domingo, 1 de diciembre de 2013

Si yo fuera su Data Protection Officer...

Si yo fuera el Data Protection Officer de una empresa que va a lanzar una red social, éstos son los cinco consejos que trasladaría a la Dirección o a los responsables del proyecto:

1º. Analice detenidamente los datos que solicita a las personas que quieren crear un perfil en la red social. No pida más datos de los estrictamente necesarios (así, en muchos casos, no será preciso que el usuario indique su profesión, su domicilio físico o su número de móvil). Resulta fundamental que diferencie la información necesaria para la creación del perfil de aquellos datos que el usuario puede aportar voluntariamente, ý por supuesto, que deje claro desde el mismo momento en el que se completa el formulario de registro qué datos serán visibles para sus contactos o para terceros.

2º. Si la red no va específicamente dirigida a menores de edad, establezca mecanismos para evitar que menores de 14 años utilicen la red social. Por ejemplo, no se debe permitir finalizar el proceso de creación de perfil a los usuarios que indique una edad inferior a los 14 años. Para mayor seguridad, se pueden establecer mecanismos de comprobación adicionales de forma aleatoria, como solicitar el envío del DNI. Las conciones de uso de la plataforma han de señalar claramente que no se permite su uso por menores de 14 años.

3º. Redacte las condiciones de uso y la política de privacidad en un lenguaje sencillo. No recurra a textos excesivamente jurídicos que más bien parecen un "disclaimer". Este tipo de avisos crean desconfianza y asustan. Hace poco leí la mejor definición que se puede hacer de lo que es una política de privacidad eficaz (disculpen que no levante a buscar la cita): "Di en la política lo que haces con los datos y haz con los datos lo que dices en ella". Si el texto que les facilita su asesor no cumple con esta regla, cambien de asesor. La política de privacidad informa a los usuarios de lo que vamos a hacer con su información personal, y en función de ello, los usuarios consienten en contratar un servicio con nosotros. Por eso mismo, quedamos obligados a hacer exactamente lo que decimos en ella. Cualquier uso no previsto, probablemente, constituirá un incumplimiento de la ley sancionable.

4º. Tenga presente los requerimientos de seguridad desde el inicio del diseño técnico de la red social. Piense siempre en las implicaciones que tendrán para la privacidad de los usuarios las funcionalidades que implemente. Haga de las garantía de la privacidad del usuario un valor añadido de su aplicación. Incorpore por defecto las opciones más garantistas de la privacidad del usuario (por ejemplo, si éste no elige otra cosa, que sólo las personas autorizadas accedan a su perfil).

5º. Desarrolle e implante procedimientos internos ágiles para atender las quejas y resolver las dudas de los usuarios. Invierta recursos en mantener una actitud proactiva y diligente: Realice campañas de información sobre mecanismos de denuncia interna, advierta a los usuarios de los riesgos que supone para su intimidad y la de sus familiares y amigos poner demasiada información en línea, facilite consejos para aprovechar los mecanismos de seguridad que ofrece la res social, recomiende no subir información (fotos o vídeos) de terceros sin el consentimiento de éstos...

En fin, espero que estos consejos les hayan resultado útiles. Si quiere ofrecerme un puesto de Data Protection Officer en su compañía, no dude en ponerse en contacto conmigo (mi e-mail está en la columna de la derecha).

Yo me voy a desayunar a uno de los pocos sitios de Madrid en el que me tratan como merezco. Buenos días.

No hay comentarios: