31 enero 2010

La privacidad y la comunicación de incidentes

Antes de que se pasen los ecos del 4º día de la Privacidad de Datos me gustaría comentar las declaraciones de la Comisionada de la Unión Europea, Viviane Reding, aprovechando las celebraciones de este día.

Para empezar, lo que desde la UE se consideran actualmente los principales retos para la privacidad:
  1. La publicidad basada en nuestros patrones de comportamiento
  2. Las redes sociales
  3. La denominada "location privacy"
Pero lo que me ha parecido más interesante es que ha anunciado que va a proponer una modificación, tanto de la Directiva de Protección de Datos, como de las reglas específicas para la privacidad de las comunicaciones electrónicas para adaptarlas a las nuevas tecnologías en línea con las actuaciones de la Comisión durante 2009:
  • Recomendación sobre las smart tags utilizadas en RFID.
  • Acuerdo con las redes sociales para mejorar la protección de menores.
  • Acciones contra la publicidad basada en el comportamiento en el Reino Unido.
  • Y, sobre todo, la introducción en la Reforma de las Telecomunicaciones de la UE de la obligación de los proveedores de servicios de comunicaciones de informar a las autoridades cuando una brecha de seguridad provoca una pérdida o una mala utilización de datos personales.
Quizás esta obligación de informar sea la forma de que, de una vez por todas, tengamos datos relativos a los incidentes de seguridad que se producen y su impacto en las organizaciones. No por "hacer leña del árbol caído" sino porque sería la manera de que se puedan tomar decisiones relacionadas con la seguridad con mejor información de lo que lo hacemos hoy en día cuando, como mucho, contamos con los datos históricos de nuestra organización [al margen del propio efecto de control que ejerce esta obligación puesto que nadie quiere comunicar este tipo de sucesos dado el efecto potencial sobre el negocio y la confianza de los clientes / usuarios].

Medidas de este tipo están siendo facilitadas por iniciativas como el Nuevo Acuerdo de Capital de Basilea y su método de cálculo del riesgo operacional que fomenta la creación de un data mart de riesgos con información sobre los incidentes acaecidos y su efecto sobre el negocio como base para el cálculo del riesgo.

Ya sabemos por Nassim Nicholas Taleb y sus cisnes negros que no podremos basarnos únicamente en el pasado puesto que no nos sirve para predecir el futuro (recordar la anécdota del pavo) pero, sobre todo, si podemos establecer un data mart de riesgos común (para tener información de todas las organizaciones, no solo de la nuestra) podremos mejorar en la toma de decisiones.

Vía | Europe's Information Society Thematic Portal
Technorati Tags | privacidad

No hay comentarios: