Privacidad de datos para el futuro: estrategias para mitigar riesgos digitales y reducir responsabilidades

Introducción

Su punto de vista y percepción sobre un problema impulsan su enfoque para encontrar una solución. La gestión de los desafíos relacionados con la privacidad de los datos no es una excepción. Por lo tanto, para abordar los problemas actuales, vale la pena revisar algunas predicciones pasadas, como un estudio de Pew Research de 2014 titulado "El futuro de la privacidad".

En este artículo, exploramos predicciones pasadas, examinamos estos temas desde una perspectiva actual y concluimos con estrategias y soluciones para mitigar los riesgos digitales y minimizar las responsabilidades asociadas con los problemas de privacidad de datos. Este artículo está impulsado por dos temas centrales:

1. Que la privacidad de los datos está en el centro de los desafíos de los riesgos digitales y la seguridad de la información y
2. si la responsabilidad de la privacidad de los datos recae en el individuo, la organización o un tercero.

Si miramos en retrospectiva el estudio Pew de 2014, resulta evidente que sabemos cuáles son los problemas y, tal vez, incluso tengamos buenas ideas sobre cómo abordarlos. Por lo tanto, la cuestión no es necesariamente "encontrar una solución" sino más bien tener la voluntad y el deseo de implementar una solución.

Específicamente: ¿tenemos nosotros, como individuos y organizaciones, la voluntad y el deseo de mantener nuestros datos privados, o nos hemos vuelto tan complacientes y pasivos con respecto a la privacidad de los datos que, de hecho, nos hemos rendido?

Teniendo esto en cuenta, examinaremos lo siguiente:

1. Algunas predicciones de 2014.
2. Cómo se mantuvieron esas predicciones a lo largo del tiempo.
3. Por qué los incentivos y las expectativas no se alinean.
4. La minimización y destrucción de datos, como estrategias, y por qué no se han afianzado.
5. Cómo la estrategia está impulsada por incentivos y no necesariamente por expectativas.
6. Cuál será el vector de amenaza definitivo.
7. De dónde es probable que surjan las mejores soluciones.

Predicción de la privacidad de los datos: ¿sabíamos en 2014 lo que nos depararía el futuro?

El estudio Pew de 2014 planteó tres preguntas abiertas sobre privacidad de datos y recibió 2.511 respuestas de líderes de la industria. Los siguientes macrotemas surgieron del estudio:

• La privacidad y la seguridad son cuestiones fundamentales del mundo digital.
• Las personas viven en una condición sin precedentes de vigilancia constante y generalizada.
• A las personas les basta con el incentivo de la conveniencia personal para compartir su información privada.
• Las costumbres siempre están evolucionando y la privacidad ciertamente cambiará en los próximos años.
• Se está desarrollando una dinámica de carrera armamentista.
• La renegociación y el compromiso serán una constante en el espacio de las políticas de seguridad y privacidad.

Además, el estudio identificó temas específicos que podríamos esperar para 2025 y que pueden dividirse en dos grupos. Los primeros temas del grupo, que se encuentran en las respuestas de quienes no esperan una infraestructura de privacidad ampliamente aceptada para 2025, son los siguientes:

1. Vivir "una vida pública" se convertirá en la nueva normalidad, lo que hará que una vida moderna sea prácticamente imposible sin compartir información personal con gobiernos y corporaciones.
2. No habrá forma de llegar a un acuerdo sobre cuestiones de privacidad y libertades civiles en Internet global debido a la diversidad de culturas y puntos de vista.
3. La situación se agravará con el auge del Internet de las cosas y diversos dispositivos que "espían" a los individuos, incentivando a las empresas a monetizar los datos personales y a los gobiernos a vigilar el comportamiento.
4. La constelación de complejidades económicas y de seguridad se hará mayor y más difícil de gestionar.

Los temas del segundo grupo, que se encuentran en las respuestas de quienes esperan un acuerdo de privacidad confiable para 2025, son los siguientes:

1. Los ciudadanos y consumidores tendrán más control gracias a nuevas herramientas, que darán a los individuos el poder de negociar con las corporaciones y eludir a los gobiernos.
2. Una reacción ante las invasiones de la privacidad establecerá un nuevo equilibrio entre consumidores, gobiernos y empresas, donde ciudadanos más conscientes aprenderán a proteger mejor sus actividades.
3. Vivir una vida pública se convertirá en la nueva normalidad, de la que algunas personas se quejarán, pero se pondrán pocas objeciones o esfuerzos para contrarrestar esta nueva realidad.

¿Qué tan bien se mantuvieron las predicciones de los temas?

A primera vista, los temas parecen bastante acertados, salvo los temas 1 y 2, que provienen de aquellos que esperaban un acuerdo de privacidad confiable y sólido. En todo caso, los ciudadanos y consumidores no han estado utilizando bien las nuevas herramientas, particularmente mientras continúa el monitoreo generalizado y en evolución. Tampoco se han reforzado sus poderes de negociación. Para utilizar un servicio, el consumidor se ve efectivamente obligado a aceptar un conjunto de términos y condiciones, que en algunos casos, parece que se necesita un título de abogado para leerlos.

Y si bien se habla de invasiones a la privacidad, no se ha producido ninguna reacción violenta. En todo caso, los ciudadanos y consumidores se encuentran en una de las posiciones negociadoras más débiles, ya que están obligados a ceder aún mayor información personal (por ejemplo, datos biométricos) para obtener acceso a "mayores comodidades" o servicios, e incluso bienes.

Por otro lado, es alentador ver que las personas al menos son conscientes de estos problemas. Esta lista de 101 estadísticas de privacidad de datos, un conjunto de múltiples estudios, demuestra que existe un sentimiento de protección de la privacidad de datos más seria. Algunos hallazgos clave incluyen los siguientes:

• El 71% de los consumidores dicen que dejarían de hacer negocios con una empresa si esta manejara mal sus datos confidenciales.
• Casi el 68% de los consumidores de todo el mundo dijeron que están algo o muy preocupados por su privacidad en línea.
• El 86% de la población general de EE. UU. dice que la privacidad de los datos es una preocupación cada vez mayor para ellos.
• Solo el 29% de los consumidores afirmó que les resulta fácil entender cómo una empresa protege sus datos personales.

Sin embargo, también existen estadísticas y opiniones preocupantes, probablemente impulsadas por una implementación deficiente de las medidas de protección, la dificultad para comprenderlas o malas prácticas:

• El 33% de los consumidores perdería la confianza en una organización que utilice sus datos para ofrecerles productos o servicios de otra organización.
• A nivel mundial, solo el 29% de los consumidores dice que les resulta fácil comprender cómo una empresa protege sus datos personales.
• El 56% de los estadounidenses dicen que siempre, casi siempre o con frecuencia, hacen clic en "aceptar" sin leer las políticas de privacidad.
• El 40% de las organizaciones ha experimentado una violación de la privacidad de la IA.

Y para aquellos que creen que las políticas de privacidad ofrecen una protección adecuada, presentamos este dato: "En EE. UU. se necesitaría un promedio de 47 horas al mes para leer las políticas de privacidad de los 20 sitios web más visitados".

Las políticas de privacidad pueden tener un promedio de entre 5,000 y 15,000 palabras, lo que da como resultado una lectura de entre 30 y 60 minutos, que no es la lectura más fácil ni la más ligera. En algunos casos, descifrar las políticas de privacidad ha sido calificado como un "desastre incomprensible".

Para darle una idea, si está leyendo esto, tiene aproximadamente 1,000 palabras en un artículo con jerga legal limitada y una serie de estadísticas y viñetas. ¿Está preparado para la tarea de comprender realmente lo que se está haciendo con sus datos? Es más, ¿está empezando a notar la desalineación de intereses?

Por qué los incentivos entran en conflicto con las expectativas

A menos que haya nacido y crecido en alguna parte remota del mundo, donde incluso los sistemas básicos de electricidad y agua se consideren no solo lujos, sino maravillas mágicas, es probable que alguna parte de su vida haya sido digitalizada. Por lo tanto, la pregunta no es si su vida ha sido digitalizada, sino cuánto de ella lo ha sido. Aquí es donde el concepto de "riesgos digitales" adquiere vital importancia.

A lo largo de siglos y milenios, los humanos hemos podido adaptarnos a los riesgos físicos y desarrollar instintos para protegernos. Pero no se puede decir lo mismo de los riesgos digitales. En cuestión de décadas, nuestras capacidades digitales y computacionales se han expandido ampliamente. No se puede decir lo mismo de nuestros hábitos o, más concretamente, de nuestras expectativas. Estas cuestiones fundamentales no han seguido el ritmo de los cambios tecnológicos.

En otras palabras, el ritmo de cambio supera ampliamente al de la adaptación, y genera una brecha que no hemos logrado cerrar, ni siquiera reducir. ¿Por qué sucede eso?

Se debe a que los incentivos entran en conflicto con los hábitos y las expectativas. Tenga en cuenta que esta línea de pensamiento no es una crítica de nuestros hábitos y expectativas, ni sugiere que debamos cambiarlos. Todo lo contrario. Más bien, esta línea de pensamiento es que no hemos gestionado bien el ritmo de cambio.

Pensemos en los temas específicos de quienes no esperan una infraestructura de privacidad ampliamente aceptada para 2025, específicamente el segundo tema: no habría forma de llegar a un acuerdo sobre cuestiones de privacidad y libertades civiles en Internet global debido a la diversidad de culturas y puntos de vista.

Por un momento, supongamos que una cultura tiene la expectativa de tener privacidad personal. ¿Puede esa sociedad mantener esa expectativa cuando se la incentiva a recopilar y utilizar la mayor cantidad de datos posible? Piense en los conflictos que crea la siguiente situación:

• ¿Quiere aprovechar las capacidades de inteligencia artificial y aprendizaje automático para tareas específicas? Debe alimentar los modelos con datos específicos y abundantes.
• ¿Quiere tener una experiencia personalizada? Debe alimentar los modelos con datos personalizados.
• ¿Quiere hacer crecer su negocio y expandirse a nuevos mercados? Debe analizar más datos para tomar decisiones mejor informadas.

¿Puede ver los conflictos? Los datos, desde una perspectiva de crecimiento e innovación, casi siempre se tratan como un activo, y con razón. Pero esos mismos datos también se están convirtiendo cada vez más en una responsabilidad, desde una perspectiva de privacidad y seguridad.

El "balance de datos" se ve afectado en ambos lados del libro mayor por el mismo factor, pero las entradas no necesariamente se compensan entre sí. ¿Estamos sobrevalorando los datos del lado de los activos? ¿Estamos infravalorando los datos del lado de los pasivos? Estos son los tipos de preguntas que es necesario plantear y están intrínsecamente conectadas.

El garrote y la zanahoria: ¿qué estrategias de privacidad de datos existen hoy?

Desafortunadamente, cuando los datos están sobrevalorados como activo y subvalorados como pasivo, existen pocas estrategias basadas en incentivos positivos. Existen algunos buenos casos comerciales para proteger y mantener los datos privados y seguros (por ejemplo, confianza del usuario, reputación, etc.; revise las 101 estadísticas para ver la opinión de los consumidores sobre este tema). Pero prácticamente no hay incentivos para aplicar estrategias de minimización y destrucción de datos.

Por lo tanto, la mentalidad predominante es "adquirir y proteger los datos", en lugar de "limitar su recopilación, prescindir de ellos por completo o eliminarlos debido a los riesgos que implica conservarlos".

Para añadir complejidad, nos enfrentamos a una realidad en la que ni siquiera sabemos con certeza qué datos almacenamos. Por ello, los ejercicios de mapeo y clasificación de datos son esenciales para cualquier programa sólido de privacidad y seguridad.

Esto implica que las estrategias de protección actuales suelen estar motivadas por la imposición de incentivos negativos, lo que las hace predominantemente reactivas en lugar de preventivas. Los incentivos negativos actuales incluyen regulaciones y multas que, además de ser limitadas y variar según la jurisdicción, pueden eludirse y suelen aplicarse de manera reactiva. Esto significa que el daño (por ejemplo, violación de datos) ya se ha producido.

Las multas y las órdenes judiciales para instituir, gestionar y auditar programas de seguridad de la información pueden tener un efecto positivo, pero de todos modos, su impacto se siente después del hecho.

La estrategia está impulsada por incentivos, no por expectativas

Si utilizamos el marco que hemos identificado (por ejemplo, "adquirir y proteger" frente a "limitar o prescindir y eliminar"), podemos ver cómo cambian las estrategias defensivas y los incentivos.

• Si el modelo es "adquirir y proteger", las tendencias estratégicas se dirigen a los controles de seguridad.
• Si el modelo es "limitar o prescindir y eliminar", las tendencias estratégicas se dirigen a los controles de privacidad.

En el mercado actual, la falta de incentivos para considerar los datos como una responsabilidad relega la privacidad a un segundo plano. Sin embargo, para cumplir con las expectativas de privacidad de individuos y organizaciones, ese modelo debe evolucionar, priorizando la privacidad sobre la seguridad.

Imaginemos por un momento cómo reaccionarían las organizaciones si la protección de la propiedad intelectual se tratara como una cuestión de privacidad y no de seguridad de la información. ¿Cambiarían las estrategias?

Además, esta dinámica podría, al menos en parte, explicar por qué los estadounidenses se sienten confundidos sobre cómo las corporaciones y los gobiernos están utilizando sus datos, según el estudio Pew de 2023, "Cómo ven los estadounidenses la privacidad de los datos".

En efecto, cuanto menos se deba proteger, más fácil y más ingenioso será, porque los recursos que se destinarían a estrategias de "adquirir y proteger" se pueden invertir en operaciones comerciales, investigación y desarrollo, y en todas las inversiones necesarias para mantener una organización saludable.

Pero el mercado le dice lo contrario: le dice que adquiera todo lo que pueda y haga todo lo posible para protegerlo. Inevitablemente, este modelo se transforma en un ciclo interminable de acumulación, gestión e inversión en protección, del cual solo se puede salir considerando los datos como un pasivo.

Paradójicamente, al romper ese ciclo, se puede llegar a una situación donde menos es más: menos datos para proteger y sistemas menos complejos facilitan la gestión. O, más acertadamente, los recursos se utilizan de manera más eficiente, permitiendo que las inversiones en seguridad generen un mayor retorno y liberando capital para otras innovaciones y mejoras operativas.

El vector de amenaza definitivo: el individuo

Volviendo al estudio Pew de 2014, ¿cuál es el tema común entre quienes no esperan una infraestructura de privacidad ampliamente aceptada y quienes esperan un acuerdo de privacidad confiable y sólido para 2025? Ambos coincidieron en que vivir una vida pública se convertirá en una nueva normalidad.

Pero ¿qué pasa con las consecuencias de esa nueva normalidad, específicamente cuando se combina lo siguiente:

1. una vida digitalizada y
2. la estrategia de "adquirir y proteger"?

Cuando las violaciones de datos salen mal, los efectos pueden ser catastróficos, como hemos observado en los incidentes de los últimos años. Una vez que se violan los datos, estos quedan expuestos, lo que significa que las ventajas y los beneficios previstos (por ejemplo, aprovechar las capacidades de inteligencia artificial/aprendizaje automático para tareas específicas, experiencias personalizadas, crecimiento y expansión, etc.) ahora vienen con costos potencialmente mayores, o costos que están ocultos o son difíciles de calcular (por ejemplo, ¿cuál es el "monto en dólares" que cuesta la violación de la base de datos de sus clientes?).

Además, parece que estamos alcanzando un punto de inflexión, en el que los datos ya en circulación facilitan un robo de datos aún mayor, alimentando otro ciclo: a medida que más datos circulan, se posibilitan ataques más sofisticados, como los impulsados por inteligencia artificial y aprendizaje automático.

Por lo tanto, no es del todo una sorpresa que el estudio de Pew de 2023 haya descubierto que el "público estadounidense espera que el papel de la IA en la recopilación de datos tenga consecuencias no deseadas y malestar público". En este punto, los expertos en inteligencia artificial advierten que su adopción por parte de las empresas llevará a un uso de la información personal de maneras con las que las personas se sentirán incómodas (81%) o de formas no previstas originalmente (80%).

Ahora imaginemos que actores malintencionados tienen acceso a estos conjuntos de datos y tecnologías. Las consecuencias, en particular a nivel individual, pueden incluir, entre otras, las siguientes:

• Doxeo
• Fraude
• Extorsión
• Ataques personalizados
• Manipulación
• Suplantación de identidad

En este escenario, no solo corre riesgo el individuo, sino también la organización a la que está vinculado, porque es el individuo, no la tecnología, el que se convierte en la mayor víctima y enfrenta el mayor riesgo.

La solución: la privacidad y protección de los datos empieza por las personas

Los modelos de incentivos no cambiarán de la noche a la mañana. Tampoco se desarrollarán reglas, regulaciones y leyes con la suficiente rapidez para que sean aceptados universalmente en todo el mundo. Por lo tanto, quienes están en la mejor posición y con mayor capacidad para garantizar la privacidad y la protección de los datos son las personas que producen y gestionan los datos.

Dicho esto, lo que podemos hacer es cambiar actitudes, mentalidades y comportamientos, centrándonos en algunas áreas fundamentales:

• No renunciar a los controles técnicos. Todavía necesitamos estas medidas de seguridad, pero debemos mantenerlas y asegurarnos de que funcionen de manera eficaz. Esto implica llevar a cabo pruebas técnicas periódicas, revisiones de riesgos y una evaluación continua de la idoneidad de la infraestructura tecnológica.
• Pasar del pensamiento proactivo al reactivo. Estamos mejorando, pero piense en lo mencionado sobre la comparación entre el ritmo de cambio y el ritmo de adaptación: siempre estaremos en desventaja. Por lo tanto, la clave es garantizar que la diferencia sea lo más pequeña posible en relación con los riesgos planteados. Excederse no siempre es la solución; hay un punto en el que la inversión genera rendimientos decrecientes. Sea inteligente con su enfoque de negocio y riesgo.
• Individuos: no los produzcan. Como usuario individual, tenga cuidado con los datos que produce y publica. Lamentablemente, vivimos en un mundo en el que un actor malintencionado puede usar cada pulsación de tecla o clic en su contra. Tratar de proteger cada acción no solo es insostenible, sino que también aumenta la posibilidad de errores tanto humanos como de máquinas. Las cosas pueden salir mal. Pero si los datos nunca se producen, no pueden usarse en su contra.
• Organizaciones: no los adquieran. Esto requiere luchar contra la tentación. Hemos grabado en nuestras cabezas la idea de que adquirir más datos siempre es mejor. Tal vez, durante un tiempo lo fue. Pero ahora, esos datos tienen un costo que no siempre se puede cuantificar y tal vez ni siquiera calificar.

Conclusión

Por último, y resistiendo la tentación, elimine lo que ya no sea necesario. Y, por si tiene dudas sobre si destruirlo o no, sáquelo de una red, guárdelo bajo llave en algún lugar y, si es necesario, almacénelo bajo tierra (sí, puede hacerlo y muchos lo hacen). La clasificación y el mapeo de datos son ejercicios difíciles, pero necesarios. El dicho dice que "hay cosas que no sabemos que no sabemos", y para abordar los problemas de privacidad de datos, es crucial entender con qué estamos lidiando.

Para terminar, a medida que avance el año 2025, las preocupaciones sobre la privacidad de los datos seguirán existiendo, pero también sabemos dónde se encuentran muchos de los puntos problemáticos. Por lo tanto, depende de nosotros, especialmente como individuos, proteger nuestras huellas digitales en Internet y gestionar esta realidad que ahora rodea todos los aspectos de nuestra vida diaria.

Reconocimientos

Nos gustaría agradecer a nuestro colega, George Platsis, por brindar información y experiencia que ayudaron enormemente en esta investigación.

George Platsis, CCISO, es un director sénior que presta servicios de Descubrimiento e Investigación Digital en la práctica de Investigaciones Globales de J.S. Held.

George Platsis ha desarrollado y brindado consultoría estratégica, gestión de riesgos, preparación y respuesta ante infracciones y proyectos de investigación complejos en múltiples industrias durante más de 20 años. Trabajó con atención médica, medios de comunicación, servicios financieros, defensa, construcción, bienes de consumo y electrónica comercial. George también trabajó con pequeñas y medianas empresas, hasta empresas Fortune 50, agencias gubernamentales y organizaciones sin fines de lucro, incluidas soluciones y servicios personalizados para ejecutivos, juntas directivas, altos ejecutivos y personalidades importantes. También tiene amplia experiencia en trabajo con bufetes de abogados y aseguradoras. Su formación interdisciplinaria abarca la administración de empresas, la gestión de emergencias, el derecho, la ciberseguridad y la seguridad nacional. Es autor, educador, creador de contenido y director de seguridad de la información certificado. Como parte de su línea de servicios de Investigaciones y Descubrimiento Digitales, sus áreas de interés son la madurez de la resiliencia, la reducción de riesgos digitales, la preparación ante ataques cibernéticos, los servicios proactivos de seguridad cibernética, las investigaciones de seguridad e informáticas, y el soporte en litigios y a aseguradoras con un enfoque en la información, los datos, el compromiso y los asuntos vinculados a la seguridad.

Puede contactarse con George enviando un correo electrónico a [email protected] o llamando al +1 321 346 6441.