Understanding GDPR: The need for a new mindset

 

The recently approved General Data Protection Regulation, which will enter into force in May 2018, represents a radical departure from the compliance-based approach in relation to data management.

The immediate reaction from most CDOs or security professionals after reading in detail the document is feeling overwhelmed. Not in vain, according to the research company Ovum, more than 50% of CDOs from large businesses worldwide fear they are going to be fined by the Data Protection agencies.

Why this reaction? The reason is compliance with the new regulation from a traditional mindset seems an impossible task.  A new approach is necessary. There are four key areas where a shift needs to take place:

  • Security: The regulator is no longer telling organizations what security measures are required. Given the quick pace of technological change, compliance checklists are no longer viable. This is why organizations are told to base their security related decisions on risk audits, not only internal, but encompassing the impact for customers or individuals. Security decisions become a matter of judgement. Given that breaches will have to be notified within 72 hours, it will be better to err on the side of caution.
  • Transparency: Until now, once individuals gave permission to an organization to use their data, they lost visibility and control over it. Under GDPR, organizations will have to open up completely to individuals.

In the first place, tacit agreements in relation to data use will no longer be valid. Customers will have to take affirmative action. Furthermore, this will not be the end, but the beginning of a transparent and proactive reporting cycle with customers and individuals. Every action departing from the agreed use of information will have to be notified. Actually, individuals may request information to be accessed, erased, or even transferred to a competitor.

This is a reminder that data remains the property of individuals. Organizations will have to honor that, and transparency will represent a great deal in customer satisfaction and trust.

  • Responsibility: Under this new framework, whoever interacts with individual information becomes responsible, be it an information-processing company, or an actor in the supply chain. In plain language, there is nowhere to hide. This prevents the creation of weakest link in the information cycle outside a given organization. That’s where most attacks take place.

This changes relationships among players in the value chain, and contracts will have to reflect it accordingly: responsibility is closely tied to liability.

  • Treatment: Data per se is no longer the key concern. What organizations do with it is what matters. When companies had only a piece of information about individuals, this was considered almost innocuous. Now, with the emergence of Big Data, it is becoming too easy to combine information, and extract insights that may affect individual in unsuspected ways. This is why organizations will have to keep record of how they treat individual information. The GDPR wants to make sure the far reaching implications that may unfold from the use of analytics and Big Data are not beyond control.

In summary, this regulation treats data as the core asset in every organization, as well as a key element in personal security. This understanding is where the mind shift needs to take place. Once this is clear, the implications deriving from it make sense. It is true that the degree of imprecision sometimes deliberate, in this regulation may create areas of legal uncertainty. But, seeking compliance instructions of a regulator is no longer viable in a data driven world. Everyone will have to lead their own journey. The regulator is just pointing at the boundaries and responsibilities.

 

Suggested reading:

http://www.lopdat.es/noticias/aplicacion-practica-y-progresiva-del-nuevo-reglamento-europeo-de-proteccion-de-datos

https://www.dlapiper.com/en/uk/focus/eu-data-protection-regulation/key-changes/

 

 

 

La aritmética de la privacidad (y II)

Continuamos con reflexionando sobre la privacidad. En el anterior post hablamos de algunos factores que inciden en la privacidad.

Adquiriendo una mayor comprensión

Una vez identificados los factores, su impacto, relevancia y relación con otras variables las empresas pueden construir hipótesis y testarlas. Algunos ejemplos:

  • Relevancia de los factores: ¿En qué medida aumentar la trasparencia impacta en la propensión de las personas a ceder sus datos?
  • Nuevos modelos de negocio: ¿Qué impacto tiene la privacidad en la creación de servicios basados en agregar datos de distintas empresas?
  • Segmentos de población: ¿Las generaciones más jóvenes dan más importancia al valor aportado que a la trasparencia?

El testeo de hipótesis genera una comprensión más robusta que será necesaria para una nueva generación de servicios basados en la explotación de información personal.

Evolución de las fronteras

La regulación juega un papel central en cómo evolucionará la privacidad y a qué velocidad se dibujarán sus nuevas fronteras. No obstante, el cambio que imprimen los avances tecnológicos pueden ir por delante de la misma. Por ejemplo, ¿Qué dirá de nuestros hábitos y costumbres todos los aparatos que tenemos en el hogar cuando estén conectados entre sí y con Internet?

Internet de las cosas tendrá un impacto muy importante tal y como lo han tenido la movilidad, los medios sociales o Big data. Pero, el verdadero impacto vendrá de la combinación de todas ellas, impacto que hoy sólo podemos imaginar.

Una llamada a la acción

Nuestra comprensión sobre cómo nuestra privacidad puede verse impactada por la era de innovación tecnológica actual debe madurar para permitirnos elegir que grado de privacidad queremos tener.

Las empresas, por su parte, deben tener una aproximación trasparente, dejando el control en manos del individuo, clarificando el valor capturado y aportado… Y donde su estrategia en torno a la privacidad no esté guiada exclusivamente por el cumplimiento normativo sino creando por diseño en sus servicios la capacidad de elección del individuo.

El concepto de privacidad ni puede ni debe desaparecer, solo evolucionar. Está en nuestras manos convertir esta evolución en un progreso del que todos nos beneficiemos.

Fernando Maldonado, Associate Research Analyst @ Delfos Research

La aritmética de la privacidad (I)

Durante los próximos años la privacidad va a ocupar un espacio central en el debate social. Los avances tecnológicos como Big Data o el Internet de las cosas están forzando una redefinición del concepto, toda vez que sus fronteras tradicionales se diluyen. ¿Es la privacidad la única barrera frente a unas empresas que aspiran a conocer todo sobre nosotros?

Recientemente en la cumbre de Davos se ha discutido sobre la necesidad de una redefinición del concepto de privacidad, llegando a declararse que la privacidad tal y como la conocemos ha muerto.

Las fronteras de la misma se diluyen a medida que las empresas capturan y analizan nuestro “rastro” digital. La capacidad de las empresas para conocer más sobre nuestra vida privada aumenta con el uso de algoritmos capaces de anticipar nuestro comportamiento o de conocer cosas que ni tan siquiera nosotros conocemos sobre nosotros mismos.

Pero ¿Saben los algoritmos cuáles son los límites de nuestra privacidad? Un dato aislado puede ser inocuo pero cuando se combina con otros la información que se obtiene puede resultar intrusiva.

Partiendo del principio de que los individuos debemos tener libertad de elección respecto al grado de privacidad que deseamos, las empresas pueden definir estrategias que permitan a todas las partes beneficiarse.

Para ello, el primer paso será identificar qué factores juegan un papel relevante en nuestra decisión, cómo se relacionan estos factores entre sí y cuál es su impacto global. A continuación las empresas podrán plantear distintas hipótesis y testarlas, eso sí, teniendo en cuenta que la formulación puede evolucionar a medida que la regulación y la tecnología avancen.

Descomponiendo la privacidad

Los factores relevantes que afectan a la privacidad van desde la propiedad de la información hasta el valor recibido como contrapartida por ceder, dar o donar – en adelante, ceder- información sobre nosotros mismos.

Cada uno de los siguientes aspectos inciden en nuestra propensión como individuos a ceder parte de nuestra privacidad:

  • Propiedad: ¿De quién son los datos? ¿Puedo recuperar los datos que tienen sobre mi y llevármelos? ¿Son portables?
  • Confianza: ¿Está bien custodiada la información? ¿Existen medidas de seguridad que eviten su robo?
  • Acceso: ¿Puedo acceder a la información que existe sobre mi?¿Y “auditar” el uso que se está haciendo?
  • Credibilidad: ¿Ha adquirido la empresa algún compromiso respecto a mi información? ¿Cumple sus promesas?¿Cuál es el historial de la empresa al respecto? .
  • Intimidad: ¿Son mis datos utilizados de forma agregada? ¿Cuál es la naturaleza de la información? ¿Y el grado sensibilidad de la misma? ¿Quién tiene acceso?
  • Trasparencia: ¿Están publicadas las políticas de privacidad? ¿Son comprensibles?¿Notifica la empresa los cambios que realiza?
  • Control: ¿Puedo borrar o modificar la información que tienen sobre mi?¿Puedo decidir qué datos se recogen y cuáles no?
  • Valor: ¿Cómo se va a beneficiar la empresa con mis datos? ¿Los va a vender o compartir con terceros? ¿Qué obtengo a cambio? ¿Cuál es el valor que aporta a la sociedad?

La lista no pretende ser exhaustiva pero si dar una idea de cual podría ser la “aritmética” de nuestra privacidad. Cada sector tendrá que considerar sus idiosincrasias, la naturaleza de la información que maneja, la tipología de clientes y las nuevas tecnologías que vayan apareciendo para encontrar su propia estrategia.

Fernando Maldonado, Associate Research Analyst @ Delfos Research