto a los datos personales como lo era antes del GDPR? ¿O las sucesivas violaciones de datos y de la privacidad por parte de las grandes empresas tecnológicas nos han hecho despertar y oler el café?
Desde que el Reglamento General de Protección de Datos de la UE entró en vigor en mayo de 2018, se ha producido un notable cambio de mentalidad en la forma en que las personas consideran la seguridad y el uso de su información personal.
El escándalo de Facebook/Cambridge Analytica ha puesto de manifiesto el daño a la reputación de las empresas que persiguen la monetización de nuestros datos. La Oficina del Comisionado de Información (ICO) impuso a Google una multa de 50 millones de euros por no ser transparente en la recopilación de datos de los usuarios para enviarles anuncios personalizados.
Una serie de brechas de datos de alto perfil también ha puesto de manifiesto que ninguna empresa, por más que se le confíen datos personales, es impermeable a los ciberataques. Y a medida que nos adentramos en 2019, los consumidores se vuelven más cautelosos, ya que comprenden mejor, no solo el valor de su información personal, sino también sus derechos con respecto a los datos que se recopilan sin su consentimiento.
Pero, probablemente, uno de los mayores efectos que el RGPD ha tenido en las empresas es que estas parecen estar reflexionando más sobre los datos personales que recogen, almacenan y procesan, así como sobre la gestión general de esos datos. Los "controladores de datos" ahora deben demostrar que protegen y gestionan los datos personales de las personas de forma adecuada y de acuerdo con el RGPD.
El hackeo de Marriott de 2018 es un buen ejemplo de recogida y conservación de cantidades excesivas de datos, sin un "interés legítimo" ni ninguna otra razón clara. No se encontró ninguna justificación para la recogida de los datos, y no se establecieron salvaguardias para protegerlos. La mala gestión de estos datos solo salió a la luz cuando se identificó y denunció la infracción.
Matthew Aldridge, Arquitecto de Soluciones Senior en Webroot explica que, los datos de los consumidores se venden con demasiada facilidad de una empresa a otra sin que el cliente lo sepa. Cuando una empresa (como Equifax en 2017) es hackeada, puede afectar a personas que desconocen dónde se almacenan sus datos. Este modelo de negocio puede ser rentable a corto plazo, pero puede acarrear problemas más adelante. Por eso son esenciales normas como el GDPR.
Sin embargo, dado que las empresas se ven obligadas a controlar sus datos de forma mucho más estricta, pueden parecer que cumplen con la normativa y, al mismo tiempo, no abordar plenamente los riesgos de seguridad. La normativa sólo puede llegar hasta cierto punto: si las empresas se centran en las mejores prácticas de ciberseguridad y protección de datos y las combinan con el cumplimiento de la normativa, tendrán las mejores oportunidades de éxito empresarial y protegerán a sus clientes y sus datos.
Cuando los datos personales caen en malas manos
Después de un ciberataque exitoso, las combinaciones de nombres de usuario y contraseñas terminan regularmente a la venta en la web oscura. Recientemente, 620 millones de cuentas robadas en 16 brechas de alto perfil (incluyendo MyFitnessPal) que ocurrieron en 2018 aparecieron a la venta en la dark web.
Los individuos malintencionados pueden comprar datos personales por tan sólo $3 y utilizar esta información para obtener acceso a la red de una organización con el fin de entregar una carga útil maliciosa o realizar ciberespionaje. Este ciclo de perpetuación tiende a amplificar los ataques exitosos, con efectos que repercuten durante meses o años.
Una nueva perspectiva
Las empresas tienen que reconocer que los acontecimientos de 2018 han moldeado las actitudes hacia la protección de datos y que se necesita un enfoque integral para mantener los datos seguros. En lugar de considerar la protección de datos como un ejercicio de marcación de casillas, debe ser una prioridad clave e integrarse en todos los aspectos de la empresa para garantizar una cobertura completa y coherente.
Para mantener la confianza y proteger la reputación, se necesita una estrategia de seguridad de varios niveles, que también incorpore la transparencia. Los clientes deben saber cómo, dónde y por qué se utilizan sus datos. Este año, el tema recurrente de la protección de datos debería representar tanto un recordatorio como una oportunidad para que las empresas se aseguren de que sus procesos resisten el escrutinio.
Además, deben esforzarse por mantener un diálogo abierto con sus clientes para informarles de cómo se utilizan sus datos y, en última instancia, cómo se protegen. Un compromiso continuo con este enfoque contribuirá en gran medida a mantener la confianza y reforzar la reputación, incluso si se produce un incidente.
Fuentes y créditos: Webroot