Riesgos emergentes en el sector de la tecnología

La tecnología está cada vez más arraigada a nuestra vida cotidiana, y el Internet de las cosas (IoT) traerá conectividad a miles de productos, tales como automóviles, electrodomésticos y ropa. Cómo se usen y se protegen esos datos será fundamental para todas las empresas involucradas y para los reguladores de creación y aplicación de normas.

IBM estima que el 90% de los datos en el mundo de hoy se han creado en los últimos dos años, un proceso que sólo se acelerará. Los riesgos relacionados con la proliferación de estos datos – la privacidad, la seguridad, la discriminación y la fragmentación – impactan la confianza del consumidor.

IBM estima que el 90% de los datos en el mundo de hoy se han creado en los últimos dos años

A pesar de que los reguladores no se atreven a poner una carga innecesaria en lo que sigue siendo un mercado incipiente, es probable que sean más proactivos de lo que han sido en el pasado con su potestad reglamentaria. Sin embargo, una fuerte regulación podría ser adelantada si las empresas voluntariamente introducen los principios adecuados a sus servicios.

Privacidad: Poner al usuario en control

Las primeras normas de protección de datos que se introdujeron para dar alivio a los usuarios cuando el marketing por teléfono y en el hogar se convirtió en el mercado de masas, se están actualizando ahora.

Los temas de privacidad no son nuevos, pero la adición de la tecnología ha hecho que sea mucho más fácil para las empresas recopilar, rastrear y agregar datos privados de un individuo para crear productos y servicios más específicos. Dado que las normas no se han actualizado para encajar dentro del contexto de un mundo en línea, es evidente que los términos y condiciones actuales no son adecuados para sus fines, y se requieren nuevas normas de protección de datos.

La Comisión Europea y la Comisión Federal de Comercio (FTC) han creado cada uno su propio conjunto de nuevas reglas, pero hay un hilo común entre ellos. Las normas de la FTC, que data de 2012, se construyen en tres principios:

  • Privacidad por diseño
  • Opción simplificada, como un mecanismo de “No Hacer Seguimiento”
  • Una mayor transparencia

Las normas europeas de 2016 incluyen disposiciones relativas a:

  • El derecho a ser olvidado
  • Consentimiento claro y afirmativo
  • Derecho a transferir
  • Derecho a saber si los datos han sido hackeados
  • La necesidad de que las políticas de privacidad sean claras y comprensibles
Read the PDF version

Read the PDF version.

Ambos conjuntos de normas tienen como objetivo dar a los usuarios el control de sus datos y mejorar la transparencia, haciendo más claro quien los está utilizando, a dónde van y para qué se utilizan. Esto no es inherentemente negativo para las empresas donde los datos se encuentran en el centro de sus modelos de negocio, ya que muchos usuarios estarán felices de continuar compartiendo su información personal.

Sin embargo, las reglas pueden crear otra capa de burocracia para que las empresas se aseguren de cumplir con sus obligaciones y den al usuario final la decisión correcta. Esto podría golpear a las pequeñas empresas mayormente, a pesar de la creación de algunas excepciones, tales como la necesidad de tener un oficial de protección de datos o aplicación de las evaluaciones de impacto en Europa.

La introducción de la privacidad por diseño – donde la privacidad se enfatiza en todas las etapas del desarrollo del producto o servicio – y la minimización de datos, donde se deja claro cual es la finalidad de los mismos, quién los está utilizando y cómo se van a desechar después de su uso – minimizará los riesgos de incumplimiento, pero no los eliminará completamente. Ni los reglamentos, ni prácticas o mecanismos de una empresa son a prueba de tontos, pero la responsabilidad viene posteriormente para mostrar buena fe y tomar las medidas necesarias en caso de violación de la privacidad.

La aplicación sigue siendo poco clara, ya que es una área nueva, pero las investigaciones serán largas y probablemente conducirán a un mayor escrutinio si demasiadas empresas no toman las precauciones necesarias.

Seguridad: Cualquier cosa conectada puede ser hackeada

Cualquier cosa que pueda ser hackeada será hackeada. Al igual que con la privacidad, es imperativo que las empresas se centren en la seguridad de sus productos, a través de la seguridad por defecto. Esto minimizará el riesgo en lugar de eliminarlo por completo. Mientras que los riesgos se mantienen constantes para los problemas de privacidad, se aumentan con el tiempo en términos de seguridad.

Cuando un producto se pone en marcha por primera vez en el mercado, debe ser totalmente seguro. Para asegurar el cumplimiento continuo, los fabricantes suelen implementar actualizaciones inalámbricas de software, para que sus productos sigan siendo seguros contra las nuevas amenazas. Estas actualizaciones pueden tener una vida útil máxima, y esta vulnerabilidad puede poner en peligro todo el sistema a través de la interconexión. Un elemento débil puede abrir una puerta trasera para los hackers a todos los dispositivos conectados a la red.

La adición de conectividad a un producto significa que un fabricante debe tener en cuenta que la venta va más allá del punto de venta

Esto plantea la pregunta de responsabilidad. ¿Cuánto tiempo debe una empresa proporcionar actualizaciones continuas para garantizar la seguridad de su producto? ¿Cuánto tiempo debe esperarse que un cliente utilice un producto conectado? ¿Donde debe intervenir la regulación?

Algunos productos se actualizarán de forma manual, lo que significa que la responsabilidad recae en el usuario final, pero muchos carecen de las funcionalidades adecuadas (no tener una pantalla táctil, por ejemplo) para que sea viable. Aquí es donde la responsabilidad recae sobre el fabricante para mantener su producto seguro. La cuestión clave será el tiempo que un producto debe ser seguro en virtud de un nuevo tipo de garantía, teniendo en cuenta que esto no puede ser una talla única para todos.

La adición de conectividad a un producto significa que un fabricante debe tener en cuenta que la venta va más allá del punto de venta y que la obsolescencia programada tiene un impacto más amplio que la actualización a un nuevo dispositivo.

Los autos son un buen ejemplo en el aumento del nivel de responsabilidad requerido para los fabricantes. Si bien la seguridad es también un tema central, el conductor se encuentra por lo general en el centro de cualquier reclamación de seguro. A medida que los autos se conectan con Internet, se vuelven autónomos (donde el auto se puede conducir solo, pero todavía requiere un conductor responsable), y finalmente sin conductor, la responsabilidad se desplazará desde el conductor al fabricante. Volvo, Mercedes y Google ya han dicho que van a asumir la responsabilidad de los accidentes con sus vehículos sin conductor, una vez que estén disponibles comercialmente, y más fabricantes a través de todas las industrias deben decidir si tienen que ir por este camino.

La discriminación y la fragmentación: El Internet en la vida real

La privacidad y la seguridad son los dos riesgos más directos para la industria de la tecnología emergente y los más propensos a ser regulados. Sin embargo, la adición de conectividad e Internet también conlleva riesgos indirectos, que incluyen la discriminación y la fragmentación.

La fragmentación se relaciona con la tensión continua entre un ecosistema mundial de Internet y las regulaciones nacionales

La Big Data tiene unos beneficios – tales como soluciones específicas y adaptadas que puedan derivarse de la analítica – pero también algunos riesgos, ya que podría convertir a los humanos en algoritmos. La agregación de diferentes puntos de datos sobre un individuo podría pintar un cuadro específico de esa persona, especialmente cuando otros datos, como sus alrededores o conocidos, se añaden a la mezcla. Esa imagen puede ser engañosa.

La Comisión Federal de Comercio ya ha puesto de relieve los problemas potenciales de la desigualdad de acceso basado en los puntos de datos que pueden conducir a que algunos usuarios sean discriminados en función de con quién se asocian, y no a través de sus propias acciones. Esto podría resultar en menos opciones y precios más altos por los mismos servicios.

La fragmentación se refiere a la tensión permanente entre un ecosistema global de Internet y los reguladores nacionales. Por supuesto, esto no es nuevo, ya que las empresas de tecnología han tenido que cumplir con la normativa nacional desde su creación. El gran firewall de China es un claro ejemplo de este tipo de soberanía nacional en un mundo en línea.

Las reglas de China sólo aplican a nivel nacional, sin embargo a algunos reguladores les gustaría que sus decisiones nacionales tuvieran un impacto global. CNIL, la autoridad francesa de protección de datos, quiere que el derecho a ser olvidado se aplique a nivel mundial, y no sólo en Francia y Europa, mientras que un tribunal canadiense ha dictaminado que los sitios web de venta de productos falsificados deben ser eliminado no sólo en Canadá, sino en todo el mundo. Una autoridad nacional que trata de aplicar sus reglas fuera de su territorio sin consulta previa – porque el Internet es global y no conoce fronteras – se plantea preguntas sobre de cual jurisdicción y autoridad debe aplicarse.

La mejor manera para que las empresas hagan frente a estos riesgos emergentes y eviten que los reguladores tengan un papel demasiado importante, es garantizar que desarrollen sus servicios teniendo en cuenta las cuestiones relacionadas con la privacidad, la seguridad y la discriminación. No sólo va a ayudar en términos de cumplimiento, sino que también les dará una ventaja competitiva sobre sus rivales menos innovadores.

About Fredrik Motzfeldt

Fredrik is the Regional Industry Leader for Willis Towers Watson in Great Britain.  Fredrik has more than 26 years…
Categories: Ataques Ciberneticos, Español, Protección de Datos, Telecomunicaciones | Tags: ,

Leave a Reply

Your email address will not be published. Required fields are marked *