¿Alguna vez has estado harto de tu proveedor de telefonía móvil? Tal vez tuviste un buen trato los primeros meses, y de repente tus tarifas suben o tu servicio se vuelve irregular. Quizás has terminado una llamada con el servicio al cliente diciendo: "Bueno, ya he tenido suficiente. Estoy cambiando de proveedor."
Gracias a las leyes de portabilidad de números telefónicos, dejar un proveedor no es una amenaza vacía. Las personas pueden cambiar de proveedor de servicios sin temer la pérdida del número de teléfono que su familia y amigos (¡y los spammers!) usan para contactarlos.
¿Y si esta misma función de portabilidad se aplicara a... tus datos?
Derechos de los usuarios bajo las leyes de portabilidad de datos
Si vives en California, la Unión Europea, y potencialmente en otras jurisdicciones como Australia, puedes llevar tus datos - ya sean listas de contactos, fotos, documentos, listas de reproducción - contigo cuando cambias de proveedor. Las leyes de privacidad, incluyendo el Reglamento General de Protección de Datos (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA) ya han codificado la portabilidad de datos en la ley, mientras que varios gobiernos han comenzado a introducir legislación similar.
Lleva tus datos contigo
Pero, ¿qué significa exactamente la portabilidad de datos?
¿Qué es la portabilidad de datos?
La portabilidad de datos, bajo leyes de privacidad como el GDPR y la CCPA, permite a los individuos acceder, copiar o transferir los datos que una empresa mantiene sobre el usuario. Las leyes de portabilidad de datos permiten a un usuario transferir sus datos a otro proveedor usando un formato legible por máquina, de uso común e interoperable.
Por ejemplo, supongamos que no estás contento con tu proveedor actual de música en línea. Usando los derechos de portabilidad de datos, puedes copiar fácilmente todas tus listas de reproducción a otro proveedor de música en streaming. O, si eres un cinéfilo, puedes llevar datos sobre tus preferencias de streaming de películas y tus programas favoritos contigo a otro proveedor de video en streaming.
¿Qué dicen específicamente las leyes actuales sobre la portabilidad de datos?
“El interesado tendrá derecho a recibir los datos personales que le conciernen, que haya proporcionado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y tendrá derecho a transmitir esos datos a otro responsable del tratamiento sin impedimentos por parte del responsable al que se le hayan proporcionado los datos personales.”
-Artículo 20 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
La CCPA otorga derechos similares de portabilidad de datos bajo la Sección 1798.100(d), que establece: “Una empresa que reciba una solicitud verificable de un consumidor para acceder a información personal deberá tomar medidas rápidamente para divulgar y entregar, sin costo alguno para el consumidor, la información personal requerida por esta sección. La información puede ser entregada por correo o electrónicamente, y si se proporciona electrónicamente, la información deberá estar en un formato portátil y, en la medida en que sea técnicamente factible, en un formato fácilmente utilizable que permita al consumidor transmitir esta información a otra entidad sin impedimentos.”
Actualmente, hay legislación similar pendiente sobre portabilidad de datos en Australia. La Comisión Australiana de Competencia y Consumo (ACCC) y la Ley de Derecho de Datos del Consumidor (CDR) tienen como objetivo cambiar la propiedad de los datos del cliente de las empresas a los clientes, permitiendo a los clientes la capacidad de compartir sus propios datos con otras empresas. El gobierno australiano tiene la intención de aplicar estos nuevos derechos de datos del consumidor al sector bancario, seguido por el sector energético, y posiblemente otros.
También hay legislación propuesta en los Estados Unidos a nivel federal. Los senadores Mark Warner, Richard Blumenthal y Josh Hawley introdujeron la Ley de Aumento de la Compatibilidad y la Competencia al Permitir el Cambio de Servicios (ACCESS Act) en octubre de 2019. En cuanto a la portabilidad de datos, el proyecto de ley establece: “Los grandes proveedores de plataformas de comunicación, es decir, proveedores que operan plataformas de comunicación con más de 100 millones de usuarios activos mensuales en los EE. UU., deben operar interfaces transparentes y accesibles por terceros que permitan a los usuarios transferir sus datos de manera segura (directamente al usuario o a un proveedor de comunicaciones competidor que actúe bajo la dirección de un usuario)... los proveedores competidores que reciban datos portados deben asegurar adecuadamente los datos portados.”
En un comunicado de prensa, el senador Josh Hawley dijo: “Tus datos son tu propiedad. Punto. Los consumidores deberían tener la flexibilidad de elegir nuevas plataformas en línea sin barreras artificiales de entrada. Este proyecto de ley crea requisitos largamente esperados que impulsarán la competencia y darán a los consumidores el poder de mover sus datos de un servicio a otro.”
¿Qué significa la portabilidad de datos para las empresas?
La portabilidad de datos introduce impactos importantes en las empresas.
En primer lugar, las leyes de portabilidad de datos pueden usarse como una medida antimonopolio, así que prepárate para una competencia más dura en los respectivos mercados. En particular, la competencia de las startups podría volverse más feroz. Las startups, que históricamente tenían acceso limitado a los datos de los consumidores, ahora tendrán una ventaja cuando los consumidores porten sus datos a otro proveedor.
En segundo lugar, las empresas deben optimizar su proceso de transferencia de datos para que sea oportuno, completo y legible por máquina cuando reciban una solicitud de acceso del sujeto de datos (DSAR) de un consumidor. Para lograr esto, las empresas deben saber dónde viven los datos de los consumidores en sus sistemas. Para lograr esto, las empresas deben saber dónde viven los datos de los consumidores en sus sistemas y poder recuperarlos cuando sea necesario.
¿Dónde están tus datos?
Un componente crítico de un programa de privacidad completo es saber dónde están tus datos. Las empresas pueden realizar una evaluación de mapeo de datos para entender cómo fluyen los datos a lo largo de su organización, desde los formularios de entrada hasta donde se almacenan los datos. El software de mapeo de datos puede ayudar en este esfuerzo. Una vez que sepas dónde están los datos, es importante clasificarlos para que puedas recuperarlos cuando sea necesario. El software de clasificación de datos etiqueta los datos descubiertos para facilitar su búsqueda, localización, recuperación y seguimiento. El software de descubrimiento de datos puede luego desplegarse para recopilar y agregar datos de una variedad de fuentes y prepararlos en formatos que tanto las personas como las máquinas puedan usar fácilmente.
Una solución diseñada para manejar todo este proceso, desde el mapeo de datos hasta el procesamiento de solicitudes de acceso del sujeto de datos, es una plataforma de privacidad de datos. Considerando los requisitos legales respecto al tiempo que una empresa tiene para responder a una DSAR, considera usar una plataforma de privacidad de datos o software DSAR para ayudar a automatizar estos procesos. (Para la CCPA, el plazo para responder a una DSAR es de 45 días. Para el GDPR, es de 30 días.)
¿Qué formatos de archivo puedes usar para portar datos?
Cuando las empresas procesan una DSAR, ¿qué formato legible por máquina deberían usar? La interoperabilidad de formatos de archivo puede plantear muchos problemas. Reconociendo las limitaciones que los formatos de archivo tienen en la investigación de datos, el Instituto Nacional de Estándares y Tecnología (NIST) y más de 800 expertos de la industria, académicos y gubernamentales comenzaron a evaluar este problema en 2013; juntos, acaban de lanzar su Marco de Interoperabilidad de Big Data (NBDIF) este octubre. El NBDIF de NIST es una guía que permite que los datos sean interoperables y portátiles entre plataformas.
| RELACIONADO: El Marco de Privacidad de NIST ayuda a las empresas y organizaciones a entender, evaluar y mitigar sus riesgos de privacidad. Lee más aquí→ |
La buena noticia para las empresas que procesan DSARs es que ni el GDPR ni la CCPA actualmente incluyen formatos de archivo específicos para la portabilidad de datos. Así que, ahora mismo, las empresas tienen la oportunidad de seleccionar qué formato es mejor para ellas. Sin embargo, todavía es importante que las empresas consideren qué formatos son estándar en su industria. Si no hay un estándar, considera formatos abiertos como CSV, XML y JSON.
Cómo transferir realmente los datos
Las empresas deben encontrar una manera de transmitir de manera segura estos datos sensibles de los consumidores.
El Fiscal General de California publicó regulaciones propuestas en octubre de 2019 ofreciendo orientación sobre cómo transferir datos de manera segura.
“Si una empresa mantiene una cuenta protegida por contraseña con el consumidor, puede cumplir con una solicitud de conocimiento utilizando un portal de autoservicio seguro para que los consumidores accedan, vean y reciban una copia portátil de su información personal si el portal divulga completamente la información personal a la que el consumidor tiene derecho bajo la CCPA y estas regulaciones, utiliza controles razonables de seguridad de datos y cumple con los requisitos de verificación establecidos en el Artículo 4.”
La industria en general reconoce que puede ser difícil transferir datos de un proveedor de servicios a otro. Un programa llamado Proyecto de Transferencia de Datos (DTP) es una iniciativa de código abierto que permite la portabilidad de datos entre múltiples plataformas en línea. Google fundó el Proyecto de Transferencia de Datos en 2018; otros miembros del proyecto incluyen Facebook, Microsoft, Twitter y Apple.
El software de transferencia de archivos gestionada (MFT) puede ayudar a las empresas con la cifrado de datos sensibles.
¿Qué datos necesitas incluir en una solicitud de portabilidad de datos?
¿Qué datos deben incluirse en una solicitud de portabilidad de datos? La verdad es que aún no está bien definido. Los datos que los usuarios desean portar incluyen datos generados o proporcionados por el usuario, como sus libretas de direcciones, directorios de amigos o gráficos sociales. Podría incluir información pasiva sobre los usuarios, como preferencias inferidas. Pero, ¿qué pasa con los datos creados colaborativamente con otros? ¿Debería incluirse eso al procesar una DSAR?
Áreas problemáticas relacionadas con el procesamiento de solicitudes de portabilidad de datos
Procesar solicitudes de portabilidad de datos puede abrir una lata de gusanos enredados. Por ejemplo, si un usuario trabajó en colaboración con otra persona para crear algunos datos, ¿debería un usuario portar esos datos? ¿Qué pasa si los datos de un usuario incluyen los datos de otra persona también? ¿Deberían ser portables? ¿Necesitas obtener el consentimiento de los colaboradores?
En respuesta a estas incógnitas, Facebook publicó un documento técnico en el que la empresa cuestiona las mejores formas de proteger la privacidad de un usuario mientras se habilita la portabilidad. Por ejemplo, ¿qué pasa si una persona o entidad solicita datos en tu nombre? ¿Deberían las empresas cumplir con tales solicitudes? ¿Qué pasa si alguien presenta una DSAR fraudulenta? ¿Están las empresas equipadas para validar adecuadamente a los usuarios antes de proporcionarles sus datos sensibles de consumidores? Después de que los datos de las personas sean transferidos, ¿quién es responsable si los datos son mal utilizados o hackeados?
Las incógnitas relacionadas con estas leyes y este proceso probablemente se resolverán a medida que surjan. En los próximos meses, se espera que los consumidores se eduquen sobre sus derechos de acceso a los datos en relación con la portabilidad de datos, especialmente porque los usuarios pueden monetizar sus datos. Las empresas pueden prepararse teniendo un plan de portabilidad de datos en su lugar junto con las políticas y herramientas para implementar esos planes.
*Descargo de responsabilidad: No soy abogado y no estoy ofreciendo asesoramiento legal. Si tienes preguntas legales, consulta a un abogado con licencia. Tampoco doy consejos de moda, consejos de relaciones o recomendaciones de películas. Confía en mí, esto es lo mejor.
¿Quieres aprender más sobre Software de Verificación de Identidad? Explora los productos de Verificación de identidad.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
