Los hogares del Reino Unido gastarán 12.000 millones de euros en dispositivos inteligentes en 2019. La naturaleza receptiva de estos dispositivos significa que tienen que estar «siempre encendidos», lo que ha generado preocupaciones sobre cuándo el dispositivo está «escuchando» y qué datos registros y almacena. Por un lado, los consumidores exigen más privacidad y dicen estar preocupados por cómo la tecnología rastrea su comportamiento. Por otro, están instalando micrófonos conectados y otros sensores en sus hogares.
Desde focos hasta cámaras de seguridad para el hogar, estamos siendo adoctrinados lentamente a una cultura tecnológica «siempre encendida». Los dispositivos inteligentes, particularmente los altavoces, son cada vez más comunes tanto en el hogar como en el lugar de trabajo. Escuchan nuestras conversaciones y solicitudes más privadas. Si bien existe la pregunta de quién es el propietario de los datos registrados, hay un problema mayor: ¿dónde se almacenan los datos y cómo se rastrean hasta el final de la vida útil?
¡Recházalo!
El internet de las cosas -IoT- crea nuevos volúmenes de información que pueden ser almacenados, administrados y analizados por los fabricantes de dispositivos: audio grabado desde altavoces inteligentes o acceso a datos sobre hábitos o preferencias individuales. Los datos se pueden utilizar de varias formas, desde anuncios dirigidos hasta contenido personalizado. Sin embargo, esto también es un problema de seguridad, ya que la información confidencial y personalizados de los clientes pueden ser manipulados por terceros malintencionados.
Los dispositivos inteligentes, particularmente los altavoces, son cada vez más comunes tanto en el hogar como en el lugar de trabajo. Escuchan nuestras conversaciones y solicitudes más privadas.
Existe una confusión sobre cómo estos dispositivos procesan la información y los consumidores realmente no saben qué se hace con sus datos. Una encuesta reciente de YouGov encontró que un tercio de los propietarios de altavoces inteligentes no sabían que sus dispositivos recopilaban y almacenaban grabaciones de voz.
Los dispositivos inteligentes se han vuelto muy populares y su funcionamiento exige que acceda y almacenen datos personales. Es lo que los hace inteligentes. Si no estuviese «siempre encendido», el dispositivo no cumpliría sus funciones más básicas y optimizar la experiencia del usuario significa almacenar ciertos tipos de datos. Pero eso no exonera a los fabricantes de dispositivos sobre la administración de dicha información, especialmente al asumir la responsabilidad de los datos confidenciales a lo largo de su ciclo de vida.
No odies: regula
IDC predice que habrá más de 41,6 mil millones de dispositivos IoT conectados que generarán más de 79 billones de gigabytes de datos para 2025. Previendo ese futuro inmediato, los procesos de administración de datos y la transparencia deben cambiar ahora. El problema es que la regulación aún se está quedando atrás de la tasa de innovación en la industria de dispositivos inteligentes. Eso deja una brecha en la administración de datos para las compañías que lanzan dichos dispositivos.
También hay problemas prácticos básicos con la regulación de la información recopilada por dispositivos inteligentes. Y es que la naturaleza de los datos es de entrada lenta, de una amplia variedad y puede diferir enormemente de un dispositivo a otro. Por ejemplo, los audios que recopila un altavoz inteligente son un activo completamente diferente a los datos sensoriales que recoge por un sistema de alarma inteligente.
El Reglamento General de Protección de Datos -RGPD- otorgó un «derecho de borrado«, pero la naturaleza de la información recopilada por dispositivos inteligentes hace que esto sea difícil de cumplir para los fabricantes. Significa tener que ubicar el conjunto de datos específico dentro de un servidor, a menudo manualmente, antes de borrarlo de forma segura.
Esto, combinado con el cambio de los datos que se almacenan en el hardware a la carga directa a la nube, significa que los fabricantes de dispositivos inteligentes tienen la necesidad de ir más allá de la regulación para obtener la recolección y el almacenamiento de la información en los centros de datos.
Estos dispositivos inteligentes funcionan al estar siempre conectados a Internet, lo que posibilita optimizar el hardware optimizado y prescindir de espacio de almacenamiento en el propio dispositivo. Los datos confidenciales registrados por dispositivos inteligentes se envían directamente a un centro de datos donde se pueden almacenar de forma indefinida.
Entonces, ¿qué hace el fabricante cuando un dispositivo llega al final de su vida útil y estos registros, a menudo personales y confidenciales, deben borrarse? Habitualmente, los datos se almacenan, ya sea en un centro específico o en la empresa, sin un período de retención formalizado o un proceso establecido para deshacerse de la infromación cuando llega al final de su vida útil.
Los datos también dejan un rastro digital, lo que significa que se pueden recuperar cuando se transfieren desde una pieza de hardware a un centro de datos y viceversa. Si un fabricante almacena registros de dispositivos inteligentes en un centro de datos, es imperativo que esa información se rastree y gestione adecuadamente como propiedad personal del cliente.
Administrando los datos
El rumor en torno al IoT, especialmente en lo que respecta a la seguridad y la privacidad de los datos, es parte de una conversación más amplia sobre la necesidad de una administración de la información más estricta. La regulación de la privacidad de la información ha expuesto los procesos de gestión de datos como ineficientes e incomprensibles.
El simple hecho de eliminar los registros o transferirlos fuera del centro de datos no garantiza el borrado total. Tampoco el cumplimiento de las leyes reglamentarias.
Esto se puede vincular a una falta general de educación en las prácticas idóneas de gestión de información. Además, se amplifica por el hecho de que hasta ahora no ha sido necesario procesar y regular volúmenes tan enormes de registros.
El gran volumen de datos no es una excusa: las técnicas automatizadas pueden hacer que su administración sea completamente manejable. Lo que debería ser una preocupación primordial para una empresa o fabricante es la capacidad de realizar un seguimiento de los datos confidenciales. Esto incluye desde la recopilación hasta el final de su vida útil, con un rastro auditable. Esta es la única forma de cumplir con las nuevas leyes de privacidad.
Los datos recopilados desde dispositivos inteligentes deben ser rastreados y administrados, especialmente cuando la información se almacenan en la nube. Los fabricantes que confían en los centros de datos para almacenar y administrar los datos confidenciales de los clientes deben asegurarse de que las unidades que contienen la información se borran de manera segura luego del período de retención. El simple hecho de eliminar los registros o transferirlos fuera del centro de datos no garantiza el borrado total. Tampoco el cumplimiento de las leyes reglamentarias.
Los fabricantes de dispositivos inteligentes deben ser proactivos en la revisión de las prácticas de protección de datos. Los dispositivos inteligentes solo serán cada vez más inteligentes, y esta inteligencia será el resultado de almacenar y analizar grandes cantidades de información confidencial. Mantener la confianza del consumidor significa que la protección de datos también debe ser más inteligente.
*Artículo publicado originalmente en Infosecurity Magazine.
