Director de privacidad

Con toda la información que circula por Internet hoy en día, los consumidores y las empresas —sin mencionar a los reguladores— se preocupan cada vez más por la privacidad en línea. Las recientes controversias en torno a Double Click y Toysmart subrayan claramente los grandes riesgos empresariales que implica tratar la información de los clientes con arrogancia. Reconociendo esos riesgos, algunas empresas han nombrado a un alto directivo (el director de privacidad) como su autoridad central para tomar las decisiones de privacidad y proteger los intereses de los clientes. Roberta Fusaro, de HBR, habló recientemente con un destacado CPO, el director de privacidad corporativa de Microsoft, Richard Purcell, sobre la ética de la privacidad en una era de información fluida.

¿Por qué una empresa necesita un director de privacidad?

Es fundamental tener un lugar único en el que resida el conocimiento sobre la forma en que se gestiona la información de los clientes y en el que se establezcan políticas para la recopilación y el uso de los datos en línea y fuera de línea. De lo contrario, corre el riesgo de introducir incoherencias que puedan comprometer la seguridad de su empresa y de sus clientes. Por lo general, un director de tecnología diseña las estrategias de una empresa para los sistemas de información. Entonces, el director de privacidad trabajaría en estrecha colaboración con el CTO para crear un programa de privacidad que se adaptara a esas estrategias.

Algunas empresas nombran a una persona para que supervise la privacidad de forma ad hoc, sin el título. Pero dar a estas personas una autoridad clara es importante porque tienen que tomar e implementar decisiones difíciles que afectan a muchos sectores de la empresa. La formalización de la función también envía el mensaje, interno y externo, de que la privacidad es una verdadera prioridad.

Dado el poder de las nuevas tecnologías de la información, ¿tendrán que acostumbrarse los clientes a tener menos privacidad?

Nunca ha habido privacidad total en el comercio. Las empresas y los consumidores siempre han intercambiado información y siempre se ha supuesto que las empresas tenían que gestionar la información personal de forma responsable. Eso continúa hoy en día, pero el flujo de información se ha acelerado y amplificado por la expansión de Internet y otras tecnologías. A su vez, la necesidad de confianza ha crecido drásticamente.

Nunca ha habido privacidad total en el comercio. Las empresas y los consumidores siempre han intercambiado información. Pero a medida que Internet amplifica el flujo de información, la necesidad de confianza ha crecido drásticamente.

Es importante reconocer que una tecnología rara vez es buena o mala en sí misma; todo depende de la forma en que se utilice la tecnología. Por ejemplo, las «cookies» son una gran ventaja para las empresas y los consumidores. Facilitan las compras en la Web y ayudan a las empresas a personalizar la información y las ofertas para los clientes. Pero se puede abusar de las cookies; pueden rastrear y difundir información de formas que los clientes no aprueban.

La posibilidad de abuso va en ambos sentidos. Mire las tecnologías que permiten a las personas permanecer en el anonimato. Algunas personas quieren ser invisibles cuando están en la Web, y hay tecnologías que hacen posible la navegación anónima. Pero ese anonimato conlleva la posibilidad de suplantación de identidad y de actividades ilegales como el fraude y el robo.

Microsoft gestiona una enorme cantidad de información de los clientes. ¿Cómo desarrolló las políticas de privacidad?

Empezamos por establecer un marco ético, un conjunto de valores fundamentales que podrían guiar el despliegue de cualquier tecnología nueva. Una gran parte de ese trabajo consistía en pensar detenidamente en el contexto social de nuestras relaciones comerciales, no solo en cómo nosotros interactuar con los clientes, sino la forma en que todos nuestros socios interactúan con los clientes. Insistimos, por ejemplo, en que nuestros socios de publicidad web publiquen políticas de privacidad exhaustivas en sus sitios. Damos a conocer este requisito y nos aseguramos de que se cumpla en la fase de solicitud de cualquier relación publicitaria.

Uno de los factores que complican a los que nos enfrentamos es que otras empresas —empresas sobre las que no tenemos influencia directa— utilizan nuestro software para recopilar información. Prevenir el abuso en estos casos es en gran medida una cuestión de empoderar al consumidor. Por ejemplo, hace poco habilitamos nuestro navegador Internet Explorer para alertar a los consumidores cada vez que un tercero desconocido transmita una cookie en un intento de recopilar pequeños fragmentos de información sobre ellos, quizás de manera inocente, quizás no. Los consumidores tienen entonces la opción de aceptar o rechazar la cookie antes de guardar algo en sus discos duros. Incluso pueden configurar sus navegadores para impedir que se acepten cookies.

Es de suma importancia que los consumidores sepan quién recopila información sobre ellos y que estén dispuestos a participar. Si los consumidores entienden claramente cómo y por qué las empresas utilizan las cookies, ambas partes pueden personalizar la experiencia para que se adapte a las preferencias de los usuarios sin socavar las tecnologías empleadas y sin sacrificar la privacidad y la seguridad.

¿Cuáles son los componentes básicos de su marco ético?

Hay cinco principios subyacentes. La primera es aviso: los clientes deberían recibir información completa sobre quién recopila información sobre ellos, qué se recopila y con qué propósito. La segunda es elección: las personas deberían poder elegir cómo se utilizará la información sobre ellas, cuánto tiempo se conservará esa información, en qué circunstancias se transferirá esa información a otras partes, etc. El tercer principio es acceso: tenemos que establecer la transparencia permitiendo a los clientes ver, e incluso editar, la información que tenemos para que puedan asegurarse de que es precisa y relevante. El cuarto es seguridad: debemos asegurarnos de que los datos del cliente estén protegidos contra el acceso no autorizado, la distribución, la pérdida o la corrupción. Y, por último, debe haber algún tipo de aplicación—algún mecanismo que nos haga responsables del cumplimiento de cualquier política declarada. Los terceros deberían participar en el mantenimiento de ese cumplimiento.

Por lo que ha visto, ¿cree que las empresas dedican suficiente tiempo a pensar en los problemas de privacidad?

Me gustaría que progresara más rápido. Sin embargo, hemos visto un enorme aumento en el número de empresas que reconocen la importancia de tener un director de privacidad y de publicar buenas políticas de privacidad. Cuando se publica una declaración de privacidad en el sitio web de una empresa, esa declaración es vinculante para la empresa, como descubrimos cuando Toysmart intentó vender la información de sus clientes tras la quiebra, a pesar de que había prometido que no lo haría. La FTC tenía la autoridad de entablar una demanda contra Toysmart porque la empresa había indicado claramente lo que incluiría y lo que no incluiría sus prácticas. Las empresas ignoran el tema de la privacidad por su cuenta y riesgo.

¿Cuál cree que es el mejor papel que puede desempeñar el gobierno en el debate sobre la privacidad?

Nuestra preferencia en este momento sigue siendo una autorregulación sólida. Al evaluar la legislación que se va a proponer hasta finales de este año y hasta la próxima sesión del Congreso, analizaremos qué tan rígida es, cuánto costaría implementarla, cómo funcionaría para los diferentes tipos de empresas y cómo afirmaría y promovería el control de los consumidores y la autorregulación de la industria. Pero sea cual sea la legislación que se promulgue, es responsabilidad de los líderes de la industria en línea proporcionar e implementar tecnologías que ayuden a los consumidores a sentirse más seguros y cómodos en Internet.