Cómo el seguimiento de la ubicación está aumentando los riesgos de la protección de la privacidad

La gestión y la seguridad de los datos personales requiere más colaboración interfuncional entre las empresas que nunca antes.

En resumen

• El seguimiento de la localización se está convirtiendo en una preocupación vital para la privacidad, ya que se utiliza cada vez más en aplicaciones de software en nuestra vida personal y laboral.
• Las empresas que están rastreando los datos de salud personal o los movimientos de los empleados desde la pandemia de COVID-19 necesitan evaluar cuidadosamente su impacto en la privacidad.
• Para mitigar los riesgos en torno al seguimiento de la ubicación, los profesionales de cumplimiento deben trabajar en colaboración con toda la empresa.

Su apego a los teléfonos inteligentes los ha convertido en los dispositivos perfectos para rastrear nuestros movimientos, proporcionando datos invaluables para empresas y gobiernos. Lo que no sabemos es que muchas aplicaciones en nuestros teléfonos permiten a las empresas de datos de ubicación determinar cómo pasamos nuestros días. Una investigación del New York Times pudo utilizar un conjunto de datos para rastrear los movimientos de las personas que se desplazaban a sus oficinas, recogían a sus hijos en la escuela e incluso rompían sus rutinas para ir a una entrevista de trabajo¹.

La creciente preocupación por el seguimiento de la localización es sólo un ejemplo de cómo la protección de la privacidad se está volviendo cada vez más compleja. COVID-19 está exacerbando el problema a medida que los gobiernos y las empresas experimentan con nuevas tecnologías para rastrear y contener el brote. Estos esfuerzos están salvando vidas, pero también despiertan el temor a la intrusión en la privacidad y a la exposición de datos personales de salud.

A menudo se considera que la gestión de la privacidad es responsabilidad de los profesionales del cumplimiento y del derecho, con la ayuda del equipo de ciberseguridad. Pero cada vez más organizaciones se están dando cuenta de que la privacidad está afectando a las partes interesadas en casi todos los rincones de la organización. La gestión del riesgo de privacidad provocado por el seguimiento de la ubicación requiere un esfuerzo concertado que también incluya recursos humanos, operaciones, seguridad de la información, comunicaciones y relaciones con los inversores.

Demandas de privacidad por el seguimiento de la localización sujetas a escrutinio público y reglamentario

¿Sabías que tener una aplicación meteorológica en tu teléfono puede significar que tus movimientos personales se rastreen segundo a segundo y se vendan a terceros, incluso cuando no estás usando la aplicación? Esa es la base de una demanda de 2019 presentada por la oficina del fiscal de la ciudad de Los Ángeles. La demanda alega que la información sobre la venta de datos a terceros estaba oculta en las secciones de política de privacidad y configuración de privacidad de la aplicación, que "la gran mayoría de los usuarios" no leen ².

Muchas empresas que recopilan datos de ubicación afirman que no violan la privacidad porque los datos son anónimos, los usuarios dan su consentimiento para ser rastreados y los datos se mantienen seguros. Pero la investigación de The New York Times muestra que estas afirmaciones no siempre resisten el escrutinio legal o regulatorio. Por ejemplo, los pings que muestran una ruta diaria desde una casa hasta una oficina identifican fácilmente a una persona.

Mientras que las aplicaciones telefónicas suministran gran parte de los datos de rastreo vendidos a terceros, las empresas de telefonía celular también están bajo fuego. Los cuatro operadores de telefonía celular estadounidenses más grandes prometieron dejar de vender datos de ubicación en 2018, pero dos años después, la Comisión Federal de Comunicaciones de Estados Unidos (FCC, por sus siglas en inglés) propuso cientos de millones de dólares en multas porque se descubrió que los operadores continuaban vendiendo datos de clientes e infringiendo las normas de la agencia para proteger la información personal³.

COVID-19 aumenta la apuesta por el seguimiento de la localización

La crisis de COVID-19 llevó a algunos gobiernos a iniciar aplicaciones telefónicas con seguimiento de la geolocalización para rastrear los contactos de un individuo y determinar si están cumpliendo con las directivas de cuarentena y distanciamiento social. El seguimiento de las personas ha ayudado a algunos países a limitar la propagación del virus, pero un análisis de seguridad de Guardsquare de 17 aplicaciones de seguimiento del gobierno encontró que la “mayoría" es fácil de infringir para los hackers⁴.

Los grupos de derechos humanos están preocupados por que estas aplicaciones sean demasiado invasivas y podrían utilizarse más allá de la pandemia. Por ejemplo, el Organismo de Protección de Datos de Noruega prohibió la aplicación de rastreo de su país tras determinar que reunía muchos más datos de los necesarios⁵.

Las empresas también están explorando nuevas tecnologías para proteger la salud de sus empleados, utilizando aplicaciones para teléfonos inteligentes, cámaras o dispositivos Bluetooth que se pueden llevar puestos para controlar los movimientos de los empleados en el trabajo. Si un empleado da positivo en la prueba de COVID-19, la empresa puede identificar rápidamente a los empleados que se acercaron al trabajador infectado. Mientras que muchos países permiten a los empleadores rastrear a los empleados durante las horas de trabajo, los defensores de la privacidad temen que la vigilancia se extienda las 24 horas del día y continúe mucho después de que termine la crisis.

La pandemia también ha planteado preocupaciones sobre la privacidad en torno a los datos de salud de los empleados. Una encuesta realizada en mayo de 2020 encontró que casi una cuarta parte de las empresas han tomado la temperatura de sus empleados y el 60 % lleva un registro de los diagnosticados con COVID-19. Casi uno de cada cinco proporcionó los nombres de los empleados positivos a la COVID-19 a otros empleados o a las autoridades gubernamentales, en contra de las recomendaciones del Comité Europeo de Protección de Datos⁶.

La normativa sobre privacidad tiene como objetivo controlar el seguimiento de la localización

El creciente interés en la protección de la privacidad ha llevado a nuevas regulaciones en todo el mundo. Uno de los estatutos más influyentes, el Reglamento General de Protección de Datos (RGPD) de la UE, trata los datos de ubicación como datos personales. Esto significa que los usuarios deben aceptar específica y libremente el seguimiento de la ubicación, en lugar de optar por no participar.

El seguimiento de la ubicación también se aborda en la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés), que el estado comenzó a aplicar en julio de 2020. En virtud de la CCPA, los residentes de California pueden optar por que su información personal, incluidos los datos de geolocalización, no se venda a terceros. Si bien la ley cubre solo a los residentes del estado, muchas grandes empresas están extendiendo sus derechos a todos los estadounidenses. El Fiscal General de California estima que las empresas gastarán más de 55 mil millones de dólares para cumplir con la CCPA⁷.

Abordar los riesgos para la privacidad del seguimiento de ubicaciones requiere una colaboración multifuncional

Abordar los riesgos de privacidad relacionados con el seguimiento de la ubicación va más allá del alcance de los departamentos legales y de cumplimiento. Requiere flexibilidad y agilidad a medida que las organizaciones responden a entornos tecnológicos y regulatorios en rápida evolución. La colaboración interfuncional es esencial.

Los profesionales legales y de cumplimiento deben tomar la iniciativa al trabajar con otras funciones, en particular los departamentos de IT, para ayudarlos a identificar, monitorear y mitigar los riesgos. La gestión del talento debe centrarse en la educación y la comunicación de los empleados para que, cuando se utilice, el seguimiento de la ubicación no comprometa la privacidad de los empleados y los empleados entiendan bien su objetivo. Los profesionales de la seguridad y la tecnología de la información deben estar al tanto de las tecnologías en rápida evolución para comprender su impacto y los riesgos potenciales. Por encima de todo, la privacidad por diseño debe estar entretejida en la cultura organizacional.

Las empresas deben mantener la preocupación por la privacidad en primer plano a la hora de desarrollar productos o servicios que impliquen funciones de seguimiento de la ubicación. Si no se gestiona bien, el seguimiento de la ubicación puede convertirse en una enorme responsabilidad que conlleva el riesgo de incumplimiento de la normativa, demandas judiciales, daños a la reputación, descontento de los empleados y pérdida de ingresos. Si se gestiona bien, el rastreo de la ubicación puede mejorar la capacidad del producto, impulsar la prestación de servicios y proteger a los empleados y a la organización.

Puntos clave

El seguimiento de la ubicación se está convirtiendo en una importante preocupación de privacidad, ya que se utiliza cada vez más en muchas aplicaciones de software que dominan nuestra vida personal y comercial diaria. La pandemia de COVID-19 ha intensificado el problema a medida que los gobiernos y las organizaciones se apresuran a contener la propagación del virus. Las empresas que realizaron cambios operativos apresurados durante la pandemia, como el seguimiento de los movimientos de los empleados o el intercambio de datos personales de salud, deben evaluar cuidadosamente su impacto en la privacidad.

Los profesionales de cumplimiento deben trabajar en colaboración en toda la empresa para mitigar los riesgos en torno al seguimiento de la ubicación, ya sea que la empresa comercialice datos a otras empresas o que la organización realice el seguimiento de la ubicación de los empleados con fines internos. Estos riesgos pueden dar lugar a acciones regulatorias y legales, violación de datos, disminución de la moral de los empleados y preocupaciones sobre la privacidad, así como daños a la marca.

Adherirse a las regulaciones de privacidad de datos puede ser costoso y desafiante. Pero las empresas que gestionan las actividades de seguimiento de la localización de forma transparente y segura descubrirán una ventaja competitiva a medida que la protección de la privacidad sea más importante tanto para los consumidores como para los empleados. Puede que nos gusten nuestros teléfonos, pero no queremos que revelen nuestros secretos.