26 Mar 2019

Nuevos retos en la gestión de datos personales

Por José Manuel Sanz.

La gestión de los datos personales, hace tiempo que dejó de limitarse al almacenamiento y explotación de un CRM o una base de datos con información de clientes y posibles clientes, trabajadores, contactos, etc.

Si quieres descargar la presentación realizada por José Manuel Sanz en los encuentros NWC10Lab puedes decargarla aquí.

También al final del post publicaremos en los próximos días el vídeo de su conferencia. Si quieres asistir a próximos encuentros puedes inscribirte aquí.

 

A día de hoy, los elementos donde se manejan datos personales son tantos que casi escapan a nuestra imaginación: desde un pulsera marcapasos hasta un robot aspirador. Todo estos dispositivos no hacen otra cosa que almacenar y gestionar datos personales para poder ofrecernos un mejor servicio. Por eso, los retos a los que se enfrentan los usuarios a la hora de proteger su privacidad, han crecido de forma exponencial.

 

Para las empresas, también suponen un reto estos nuevos escenarios, pues cada día más, los usuarios tienen como factor decisorio las garantías que las empresas les dan respecto a la seguridad de su información.

 

Por tanto, como empresa o profesionales, a la hora de organizar un adecuado sistema de gestión de datos personales, no podemos poner el foco en los entornos clásicos, sino que hemos de ser capaces de identificar esos tratamientos más allá del ERP o CRM de la compañía. Veamos algunos entornos que deben ser objeto de análisis.

 

EN LA EMPRESA

La gestión de los datos del personal de la empresa, trasciende a los necesarios para la formalización del contrato de trabajo o colaboración. Puede ser necesario establecer algún tipo de gestión de la localización del trabajador o el control de presencia del mismo. Por tanto, nos encontramos ante la necesidad de gestionar de forma adecuada datos provenientes de localizaciones GPS, que se recopilen sin suponer un menoscabo de otras libertades del usuario y que se utilice para un fin absolutamente determinado: por ejemplo, informar al cliente cuanto tiempo tardará en llegar un repartidor. Si controlamos la presencia física del trabajador en su horario laboral mediante fichado por huella dactilar u otro sistema biométrico, tendremos que analizar si  este método es el único que podemos usar y si estos datos recopilados, no son excesivos para el fin previsto.

 

EN EL USO DE DISPOSITIVOS MÓVILES

Cada vez es más habitual utilizar sistemas de desbloqueo de aplicaciones o dispositivos mediante la huella dactilar. Sin embargo, ¿es la huella dactilar el mejor medio de identificación?. Existe la costumbre de asimilar la huella a una contraseña. Sin embargo, esta no cumple uno de los criterios básicos que debería cumplir cualquier contraseña: no podemos actualizarla cada cierto tiempo. Por tanto, suponer la analogía huella dactilar = contraseña, es erróneo. Sin embargo si que esta huella podría asimilarse sin ningún problema a un identificador de usuario, que previa comprobación, pudiera después servir para introducir una contraseña.

 

EN EL HOGAR

Con el aumento de dispositivos conectados a Internet (el famoso Internet de las Cosas, o IoT), aumenta también la sobreexposición y el riesgo de los usuarios si las empresas, y estos mismos, usuarios no conocen claramente que información se está compartiendo. Desde neveras que hacen la compra automáticamente en función de un stock determinado de productos a robots aspiradores que mapean el domicilio para poder optimizar la ruta de trabajo de forma más eficiente, todos estos dispositivos comparten información personal. Información que puede tener un carácter tan sensible como los hábitos alimenticios (intolerancias, gustos, etc), hasta la posición de las puertas de entrada en nuestro domicilio, en que horas no hay nadie en casa y por eso se pone en marcha el robot aspirador, etc. Mención a parte hay que hacer de otros dispositivos como los altavoces inteligentes que se conectan con diferentes servicios o los llamados smartTV, que ofrecen programación a medida en función de los gustos del usuario y que han sido objeto de mucha polémica por el nivel de intrusión que suponían en los hogares.

 

OCIO

Las aplicaciones que analizan rendimientos deportivos, constantemente conectadas a servidores que almacenan estos datos y pueden servir para compartir, por parte del usuario, diferentes resultados de  entrenamientos, competiciones, etc., están en auge. El interés creciente por la salud y el deporte hace que muchos usuarios compartan estos datos en sus redes sociales, sin plantearse que tipo de información están dando a los demás. Recorridos de entrenamiento, horarios, hábitos de salud,.. todos estos datos se están generando de forma continua, sin que los usuarios sean muchas veces conscientes de que esto es así.

 

Hemos podido ver un breve resumen de los escenarios y retos que las empresas que gestionan datos personales tienen, ya no en un futuro cercano, sino en un presente muy actual. Retos que si bien no son complicados de gestionar, necesitan de un análisis previo para conocer los riesgos que estamos asumiendo como empresas al gestionarlos y por tanto, que obligaciones asumimos con los usuarios.

 

El pasado día 8 de abril de 2019, los encuentros NWC10Lab tuvieron el placer de contar con José Manuel Sanz, aquí la convocatoria, donde habló de estos y otros escenarios de riesgos e intentaremos, si no solucionar, por lo menos pensar en voz alta en los riesgos que como  profesionales y empresas asumimos en la gestión de los datos de nuestros proyectos.

Aquí tienes disponible su presentación descárgala aquí.

 

José Manuel Sanz es ingeniero informático y consultor en materia de privacidad desde el año 2000, tanto en administración pública como en empresas privadas.. Auditor Interno ISO 9001-2015 certificado por Bureau Veritas. Participante en diversos proyectos formativos relacionados con la privacidad, como profesor en el master de MK Digital de diversas escuelas de negocio tanto en Barcelona (Instituto Internacional de Marketing) como Valencia (IEMB).