Hablando sobre tecnología y derechos de los usuarios con Marina Brocca

marina brocca

Marina Brocca, consultora especializada en marketing legal, protección de datos personales, seguridad de la información y privacidad, me enviaba hace unos días unas preguntas relacionadas con el mundo del derecho y la tecnología, y que ha acabado por plasmar en un artículo de su página (ES).

Conozco a Marina de hace tiempo, siendo ella uno de los miembros de nuestra Comunidad, y con la cual, como comenta en su introducción, he coincidido en algún que otro evento.

Precisamente la idea de realizarme la entrevista salió a colación de uno de los múltiples ejercicios de transparencia que voy, mensualmente, enviando a los miembros.

En él les comentaba parte de mi filosofía a la hora de crear este proyecto, bastante alejada, como puede verse, del mantra que habitualmente está instaurado en el sector del marketing y las comunicaciones.

Mi intención no es conseguir el mayor número posible de miembros. Cosa que podría hacer fácilmente llevando a cabo campañas de suscripción, ofreciendo regalos cada cierto tiempo, y no haciendo limpiezas periódicas de inactivos. Eso engordaría los números, que parece que es lo único que importa hoy en día, pero en cambio, es contraproducente cuando lo que buscas es generar engagement, y no tanto especular con la base de datos.

El verdadero objetivo de todo esto es crear una Comunidad activa, que esté ahí porque de verdad quiere aportar y no únicamente recibir, y con la que contar realmente cuando queramos llevar a cabo algo más grande.

Y gracias a gente como Marina, que se implica en el buen devenir del proyecto, que aporta conocimiento y expone dudas y sugerencias, hemos llegado a donde estamos, con algo más de mil miembros y un feedback inmejorable, y con más de una veintena de patronos que apoyan desinteresadamente la causa.

La entrevista gira más en torno al perfil profesional, a la importancia de cumplir la legislación, máxime cuando están en juego nuestros datos personales (o lo que es peor, los de nuestros clientes) y en la que hablamos de algunas de esas situaciones que lamentablemente seguimos viviendo, con una separación aún demasiado grande entre el mundo legal y la realidad del mercado.

Le dejo sin más dilación con la entrevista. Muchas gracias por la oportunidad, y espero que le guste :).

Índice de contenido

Tecnología, derechos y seguridad, una charla necesaria con Pablo F. Iglesias

MB: Eres un gran productor de contenido sobre tecnología y seguridad, temas que hasta ahora parecía preocupar solo a las grandes empresas o aquellas que gestionaban información especialmente sensible ¿Crees que las pequeñas empresas y autónomos deberían asumir también esta preocupación y dedicar recursos a reforzar su seguridad interna?

Bueno, lo de buen productor de contenido no sé, jaja. Se intenta hacer lo mejor posible :). Respecto a tu pregunta, por supuesto. Tenemos que preocuparnos tanto si trabajamos en una gran empresa como si tenemos una pyme, somos autónomos, o somos meros usuarios.

Hay que tener en cuenta que ahora el target ha cambiado. Resulta muy complicado atacar a una empresa como Google, y en cambio, resulta muy fácil hacer lo mismo con una pequeña empresa o un usuario medio. Claro está, parece que el beneficio de atacar a un gigante es muy superior, pero hay que considerar que la mayoría de ataques se realizan a día de hoy de manera automatizada. A nivel puramente económico, sale igual de rentable, ya que no se ataca a una pyme, se ataca a miles, y lo mismo pasa con los usuarios.

Tampoco es que haya que vivir con miedo. Simplemente tenemos que entender el escenario donde nos movemos, y ser conscientes de que tanto a nivel usuario como a nivel de trabajador de una empresa, podemos ser objetivos de la industria del cibercrimen. No porque un cibercriminal ruso nos tenga enfilados, sino porque esta industria ha “industrializado” los ataques amparándose en el aún escaso conocimiento que tenemos del funcionamiento de la tecnología.

MB: Ya se ha aprobado el nuevo reglamento de protección de datos a nivel europeo y no obstante, hay muchos profesionales y empresas que todavía siguen al margen de la LOPD ¿Cómo explicas tu ese desafecto?

Se junta el hambre con las ganas de comer. Por un lado, la mayoría de usuarios somos desconocedores de todos los entresijos legales que hay tras la LOPD, y aplicamos (quien aplica) parches que a veces reman a corriente de la legislación española, y otras veces solo aplican legislaciones menos restrictivas.

Además, tendemos a centrar recursos más en aquello que nos atañe directamente (como mantener el negocio en pie), y obviamos todo aquello que no repercute en un plazo corto de tiempo en el mismo.

Dicho esto, creo que estamos ahora mucho mejor que lo que estábamos hace unos años, y seguramente, estamos mucho peor que lo que estaremos en años venideros, conforme las nuevas generaciones, más cercanas a la tecnología, y el propio peso de la ley (lamentablemente parece que solo aprendemos a golpes) nos empujen en este camino.

MB: El nuevo reglamento europeo exige a las empresas ser más proactivas en lugar de ser reactivas ante los riesgos y establecer un sistema de privacidad por diseño y por defecto ¿Cómo valoras tu este cambio normativo?

Es un cambio totalmente necesario, aunque entiendo que resulta difícil de aplicar en según qué sectores.

No es lo mismo una startup que puede permitirse trabajar con metodologías agile, e incluir en el ciclo de desarrollo de producto el security by design, que una corporación que tiene ya una metodología de trabajo interna instaurada, con decenas (o cientos) de productos en el mercado.

Fíjate que aquí, casualmente, las pymes tiene una capacidad de pivotaje superior a la de las grandes empresas, y en un país como España, regido principalmente por pequeñas y medianas, lo suyo es que seamos pioneros a la hora de cubrir la ideosincracia del escenario actual.

MB ¿Cuáles a tu juicio son los retos más urgentes que deberán asumir las empresas para poder prevenir, detectar y reaccionar adecuadamente ante posibles brechas de seguridad?

La principal y más obvia es conocer los riesgos y formar a la plantilla en el uso seguro de los recursos. La mayoría de las brechas de seguridad se deben a mala praxis por parte de los trabajadores.

El BYOD (tráete tu propio dispositivo) y la gestión cruzada de recursos corporativos en entornos personales (como la nube), representan a la vez una gran oportunidad para conciliar el trabajo con la familia, y la vez, un problema para gestionar la seguridad corporativa.

La idea es precisamente ofrecer al trabajador las herramientas adecuadas, siguiendo patrones del mínimo privilegio posible, para minimizar, en la medida de lo posible, los riesgos asociados a estos nuevos entornos.

Y por último, claro está, implantar la filosofía de la seguridad en todos los ciclos y metodologías de trabajo. La unión de un sistema informático robusto, con una gestión de roles adecuada, con una formación de trabajadores mínima, cubre prácticamente la mayoría de brechas de seguridad que podemos sufrir.

MB: Por último, quiero que te mojes un poquito: constantemente surgen nuevos modelos de negocio en internet y profesionales, fundamente bloggers, que establecen toda su actividad económica en internet (venta de infoproductos, esquemas de afiliados, AdWords, estrategias de captación de leads, etc.) Un porcentaje escandaloso no cuenta con ninguna adecuación legal (deber de información, Identificación de vendedor, políticas de privacidad, condiciones de contratación, etc.  ) o es una simple copia y pega de políticas estándar ¿Qué opinas tu sobre esto? ¿Crees que es falta de conciencia o pura indolencia? ¿Cómo crees que se deba avanzar en este campo?

¿Esto no irá por mí, verdad? Jajaj. Es un tema muy interesante y complejo de afrontar.

Como bien sabes, la legislación europea, frente a la americana, tiende a considerar lo nuevo (quizás todavía no correctamente recogido en la legislación) como prohibido.

Esto genera un entorno en el que los nuevos modelos de negocio tienen que adaptarse a legislaciones que a veces poco tienen que ver con ellos.

Sin ir más lejos, hasta hace poco (y corrígeme si me equivoco), la gestión de datos personales estaba regida por la legislación creada en su día para mantener directorios físicos (armarios repletos de ficheros), y por tanto, cubrían en algunos casos los paradigmas de un entorno digital, y en otros (como el tema de la seguridad, y al ser el mundo digital eminentemente ubicuo) quedaban totalmente descontextualizados.

Esto no quita que todos aquellos que trabajamos en la red tengamos que dedicarle el tiempo necesario (o contratar a alguien que nos asesore) para cubrir aquellos flecos que seguramente se nos escapan.

Y el copia/pega de políticas de privacidad es un buen ejemplo. Como también lo es pretender que por tener un plugin de alerta LOPD cumplimos con la normativa.

También entiendo que la abogacía, en la medida de lo posible, debe acercarse al usuario, y no al revés. En esto entra el papel de personas como tú, Marina, que intentan explicar de una manera lógica y cercana el lenguaje incomprensible para el resto de mortales (entre los que me incluyo) que los abogados os empeñáis en utilizar :P.

Siga el debate en MarinaBrocca.com (EN).