Para nadie es un secreto que una de las grandes preocupaciones que nos ha traído la revolución de la información es la de la seguridad de nuestros datos y la del manejo de nuestra información. Hoy, quisiera contarles nuestra experiencia con un experimento que hemos venido desarrollando desde hace unas semanas cuando se instauró la Ley de Habeas Data en Colombia, la cual pretende precisamente general controles y seguridad alrededor de la información que se recolecta de nosotros.
Como saben (y si no saben pueden leerse este artículo o este otro), la ley obliga a todo aquel que quiera guardar y utilizar los datos de otra persona a (1) informar sobre sus políticas de uso y privacidad de la información y (2) a conseguir la autorización expresa de aquellos de quien se almacenen sus datos.
Seguro han recibido cientos de correos electrónicos de compañías informándoles que tienen sus datos, que pueden acceder a su política de privacidad y manejo de la información en x link (aquí esta la nuestra, por si la quieren leer), e indicándoles que en caso de no recibir de ustedes una comunicación en los próximos 30 días solicitando el retiro de su información de la base de datos, entenderán que usted ha dado su aprobación para que mantengan y utilicen sus datos (lo cual no es taaaaaaan acorde con lo que dice la ley porque están usando la figura del “silencio administrativo” como reemplazo de una autorización expresa, pero bueno…).
Nuestro experimento en realidad ha tenido 2 partes:
Solicitud de Retiro y Notificación
Nos hemos tomado la molestia de revisar todos y cada uno de los correos que con respecto a la Ley de Habeas Data hemos recibido (ya revisó su carpeta de Spam? Se sorprenderá la cantidad de correos asociados a este tema que encontrará en ella). En al menos 100 casos hemos enviado correos a las direcciones indicadas, informando que NO damos nuestra autorización para que mantengan ni utilicen nuestros datos, pidiendo que la información sea retirada de las bases de datos y solicitando nos confirmen cuando dicho procedimiento haya sido completado.
Resultado: No hemos recibido NINGUNA notificación por parte de estas compañías en la que confirme la recepción y lectura de nuestro correo ni en la que se nos informe han procedido a retirarnos de las bases de datos.
Es como si la aplicación de la ley se hubiera limitado a crear y postear la política en un sitio web y a enviar un correo masivo o peor aún a poner un anuncio en el periódico.
Solicitud de las Políticas
Es casi a diario que oigo de algún amigo, conocido o de la persona que está sentada al lado en el restaurante lo “peligrosas” que son las redes sociales y cómo ha decidido no compartir su información por temor a que sea usada en su contra. Es constante la conversación alrededor de los riesgos de robo de información, suplantación de identidad y demás. Y son cientos los cuentos que de Facebook sacaron la información de una persona a la que luego robaron.
Sabían que en Colombia cerca de la mitad de las personas que son atacadas bajo la modalidad de Phishing (aquella en la que le manda un correo supuestamente del banco pidiéndoles que ingresen un link y metan su información) aún cae???? No hay derecho!, o sí?
En mi caso, me siento más seguro poniendo mi información en mis redes sociales – claro, con las medidas de seguridad apropiadas – que teniendo que dar mis datos en cada portería de cada edificio que visito a diario. Piénselo. Por lo menos en Facebook es usted quien determina qué comparte y con quién, pero…
Qué tipo de control o seguridad existe en el viejo computador en el que un celador o recepcionista de cada edificio de este país mete su nombre, apellido, número de cédula, dirección, teléfono, huella y foto?
La mayoría de las personas creen que esos sistemas de control de acceso y registro son altamente seguros. La verdad es que no. Se los digo con conocimiento de causa pues derivado de las labores de mi otra empresa hemos tenido que validar los niveles de seguridad de muchos de esos aplicativos. Sus proveedores, en la gran mayoría de los casos, tienen arquitecturas en la información de los visitantes está disponible de una manera sencilla para cualquiera que la quiera acceder, incluso sin necesidad de utilizar la aplicación que es donde ponen los controles de acceso (si es que existen).
Piénselo! Con la excusa de la seguridad hemos entregado a cientos de extraños todos los datos que necesita para poder suplantarnos, robarnos, engañar a nuestros amigos y demás.
Pues bien, durante estos días, cada vez que nos piden nuestra información para ingresar a algún edificio, solicitamos nos sea compartida la Política de Uso y Manejo de Información aplicable. En TODOS los casos, excepto en uno, hemos recibido titubeos, caras de sorpresa, comentarios como “esa política es de la administración del edificio” y hasta amenazas de que si no entregamos la información no podremos entrar al edificio.
Ninguno de los encargados de ingresar nuestra información en las bases de datos tiene (a) idea de qué les estamos hablando, (b) noción de por qué estamos pidiendo copia de la política ni de las obligaciones que están asumiendo al registrar nuestra información, (c) conocimiento de si tienen tal política o (d) de si existe un procedimiento alternativo para permitir el ingreso de alguien que no quiera (o pueda) dar todos los datos que le piden.
Es como si para las empresas de seguridad, las empresas de seguridad y las compañías a las que usted visita la Ley de Habeas Data no aplica. Será que nadie más ha caído en cuenta del riesgo en el que está esa información ni del potencial perverso que tiene su uso desmedido y no controlado?
