El afán obsesivo por los datos personales

DataMin.jpgMucho se ha mejorado en el desarrollo de la interacciones entre el Estado y los ciudadanos a través de la web, pero algo que me llama mucho la atención,  por que los servicios públicos, ojo esto también ocurre con los privados, tienen más apetito del necesario por obtener datos de los ciudadanos y en el caso de los privados de sus clientes.

Hace unos días y producto de un reclamo que hice en la página del Transantiago, esto lo hago frecuentemente por un bus que circulaba a exceso de velocidad, no había reparado anteriormente en  la cantidad de información que requieren, todos campos obligatorios para procesar mi reclamo.

 

1298513385095-reclamo_transantiago.png

 

Pensé que esto era una práctica sólo de ese servicio, me puse a navegar algunos portales del estado (servicios públicos, superintendencias y otros) y la verdad es que es una práctica común encontrar extensos formularios web solicitando toda clase de datos demográficos como: sexo, edad, nacionalidad, ocupación, comuna. Vean el siguiente ejemplo de SERNAC.

 

reclamo_sernatur.png

 

En los casos mostrados se  requiere que se completen varios campos asociados a dirección (dirección, fono, email), no bastará con el email?

De allí surgen algunas preguntas:

  • ¿qué harán con todos esos datos?
  • ¿es necesario toda esa data par procesar una sugerencia o reclamo?
  • ¿Los datos entregados pueden ser transferidos a terceros para otros fines?
  • ¿Una vez que se utilizan son eliminados?

 

En muchos países se ha optado por el concepto de Data Minimization,  una práctica para reducir la cantidad de datos personales que un determinado servicio requiere para realizar una transacción y además en caso que algunos datos se vayan a utilizar para propósitos diferentes del servicios declararlo explícitamente.

In the design of its policies and systems for collecting data, the Government should adopt a principle of data minimisation: it should collect only what is essential, to be stored only for as long as is necessary. (Dilemmas of Privacy and Technology Enabled Surveillance, University Vienna, 2008)

Los servicios centrados en el ciudadano tienen este elemento en consideración,  pedir la menor cantidad de datos, con el objeto de reducir la gestión de los mismos y en caso de ser necesario, se utilizan para la transacción específica y luego eliminan.


Al menos en las políticas de esos portales debieran comunicar el uso futuro de esos datos y responder las preguntas señaladas.  Por otra parte deben permitir la generación de un reclamo con la información mínima para procesarlo y punto, el resto es música.

 

Imagen del sitio: http://www.elitedoctechnology.com/DataMin.html

Comparte este artículo en

14 comentarios

  1. Estimado Alejandro, entiendo que los datos son utiles para generar estadísticas y conocer al universo de clientes. No obstante, encuentro que es de utilidad a medias ya que el sitio puede estar conversando con la pequeña lulu, dark vader u otra existencia que no tiene relación con el mundo real.

  2. Alejandro como siempre das en la tecla. La semana pasada tuve
    una “amable” discusión con un cliente estatal (municipal), de la que luego de
    varios minutos logre convencer de que para recibir reclamos vía web, solo
    bastaba con solicitar el nombre y un correo electrónico (validado por supuesto
    – cosa fácil con un envío de feedback), ya que un correo es hoy en día el DNI o
    Cedula de Identidad de una persona (se llame dark vader, el tren thomas o
    marcos malamud). SOLO en los casos que el ciudadano no lo posea (muchas veces
    usan correos “prestados” de un amigo o familiar) se le solicitaría un teléfono o
    celular.

    Creo que como el estado ya posee nuestros datos personales (o
    debería ¡!), bastaría simplemente con identificarnos de esta forma (o a mediano
    plazo con un E-LOGIN) y dedicarse ellos a gestionar eficientemente nuestro
    pedido y resolverlo en tiempo y forma.

    Me parece interesante el tema de borrar los datos después de
    resolver el problema, aunque da para discutirlo, porque se me ocurren algunas
    razones validas para mantenerlas en el tiempo.

    Saludos

    Marcos

  3. Gracias!; interesa el tema, pero no comparto el enfoque. El mundo público está totalmente restringido por ene normas expresas, generales y particulares, y no genera los abusos increibles que se conocen del sector privado…

    Una norma particular a manera de ejemplo: en el marco de una norma técnica y reglamentaria, mínima y obligatoria o recomendada (son de ambas naturalezas las propuestas),  para el desarrollo y la operatoria de los sitios WEB del Estado, esto es, el Decreto Supremo Nº100  del 22 de Junio y publicado el 12 de Agosto del año 2006, se incluyó un artículo 9º que establece que todos los órganos de la administración del Estado deberán adoptar, mantener y declarar una política de privacidad en su respectivo sitio WEB. Ella deberá encontrarse accesible en el sitio WEB y contener una serie de menciones mínimas que se establecen.

    rjl

  4. Se agardece comentario Renato, no es primera vez que tenemos miradas diferentes, un par de aclaraciones

    1) No veo a que viene el tema de los privados si mi análisis era del sector público, efectivamente como dices hay abuso enormes en dicho sector y por ello se está trabajando un mejor marco legal, pero eso no invalida el análisis del sector público.

     

    2) No veo por que tengo que entregar mi edad y sexo para que mi reclamo por el servicio del Transantiago sea procesado, eso va en contra de todas las tendencias de data minimization en el mundo.

    Saludos

    reanto, —————–

    Alejandro Barros

  5. ..se comparte que las peticiones de datos son excesivas, y no se si será tan cierto aquello de que es para evitar suplantaciones y denuncias anónimas…; donde sugiero cambiar la perspectiva, es en la segunda y tercera de las
    preguntas, porque hay ene normas en la ley de
    bases (responsabilidad), en las leyes propias, en la ley 19.223 en el artículo 20 de la ley 19.628 y en el ds 100, que si un servicio público o un funcionario operan fuera de su competencia o no para fines de servicio público al tratar datos de los ciudadanos, las sanciones administrativas, penales y civiles posibles son
    enormes…

    Saludos. rjl

  6. Si bien comparto el juicio de Renato, creo que el que tengan que establecer políticas de privacidad no es una carga excesiva para el organismo público sino muy por el contrario.

    No contar con ellas no solo es ir en contra de lo establecido en el decreto 100 sino, de pasadita, establecer obstáculos para ejercer legítimos derechos por vía electrónica (como sugiere Alejandro en su artículo), como asimismo -esta vez desde la óptica de la privacidad- estar sumidos en la completa ignorancia respecto del tratamiento de sus datos personales por parte de terceros.

  7. Estimado Alejandro, como siempre, bueno leerte.  

    Quierp decirte que hay varios puntos importantes en lo que planteas.  Mi experiencia en servicio público dice además que la usabilidad del dato, independiente de los desarrollos tecnológicos con los que hoy se cuenta tiende a ser decreciente en la medida que se escala hacia arriba en la organización.  Es decir, cuando cada punto de contacto tiene un «formulario» que guarda datos muchas veces no está integrado al resto de los sistemas, por lo que el real desarrollo de información estadística es bajo.  Sin embargo quiero destacar el ejemplo que buscamos con el Sistema de Alerta Temprana en Peñalolén, en el cual se requiere la integración de información que ronda a una familia y su grupo familiar y quipen es cada uno de ellos pero sobre todo las interacciones con los servicios que de alguna forma dirán en que condiciones de entorno está un alumno que deserta del colegio, y que atención integral se puede dar.

     

    En resumen, se podrían hacer muchas cosas, hoy se logra hacer pocas por ua serie de limitaciones que quizás sería un buen análisis para la segunda parte de tu columna :-), y tercero, rescatando un concepto que tu nos enrtegaste en alguna reunión.  Quizás es la hora de abrir los datos (open gov) para que otros nos ayuden a imaginar el cómo rentabilizar el tiempo que cada uno de los que, como ciudadanos llenamos esos infinitos,  formularios, para mejores políticas públicas, mas asertivas, con mayor seguimiento, y menos ensayo error. 

    Luego de leer tu colmna, sólo me queda por decir:  HAy TANTO POR HACER AMIGO MIO!

  8. Trabajo en el sector privado, pero en un area que requiere una fuerte interaccion con el sector publico. Me toco hace poco enfrentar una situación que me pareció abusiva por parte de un organismo publico, que nos solicitaban demasiada información para poder brindar un beneficio, el problema es que no solo querian información de los posibles beneficiados, sino que de casi todos los ciudadanos, con informacion bien sensible, amparados en una interpretación antojadiza de una ley.

    El punto es que hay empresas privadas que son sometidas a rigurosas auditorias TI donde el manejo de los datos privados es un aspecto esencial que debe ser resguardado en las practicas de seguridad TI, en ese sector hay controles, pero que controles hay en el sector publico? donde estan los equivalentes a los informes SAS70 del sector publico?

    http://www.lnds.net/blog/2011/02/sobre-la-proteccion-de-nuestros-datos-personales.html

     

  9. Gracias Eduardo por el post, te contesté en tu sitio

    Saludos

     

     

  10. Dices que ¿»hay empresas privadas que son sometidas a rigurosas auditorias TI»? que bueno saberlo. ¿Y en qué consisten?, porque los mayores casos de venta de datos privados para fines no autorizados están precisamente ahí… Basta recordar farmacias, retail y bancos, siendo estos últimos los que más piden y menos transparentes son en su uso, como hemos visto en reciente fallo judicial en su contra.

    ¿No será que las auditorias TI van por otro lado (capacidad, usabilidad, interacción) y no precisamente por la protección de los derechos de terceros?

  11. Milly, efectivamente muchas filtraciones de datos se dan en empresas privadas, el caso de las farmacias es de los más conocidos. Pero eso no contradice mi afirmación.

    La ley exige un control sobre los datos privados, ahora nuestra ley no es muy buena en este sentido.

    Las empresas que cotizan en bolsas internacionales deben certificar que cumplen la ley en lo referente a la protección de datos privados, o simplemente dejan de hacer negocios en el extranjero, es por esto que son sometidas a rigurosas auditorías TI, que incluyen el manejo seguro de datos y de datos de terceros.

    Eso debería hacerse extensivo a todas las empresas que cotizan en la bolsa chilena, al menos, y también en el sector público ¿no crees?.

     

  12. Estimado Alejandro, en mi experiencia, que estuve un tiempo a cargo del Departamento de Transparencia de la Municipalidad de Las Condes, observé qué son las propias Municipalidades las que, a través de sus múltiples prestaciones de servicios a la comunidad, generan bases de datos, de personas naturales y jurídicas, muy atractivas para varios rubros del el sector privado.

    En relación a la aparente contradicción entre las disposiciones de la ley Nº20.285, de acceso a la información pública (transparencia), y la ley 19.628, qué regula regula el trato de los datos de carácter personal, en registros o bancos de datos, por organismos públicos o privados, creo importante tener en cuenta las siguientes consideraciones:

    Como primera cosa, los organismos de la Administración del Estado sujetos a la ley de transparencia, corresponden únicamente a los señalados en el artículo 2 del mismo cuerpo legal, y no otras instituciones aún cuando estas sean prestadoras de servicios públicos, como son algunas concesionarias, entre otros.

    En cuanto a la información que se entiende pública, el artículo 10 de la aludida ley de transparencia, dispone que «el acceso a la información comprende el derecho de acceder a las informaciones contenidas en actos, resoluciones, actas, expedientes, contratos y acuerdos, así como A TODA INFORMACIÓN ELABORADA CON PRESUPUESTO PÚBLICO, cualquiera sea el formato o soporte en que se contenga, salvo las excepciones legales». En este sentido, sólo procede la entrega de la información existente y que haya sido elaborada con presupuesto fiscal, y no aplica la sistematización o tratamiento de la misma. En cuanto a la excepciones legales, una causal en particular dice relación con que la entrega de la información afecte la vida privada de las personas.

    Por su parte, la ley de protección de datos personales es concordante con la ley de transparencia, en el sentido de que instruye a los organismos públicos sujetos a la ley de Transparencia, la censura de la información sensible, tanto en la información publicada en transparencia activa, como la entrega de información por la vía del derecho de acceso a la información (transparencia pasiva).

    En relación a los datos personales (no sensibles) que naturalmente son publicados por las entidades públicas en los sitios de transparencia activa, la ley de protección de datos otorga a los titulares de esa información los denominados derechos ARCO (acceso, rectificación, cancelación y oposición).

    En todo caso esta última ley regula el tratamiento que se le da a la información personal tanto el sector público como el sector privado, sin embargo .la actualidad y no se establece claramente la oportunidad y ni la forma en que se hace efectivo el cumplimiento del espíritu de esta ley.

    Como dijo en su última clase, ya veremos que nos depara el futuro en esta materia, a propósito de la nueva constitución que prontamente se votará.

  13. Muchas gracias Mario por tu comentario, muy buenos todos los puntos y alcances que haces. Mi punto en este post fue levantar esa como obsesión por capturar la mayor cantidad de información que NO es relevante para el propósito del trámite que estoy realizando, lo cual además va en contra de las buenas prácticas en materias de información personal.

    Saludos

    Alejandro

  14. Estimado Alejandro, concuerdo absoluta y plenamente con la cuestión planteada, lo que expones es precisamente esa problemática que no ha podido ser abordada por la normativa actual.

    Muchos saludos.

Deja un comentario:

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Blog eL ABC de Alejandro Barros

Suscríbete a newsletter

En este espacio reflexiono sobre Modernización del Estado, Innovación Pública, Desarrollo Digital, tecnologías de información y otras yerbas.