Por Marco Andrei Muriel, Socio Auren en propiedad intelectual y nuevas tecnologías.
Es claro que el valor de la información como activo de un negocio está creciendo de manera exponencial en numerosos sectores; pero al mismo tiempo, están también creciendo los riesgos de que dicha información esté siendo expuesta.
Ante tal escenario, es importante no perder de vista la información que constituye los datos personales de nuestros clientes, principalmente porque ésta no es propiedad del empresario que le da tratamiento, sino directamente de sus titulares.
Aunque pareciera sencillo, perder de vista ese detalle fundamental implicaría que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) visite nuestra empresa, trayendo consigo una importante carga de trabajo los próximos meses.
Esto derivado del destape que diversos medios nacionales de comunicación hicieron sobre el manejo inadecuado de datos personales que realizó una de las firmas “Big Four” de consultoría y auditoría, así como el caso del medio de comunicación digital Cultura Colectiva.
De acuerdo con diversos reportes, Cultura Colectiva recolectó de forma masiva los datos generados por usuarios de Facebook, los cuales describen sus intereses, relaciones e interacciones; esta información la habría almacenado en un servidor en “la nube” de Amazon, la cual estaba disponible para cualquier persona con acceso a internet pues no contaba con candados de seguridad.
En el caso de la prestigiosa firma de consultoría y auditoría, el especialista en inteligencia cibernética Bob Dyachenko reveló la existencia de una base de datos contenida en “la nube” de Microsoft, donde se alojaban cerca de cinco millones de facturas de diversas compañías. Esta base de datos –al igual que la de Cultura Colectiva– no contaba con controles de seguridad, lo que permitió que fuese encriptada por un intruso, quien exigió el pago de .5 bitcoin para su liberación.
Estas revelaciones fueron retomadas por el periodista José Soto del periódico El Economista, quien dio a conocer que la base de datos a la que hacía alusión Dyachenko pertenecía a una de las Big Four, quienes emitieron un comunicado a sus clientes afectados lamentando profundamente el incidente e informándoles que “los datos debieron descargarse a través de la red segura (de la firma) a un servidor seguro aprobado (por la firma)”.
Resulta claro que ambos casos presentan paralelismos, pero uno de los más relevantes es la razón por la cual realizaron la recopilación masiva de información personal de sus clientes: el desarrollo de tecnología. En el caso de Cultura Colectiva, tuvo que ver con la generación de un algoritmo para generar contenido a partir de análisis de datos denominado “Contech”. En el de la firma Big Four se relaciona con la creación de una “Plataforma Fiscal”.
Ambas empresas faltaron a sus propios avisos de privacidad pues ninguno de los avisos consultables en sus respectivos sitios de internet contemplan que una de las finalidades del tratamiento de datos personales de sus clientes sea “desarrollar tecnología a partir de ellos”.
Esto no sólo implica un problema de compliance normativo, sino la falta de previsión respecto al impacto que un indebido tratamiento de datos personales puede representar para los clientes vulnerados y, sobre todo, el planteamiento respecto de si resulta ético o no utilizar datos de los clientes para fines distintos a los que ellos permitieron bajo la justificación de “mejorar su experiencia”.
Pensemos simplemente en que una parte importante de nuestros Comprobantes Fiscales Digitales por Internet (CFDI) sean visibles para la competencia; que la adquisición de maquinaria especializada, planes de construcción de nuevos almacenes, la inversión en tecnología y en general el instrumento que sirve como guía para la toma de decisiones que es la contabilidad, se encuentre vulnerable y expuesto a cualquier persona con conectividad a internet.
Pensemos ahora en qué tan segura está la información de nuestros clientes con nosotros, ¿son nuestros actuales mecanismos jurídicos y técnicos los adecuados para proteger los datos personales de nuestros clientes? Si la respuesta es cualquier otra distinta a un categórico “SÍ”, resulta importante replantearnos nuestro esquema actual, no para cumplir una norma inerte, sino para corresponder la confianza que han depositado nuestros clientes en nosotros.
www.linkedin.com/in/marcoandreimuriel