Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía esencial de desarrollo de aplicaciones corporativas
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Más allá de las políticas de privacidad: Privacidad práctica para sitios web y apps móviles

No es suficiente publicar una política de privacidad en su sitio para asegurar la información personal de los usuarios. Aquí algunas recomendaciones.

En este ambiente de creciente atención hacia los riesgos de las brechas de seguridad relacionadas con los datos, y en medio de una explosión de aplicaciones móviles que hacen del almacenamiento de datos una propuesta cada vez más vasta, muchas organizaciones asumen que la primera línea de defensa de una empresa con un sitio web o una aplicación móvil es una buena política de privacidad.

En su reporte sobre guías para la política de seguridad del 26 de marzo de 2012, "La protección de la privacidad del consumidor en una era de cambios rápidos”, la Comisión Federal de Comercio de los Estados Unidos (FTC) presentó una serie de recomendaciones que afectaron el contenido de las políticas de privacidad. En diciembre de ese año, la FTC dio seguimiento a esas recomendaciones con cambios significativos a la Regla de Protección de la Privacidad en línea de los Niños, y en enero de 2013, el fiscal general de Californiaemitió recomendaciones sobre prácticas de privacidad que los desarrolladores de aplicaciones móviles deben observar. La conclusión es que publicar una política de privacidad no es suficiente. Como mínimo, las empresas con sitios web o aplicaciones móviles deben estar conscientes de lo siguiente:

  1. Lo más importante acerca de una política de privacidad es que refleje de manera precisa la práctica real. La FTC no dicta los contenidos de una política de privacidad, pero puede –y lo hace– llevar a cabo acciones de aplicación cuando las empresas con sitios web o aplicaciones móviles no se adhieren a las políticas de privacidad que publican.

  2. Cuando se revisa una política de privacidad, la información recogida en virtud de la política anterior no puede ser utilizada o divulgada de acuerdo a los términos de una (más liberal) política revisada, sin el consentimiento del consumidor. Esto significa que una empresa con un sitio web o aplicación móvil debe llevar un registro de qué información de identificación personal se recopila en cada revisión de su política.

  3. Cuando el usuario hace “clic” a su consentimiento de los Términos de Uso o Política de Privacidad de un sitio web, es más probable que se le pueda exigir su cumplimiento que donde no se requiere la acción afirmativa. Siempre que sea posible, una empresa con un sitio web o aplicación móvil debe ubicar un enlace a su política de privacidad en esos puntos donde se recoge la información personal y requerir un acuerdo en el momento en que se ofrezca la información.

  4. La empresa tendrá que requerir que terceras personas que verán la información personal de los visitantes (servidores de internet, por ejemplo) estén de acuerdo por escrito a mantener la información personal confidencial y segura.

Gestión del riesgo

Pero para gestionar eficazmente los riesgos asociados a la recopilación, almacenamiento y uso de información personal, una empresa con un sitio web o una aplicación móvil –de hecho, cualquier organismo que recoja información personal– debe hacer mucho más que simplemente publicar una política de privacidad. Por ejemplo, la organización debe tomar las siguientes medidas:

  • Identifique qué datos personales tiene en su poder la organización y dónde (incluyendo computadoras portátiles y dispositivos portátiles), y evaluar si algunos de ellos podrían borrarse;
  • Incluya en su investigación la información obtenida offline, al igual que la recogida en línea;
  • Céntrese en toda la información que razonablemente se puede vincular a un consumidor, o una computadora o un dispositivo, ya que la distinción tradicional entre información de identificación personal e información de identificación no personal se ha vuelto borrosa;
  • Limite la información que recopila (en línea y por otros medios) a lo estrictamente necesario para la finalidad para la que se recopila; utilice la información recopilada únicamente para tal fin; limite la divulgación de la información a los que tienen la necesidad de utilizarla para el propósito citado; reténgala solo el tiempo que sea necesario para cumplir con el propósito y elimínela cuando ya no es necesaria;
  • Identifique las amenazas previsibles para la información de la organización y de sus sistemas de información subyacentes. Muchas de estas amenazas no son exóticas, pero incluyen el mal manejo de contraseñas y las unidades biométricas, junto con la posible pérdida de información durante la eliminación de documentos, el transporte de la información personal de un punto a otro, el acceso remoto y los viajes al extranjero;
  • Evalúe sus controles de seguridad de la información administrativa, física y técnica (incluidas las políticas de retención de registros) que actualmente tiene en vigor, y mejórelas cuando sea necesario o deseable;
  • Desarrolle y pruebe los procedimientos específicos para responder a una violación de la seguridad;
  • Dirija la privacidad en todas las etapas del desarrollo de sus productos y servicios, y en sus operaciones en general;
  • Revise sus acuerdos contractuales con proveedores de servicios que tienen acceso a la información personal (incluidos los acuerdos de computación en la nube), y asegúrese de que dichos proveedores de servicios hayan acordado por escrito proteger la confidencialidad, integridad y disponibilidad de la información personal;
  • Designe a una persona para ser responsable de la aplicación y la eficacia de los esfuerzos de privacidad de la organización;
  • Comunique la importancia de la seguridad de los datos en toda la organización, y capacite a los responsables del manejo de la información personal;
  • Considere el uso de las tecnologías de protección de la privacidad (PET), como el cifrado;
  • Revise y actualice las políticas y procedimientos de la organización cada año, y también en conjunción con cualquier cambio en los procesos de negocio que afecte la seguridad de la información personal (como, por ejemplo, tercerizar las funciones del centro de llamadas); y
  • Reconozca que otros países abordan la seguridad de los datos de manera diferente a los EE.UU. Si la organización recoge información personal de individuos fuera de los EE.UU., a través de su página web, móvil o de lo contrario, tendrá que asegurarse de que obtiene su consentimiento o que cumple de alguna otra manera con la ley aplicable.

Una organización que sigue los pasos descritos anteriormente será más probable que evite un fallo de seguridad, y que esté mejor preparada en caso de ocurra alguna, que una que publica una política de privacidad, pero no hace más.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close