En 2014, los ejecutivos de TI van a tener que tomar algunas decisiones muy difíciles sobre la privacidad. Muy a menudo, cuando hablamos de decisiones difíciles, nos referimos a que sabemos qué debemos hacer y qué es lo correcto, pero es muy difícil convencernos de hacerlo. En este caso, sin embargo, parte de la dificultad será saber qué es lo correcto. Por esa razón, cada industria -más aún, cada compañía- tomará decisiones diferentes basándose en las preocupaciones de sus empleados y clientes.
Por supuesto que algunas compañías deben hacerles frente a sus demonios de la privacidad más que otras. Sí, te estoy mirando, Google. No es que Google vaya a cambiar la forma en la que maneja los problemas y asuntos de privacidad. Google es a privacidad como (A) Osama bin Laden es a las negociaciones pacíficas, (B) Lady Gaga es al pensamiento racional o (C) Microsoft es al centro y enfoque en el cliente. Respuesta: (D) todas las anteriores.) La razón por la que estoy poniendo de ejemplo a Google es porque representa la ineptitud en una escala épica.
Este particular fiasco o debacle de la privacidad de Google, comenzó pareciéndose a lo opuesto: un caso raro de Google ayudando a sus clientes a proteger su privacidad. Android 4.3 fue lanzado con un control de privacidad que se veía maravilloso. Se podía ver una lista de todas las aplicaciones que le decían exactamente qué acceso tenían, y había una manera más fácil de restringir lo que quisiera restringir. Incluso los abogados o defensores de la privacidad en la Electronic Frontier Foundatios -no precisamente un grupo de fans de Google- aplaudieron el esfuerzo.
Y luego desapareció. A partir del Android 4.4.2, esta breve ayuda de privacidad se había ido, como si el Grinch hubiera descubierto que todas las ganancias estaban siendo donadas a obras de caridad. Y luego, encontramos que esta útil herramienta no se hizo y nunca se tuvo la intención de que fuera útil para los clientes. En la explicación, la ingeniero de Google Android, Diane Hackborn dijo a los seguidores que: “Esa Interfaz de usuario no es (y debía estar muy claro) una Interfaz de usuario para el usuario final o end-user. Estaba ahí para fines del desarrollo, no se pretendía que esté disponible. La arquitectura se utiliza para una cantidad creciente de cosas, pero no está destinada a ser expuesta como una gran interfaz de usuario de bajo nivel de un montón de perillas indiferenciadas con la que puedes juguetear. Por ejemplo, actualmente es usada para el control de notificaciones por cada aplicación, para hacerle seguimiento y no perder de vista cuándo se accedió a la ubicación en la nueva ubicación de la interfaz de usuario, para algunos aspectos del nuevo control de aplicaciones SMS, etc.”.
¿Lo ve? La idea de que Google hiciera esos controles de privacidad intuitivos disponibles para la gente cuyas vidas estuvieran siendo monitoreadas, era absurdo para Google. Google considera o ve a la privacidad como una interferencia con ganancias. Su modelo de negocios depende de la extracción de la mayor cantidad de información posible de los consumidores y negocios, y venderla a otros consumidores o clientes y negocios.
No es que Google esté solo en su deseo de venderle seguimiento de geolocalización minuto a minuto de todos los empleados, clientes y proveedores. Esto nos lleva de nuevo a los planes del 2014. Las empresas tienen que cambiar la forma en la que ven la privacidad para que puedan tomar las decisiones adecuadas acerca de cuán lejos deben dejar ir a compañías como esas. Tomando estas decisiones en una base de caso por caso, que es como la mayoría de ejecutivos de TI manejan y toman las decisiones sobre privacidad hoy en día, no van a funcionar por mucho tiempo más. Estas decisiones deben ser tomadas y aprobadas por los CEOs, y luego encargadas y mandadas a cada área y departamento. (Especialmente a marketing, dado que nadie en mucho tiempo ha visto como mínimo, una pista de Pepe Grillo o, para ese caso, la conciencia de nadie, en una reunión de marketing.)
Echemos un vistazo a algunas de las áreas clave donde necesitará apoyar alguna toma de decisiones:
Las políticas móviles BYOD
La idea de permitir que los empleados utilicen sus dispositivos personales para las actividades laborales tiene sus pros y contras, pero la tendencia es tan predominante que es inevitable para la mayoría de empresas. Los protocolos de seguridad van a exigir que se haga, regularmente, una copia de seguridad de los teléfonos personales y tabletas, al igual que los dispositivos de información corporativa. Esto hace que el debate sobre la privacidad se vuelva más complicado: ¿cómo garantizar que estas copias de seguridad de los servidores de TI (aquí la nube no hace la diferencia) no expongan ni muestren información personal o imágenes sobre la empresa?
La respuesta va a ser algún tipo de partición o división, con datos corporativos y aplicaciones totalmente segregadas de datos personales y aplicaciones. De esa manera, TI puede acceder en silencio y hacerle una copia de seguridad a todo lo que está al lado de la Línea Mason-Dixon sin preocuparse de la privacidad; y cuando el empleado renuncia, el último día, todo lo que está en el lado corporativo del dispositivo puede ser borrado de forma remota.
El mito que dice que a los consumidores jóvenes no les importa la privacidad
¿Por qué es este un mito? Porque se ha convertido en la creencia popular en base a algunas preguntas mal hechas de una encuesta. Si le pregunta a cualquier grupo de gente: “¿Cuánto valora la privacidad?”, va a obtener respuestas totalmente diferentes, en cambio, si le pide a la gente que clasifique ejemplos específicos de información personal.
Como padre de una adolescente, puedo decirle que ellos sí valoran la privacidad, pero lo que no es privado, es simplemente impresionante. Las interacciones sociales son asuntos que deben ser compartidos libremente en las redes sociales, así como los números de celular. Pero no quieren que otras personas se enteren de la información de la cuenta bancaria y la actividad de las tarjetas de crédito. (¿Se acuerda de Blippy? Era una red social que permitía que los compradores publiquen lo que habían comprado y resulta que casi nadie quería hacer eso.)
Tiene que entender sus grupos clave: los empleados y los clientes. ¿Qué es lo que cada grupo considera privado? ¿Cuánto les importa cada área? ¿Hay algo que los haga entregarse a esa privacidad en particular? Va a descubrir que diferentes empleados (y clientes) tienen diferentes preocupaciones.
Luego tiene que revisar todas sus políticas de privacidad. Para sus empleados, esto incluirá su capacidad de acceder a todos los correos electrónicos y llamadas de la compañía (y, presumiblemente, a los mensajes de texto, twitter y cualquier otro mecanismo de comunicación). ¿Realmente necesita esa información? Si sí la necesita, ¿hay alguna manera menos intrusiva de obtenerla? Es posible concluir que menos intrusión podría ser una herramienta de reclutamiento/retención muy útil, especialmente para los desarrolladores e ingenieros. Examine su cultura y tenga esa discusión -en el contexto del 2014- con la alta dirección.
Las citaciones y órdenes de registro
Un vendedor de correo electrónico llamado Lavabit, fue un jugador pequeño en la repercusión o en las consecuencias de las revelaciones de Edward Snowden sobre la Agencia Nacional de Seguridad. Cuando se le envío una orden judicial para entregar todas las claves de cifrado, la compañía obedeció -o algo así. Entregó un documento impreso de 11 páginas con una tipografía de cuatro puntos y los fiscales se quejaron diciendo que la impresión era ilegible.
“Para hacer uso de estas claves, el FBI tendría que introducir manualmente los 2,560 caracteres, y un error de escritura en este proceso tan laborioso haría que el sistema fuera incapaz de recolectar los datos descifrados”, escribieron los fiscales, según Wired. La corte, finalmente, obligó a Lavabit a darle al gobierno las claves de forma electrónica. Fue entonces que Lavabit hizo una movida inusual: Le dijo a sus clientes que ya no podía proteger dichas comunicaciones y luego cerró el servicio para evitar que más clientes compartieran involuntariamente datos con los investigadores del gobierno.
Lavabit merece ser premiado por mantenerse fiel a su mensaje de marketing: que se preocupaba por mantener los datos de los clientes seguros. El principio sobrepasó o superó al lucro. En este ejemplo se plantea la cuestión: ¿Deben las empresas decidir dónde van a trazar la línea de las peticiones legales y luego dar a conocer o publicar esa decisión como parte de política de privacidad? ¿Esa medida va a crear buenas relaciones públicas?
Puede tener sentido para algunas compañías. Actualmente, la renuncia estándar de responsabilidades establece que el vendedor entregará cualquier cosa en la que cualquiera pueda conseguir que un juez rubrique o refrenda. Supongo que esa es la manera en que el 95% de compañías deberían trabajar, pero para algunos, tomar una postura puede ser bueno para el negocio. Ciertamente, es algo que las empresas deberían discutir.
Cómo publicar su política de privacidad
La forma en la que la mayoría de empresas presentan sus políticas de privacidad es un chiste. Están escritas en una letra o tipografía muy pequeña, con páginas de páginas de jerga legal incomprensible. Por lo general se pueden resumir a esto: “Podemos hacer todo lo que queremos y no hay nada que pueda hacer al respecto. Solo dele clic al botón de Acepto, el cual lo atará y lo obligará a cumplir con todo lo que está escrito aquí. Su única otra opción es no utilizar nuestra aplicación o sitio web”.
Ea privacidad en el 2014 tiene que estar en la parte superior de la agenda y ser la meta. Hay que impulsar políticas de privacidad escritas en un inglés más fácil de entender. Todo lo que sea realmente importante debería ir en negrita y muy explícito. Debe señalar que los jueces están luchando contra las políticas de privacidad de usuario poco amigables, y se espera más de esto.
Pregunte a la dirección: “¿Es nuestra política algo de lo que estamos orgullosos o avergonzados? Si estamos orgullosos de ésta, ¿por qué la estamos oscureciendo y opacando con letra minúscula y jerga legal? Y si no estamos orgullosos ¿no deberíamos cambiarla?” Como las cosas están hoy en día, la mayoría de las políticas de privacidad prácticamente le gritan a los clientes y empleados este mensaje: “Tenemos algo desagradable que esconder aquí”. Y la verdad es que la mayoría de compañías tienen algo que esconder en esos textos. Asegúrese de que su compañía no lo haga, y si lo hace, hable de ello y discútalo abiertamente para que lodos los grandes ejecutivos entiendan lo que esto implica.
La políticas de privacidad van a tener que ser vistas como documentos claves y estratégicos en el 2014 y va a encontrar mucha más resistencia de la que está acostumbrado. Pero también hay una razón positiva para hacer un replanteamiento: Usted le va a ganar a los rivales que están pasando por alto esta oportunidad de enfoque estratégico.
-Evan Schuman, Computerworld
