Hasta hace poco, Se consideró que los presuntos objetivos del robo masivo de datos eran empresas que carecían de ciberseguridad sofisticada o que no se tomaban el problema lo suficientemente en serio.

Pero desde finales de 2016, algunos de los nombres más importantes de la tecnología de vanguardia han visto los datos de sus clientes más confidenciales, incluido el contenido de los correos electrónicos, números de tarjetas de crédito, y números de teléfonos móviles, caen en manos de piratas informáticos, o en algunos casos compartió dichos datos con terceros sin el conocimiento o consentimiento de los consumidores.

La lista se está haciendo muy larga rápidamente. Los ladrones descargaron información sobre 25 millones de usuarios de Uber en EE. UU. La agencia de informes crediticios Equifax tuvo 143 millones de archivos de clientes robados por piratas informáticos. Cambridge Analytica recopiló datos de al menos 87 millones de usuarios de Facebook para orientar anuncios políticos. Este verano, Google admitió en el Congreso que los desarrolladores de aplicaciones y otros tienen acceso al Gmail de los usuarios. Los científicos de datos encontraron importantes fallas de seguridad en AT&T, T-Mobile, y teléfonos Sprint que dejaron expuestos a los clientes. Y solo la semana pasada Facebook reveló su mayor brecha con 50 millones de usuarios afectados. Dijo que los números de teléfono proporcionados a Facebook por los usuarios para la seguridad de autenticación de dos factores se habían compartido con los anunciantes.

Con tantas infracciones y tan pocas repercusiones, los altos ejecutivos de Google Manzana, Amazonas, y Twitter, entre otras firmas, fueron convocados ante la Comisión de Comercio del Senado, Ciencias, y Transporte la semana pasada para explicar por qué continúan las violaciones a la privacidad de los datos, y discutir algunos remedios. El senador John Thune (R., DAKOTA DEL SUR.), el presidente del comité, dijo que ya no se trata de si es necesario que exista una ley federal para proteger la privacidad de los datos del consumidor, sino de "qué forma debe tomar la ley". Está prevista otra audiencia a finales de este mes.

Urs Gasser, LL.M. '03, es director ejecutivo del Berkman Klein Center for Internet &Society en la Universidad de Harvard y profesor de práctica en la Facultad de Derecho de Harvard. Su investigación y docencia se centran en el derecho y la política de la información, y escribe con frecuencia sobre la privacidad, protección de Datos, y la regulación de la tecnología digital. Gasser analizó el estado de la privacidad de los datos con The Gazette por correo electrónico y sugirió qué se podría hacer para proteger a los usuarios de las empresas que se benefician de los datos de las personas.

Preguntas y respuestas

GAZETTE:Como alguien que ha estado estudiando la privacidad de los datos durante mucho tiempo, ¿Te sorprende esta serie de fracasos?

GASSER:Lo que quizás sea más sorprendente es la frecuencia con la que estos incidentes relevantes para la privacidad ahora se hacen públicos, así como su prevalencia y escala. En cuanto a las causas subyacentes y la eficacia de las respuestas, es importante analizar cada incidente por separado. Una violación de datos causada por piratas informáticos externos no es el mismo problema y no requiere las mismas contramedidas que las amenazas a la privacidad resultantes de acuerdos de intercambio de datos entre una plataforma en línea y anunciantes que son el núcleo del modelo comercial. Habiendo dicho eso, los efectos en términos de privacidad del usuario pueden ser bastante similares. También cabe destacar que el GDPR [Reglamento general de protección de datos de la Unión Europea] aborda una amplia gama de violaciones de la privacidad de los datos, y será interesante ver si la violación de Facebook en particular desencadenará una acción de cumplimiento de GDPR.

GAZETTE:Muchas de las empresas de tecnología más importantes continúan permitiendo o no logrando evitar que los datos de sus clientes caigan en manos de los anunciantes, desarrolladores de aplicaciones, y otros terceros. A pesar de las frecuentes promesas de mejores protecciones de la privacidad, poco ha cambiado. ¿Por qué estas empresas no se toman esto más en serio?

GASSER:Para ser justos, las empresas han realizado importantes esfuerzos para proteger mejor los datos de los usuarios a través de una amplia gama de medidas, incluidos los paneles de privacidad, características mejoradas de privacidad y seguridad, como el cifrado de un extremo a otro, actualizaciones a sus políticas de privacidad, y más. Pero, de hecho, existe un problema estructural más profundo en el centro de las batallas por la privacidad de nuestro tiempo que hace que los esfuerzos actuales se sientan insuficientes. La mayoría de los modelos comerciales de tecnología actuales se basan en publicidad dirigida, que se basa en la recolección, intercambio, y analizar grandes cantidades de datos de usuarios. Simplemente pon, Priorizar realmente la privacidad del usuario también significaría comprometer un modelo de negocio subyacente que ha tenido mucho éxito en términos económicos y ha producido algunas de las empresas más ricas del mundo.

GAZETTE:Los legisladores han pedido a las empresas de tecnología que protejan mejor la información de sus usuarios y han insinuado que pueden comenzar a regular estrictamente cómo se manejan los datos si las empresas no refuerzan la seguridad de los datos. ¿Hará el Congreso algo pronto para responsabilizar a estas empresas? y, que no, ¿Qué haría falta para que el gobierno federal tomara medidas reales?

GASSER:En el clima político actual, Dudo que algo dramático, digamos, como GDPR, sucederá a nivel federal en el corto plazo. Pero vemos mucha actividad de privacidad del consumidor a nivel estatal. Considere la reciente promulgación de la Ley de Privacidad del Consumidor de California, que probablemente sea muy influyente dado su ámbito de aplicación, o la legislación de corredores de datos de Vermont. Combinado con la agenda mejorada de protección al consumidor de muchos AG estatales, ahí es donde está la acción hasta que al Congreso se le ocurra algo significativo. Y, por supuesto, También existe una mayor presión proveniente de las autoridades legislativas y de protección de datos europeas, basado en las nuevas protecciones e instrumentos establecidos por el GDPR. Algunos argumentan que está surgiendo un "mercado para la privacidad" que proporcionará incentivos, particularmente a las startups de privacidad, para ser más amigable con la privacidad.

GAZETTE:¿Es hora de declarar un fracaso la era de la política de privacidad voluntaria y comenzar a tratar estos negocios como servicios públicos?

GASSER:Estoy de acuerdo en que el modelo de autorregulación no ha logrado proporcionar niveles adecuados de protección de la privacidad del consumidor en el entorno tecnológico actual. A dónde ir desde aquí es más difícil de decir, aunque. Muchos defensores de la privacidad señalan al RGPD como un nuevo estándar de oro. Soy más escéptico como tal enfoque está profundamente arraigado en los valores europeos, cultura, y economía política y no se puede trasplantar de una manera de "cortar y pegar". También viene con algunos inconvenientes serios, en términos de costos de cumplimiento, por ejemplo. Creo que es hora de repensar la privacidad de los datos de manera más fundamental. Puedes encontrar algunos de mis pensamientos aquí. Introducir deberes fiduciarios para las empresas de tecnología es otra forma nueva e interesante de pensar sobre algunos de los problemas estructurales mencionados anteriormente.

GAZETTE:¿Quién tiene la culpa de dónde estamos ahora? ¿Son los usuarios en parte culpables por no hacer más escándalo por las violaciones de privacidad? ¿Comprende la mayoría de las personas cuánta información está en manos de otros? y como se usa?

GASSER:Estoy de acuerdo en que es demasiado simple culpar a las empresas de tecnología por el status quo. Creo que debemos considerar la crisis de privacidad como un problema a nivel de ecosistema, con muchas fuerzas en juego:tecnológicas, mercado, conductual y legales, y muchos actores involucrados, incluidos los usuarios que a menudo toman decisiones de privacidad basadas en información incompleta y con sesgos cognitivos en juego. Es por eso que defiendo en mi propio trabajo a favor de un enfoque más holístico del futuro de la privacidad, que combina fuertes protecciones legales con alfabetización digital y esfuerzos educativos, tecnologías de próxima generación que mejoran la privacidad, e incentivos económicos para servicios más respetuosos con la privacidad, entre otros elementos de la estrategia, en lugar de apostar solo por leyes similares al RGPD. Este enfoque también incluiría una educación y un empoderamiento de los usuarios más inteligentes.

GAZETTE:las personas no pueden optar por dejar de usar Google, y no decidirá no tener un celular, entonces, ¿qué puede hacer la gente para protegerse?

GASSER:hay una serie de controles de privacidad en línea disponibles y una serie de herramientas de autoayuda de privacidad, incluidos navegadores de privacidad o VPN [redes privadas virtuales], por nombrar solo dos. Algunos de ellos son proporcionados por las propias empresas de tecnología, y algunos son ofrecidos por organizaciones de consumidores como EPIC o EFF. Recomiendo encarecidamente que las personas hagan uso de estas ofertas, incluso si son solo tácticas en el sentido de que, comprensiblemente, no pueden abordar la raíz estructural del problema.

Esta historia se publica por cortesía de Harvard Gazette, Periódico oficial de la Universidad de Harvard. Para noticias universitarias adicionales, visite Harvard.edu.