En las últimas semanas, compañías que operan en el continente europeo se apresuran para estar alineadas con el Reglamento General de Protección de Datos o GDPR por sus siglas en inglés. Hemos tenido ocasión de sentarnos con Apple para que nos contara su visión del GDPR, la privacidad de los usuarios de la compañía y qué medidas han tomado o modificado para cumplir el reglamento.
Un poco de historia: qué es el GDPR
El 25 de noviembre de 2009, el Parlamento Europeo dio el visto bueno a la creación de un régimen general de protección de datos de todos los estados miembros. Como consecuencia, se abrió un periodo de discusión con las diferentes partes interesadas acerca de la forma en que debía realizarse. Apple siguió de cerca el debate, pero no se involucró ni hizo ningún tipo de lobby al respecto.
En enero de 2012 comenzó su tramitación en el parlamento hasta que el 15 de diciembre de 2015 se alcanzó un acuerdo. El 24 de mayo de 2016 entró en vigor el GDPR de la Unión Europea, cuya aplicación comenzará el próximo 25 de mayo. Entre otras novedades, destacan las siguientes:
- La introducción del concepto de "privacidad por diseño" y "privacidad por defecto".
- La obligación de notificar a los afectados y a las autoridades de las brechas de seguridad que afecten a datos personales bajo determinados supuestos.
- El incremento de las sanciones, hasta un 4% de los ingresos totales de la compañía.
Como añadido, se define "dato personal" a cualquier información que identifique o permita identificar a una persona física. Nombre, apellidos, DNI, email o número de teléfono son algunos ejemplos de dato personal, pero también lo son los datos de ubicación o el uso que se hace de un servicio y que facilite la identificación de una persona concreta.
Todo esto se traduce en que cualquier empresa que tenga en su posesión o haga uso de datos de carácter personal está sujeta al Reglamento General de Protección de Datos y sus obligaciones a partir del 25 de mayo. Entre ellas, por supuesto, se encuentra Apple.
Apple y GDPR: un reglamento como anillo al dedo
Desde la compañía nos han transmitido que Apple está completamente alineada con el espíritu del GDPR. Debido al trabajo previo que ya realizan desde Cupertino, ven en este reglamento una evolución y no una revolución de las medidas que han estado llevando a cabo.
Tim Cook ha afirmado en varias ocasiones que la privacidad es un derecho humano fundamental, asegurando que su compañía no tiene necesidad de recoger datos de sus usuarios para "minarlos" y obtener un beneficio. Su modelo de negocio es la venta de productos y no la colocación de anuncios.
Es por esto que Apple puso en marcha antes de la entrada en vigor del GDPR su plan para proteger la privacidad de sus usuarios basándose en cuatro principios:
- Minimizar la recogida de datos: a Apple no le hacen tanta falta y maneja sólo los necesarios para proporcionar sus servicios (como Apple Music) y mejorarlos, siendo esto último opcional para el usuario. Para ello, utiliza técnicas de privacidad diferencial que imposibilita averiguar datos de un individuo cuando están agregados a un grupo.
- Procesado de datos dentro del dispositivo: la compañía recurre siempre que puede a la potencia de sus dispositivos para procesar datos. De esta manera, se minimiza la información que llega a la nube de Apple. Un ejemplo es la tecnología detrás del reconocimiento facial de Fotos, que utiliza la potencia del dispositivo sin mandar datos a la nube de Apple. Otro ejemplo son las sugerencias de apps por parte de Siri en la sección de widgets de iOS.
- Transparencia para el usuario: ser más específico y claro de cara al usuario para mostrar qué datos suyos se están utilizando. Aquí es donde Apple ha hecho un esfuerzo especial en los últimos meses mediante un equipo dedicado a su diseño, con la incorporación de nuevas funciones en tvOS 11.3, iOS 11.3 y macOS 10.13.4 que informan al usuario de cómo se utilizan sus datos.
- Seguridad: sin unas medidas potentes de seguridad, no habría privacidad. Con esto en mente, Apple cuenta con varias formas de preservar la seguridad de sus productos y servicios frente a intrusiones externas. Con el cifrado de extremo a extremo, Touch ID, Face ID, autenticación de doble factor y las medidas de bloqueo de iOS entre otros ejemplos.
Otro ejemplo de que Apple lleva tiempo trabajando de forma independiente pero en la línea con lo que acabó convirtiéndose en el GDPR se encuentra sus productos. Tanto el hardware como el software y servicios de la compañía abrazan el concepto de privacidad por diseño, como por ejemplo:
- No se guardan metadatos de iMessage ni FaceTime, cuyas comunicaciones son cifradas de extremo a extremo.
- La compañía no sabe qué, cuándo o dónde haces tus compras con Apple Pay.
- Servicios como Siri o Apple News crean un número identificador a cada dispositivo, pero no se asocia a un Apple ID específico para evitar la identificación de una persona concreta.
- Este identificador se refresca cada 15 minutos en el caso de Mapas, para evitar la asociación de lugares y rutas de un mismo usuario.
- Las huellas y rostros registrados por Touch ID y Face ID permanecen en el Secure Enclave de cada dispositivo y no se almacenan tal cual sino que permanece cifrada y sin acceso del sistema operativo.
Todas estas funciones ya estaban activas desde hace años. De modo que el GDPR viene a corroborar la labor de Apple en favor de la privacidad de sus usuarios.
Así son las herramientas para gestionar nuestros datos
Apple ha hecho especial hincapié en que han desarrollado gran parte de sus medidas de seguridad y privacidad con independencia del GDPR. Donde sí que se han producido más novedades directamente relacionadas con el reglamento es en el apartado de herramientas para la gestión de datos personales. Ya vimos hace unos meses cuáles eran esas herramientas así como la nueva web de privacidad de la compañía.
Y ahora contamos con más información acerca de su funcionamiento. Habrá un portal web al que acceder con nuestro Apple ID, donde tendremos estas cuatro herramientas:
1. Solicitar una copia de tus datos
Esta función ya existía solo que era necesario pedirla por email o mediante llamada telefónica. Ahora será mediante un proceso automático, pero requiere un tiempo para evitar que alguien ajeno los reciba en ese momento. Nos mostrará todos los servicios que utilicemos de la compañía, de los cuales podremos descargar una copia individual de sus datos.
Podemos limitar el tamaño de cada uno y al descargarlos obtendremos un archivo comprimido. Al abrirlo, veremos nuestros datos de manera ordenada y clasificada de forma visual para que su consulta sea más sencilla. Según la compañía, han dedicado un esfuerzo enorme en hacer que los datos sean inteligibles. La copia de los datos tiene una fecha de caducidad, para evitar que en el periodo que estén disponibles se produzca un acceso no autorizado.
2. Solicitar una corrección de tus datos
Una función bastante sencilla, donde podremos modificar o corregir los datos que tiene la compañía sobre nosotros. También estaba presente antes del GDPR pero ahora será más sencillo.
3. Desactivar tu cuenta
Esta es la novedad introducida por el GDPR. Se trata de un punto intermedio entre utilizar una cuenta o borrarla. Cuando se activa esta herramienta, Apple deja de utilizar tus datos y tú tampoco puedes utilizar sus servicios (Apple Music, FaceTime, iMessage, iCloud, etc.). Las suscripciones activas no se reembolsan y sólo se cancelan hasta que termine el periodo de facturación, mensual o anual dependiendo de cuál se ha elegido.
Por razones de seguridad, el proceso puede tardar un tiempo en completarse. Al desactivar la cuenta, el usuario recibe un código de reactivación. Deberá introducirlo para activar la cuenta de nuevo por lo que, si se pierde, no podrá activarse. Ni siquiera Apple puede recuperar el código, por razones de seguridad.
4. Borrar tu cuenta
Antes era necesario contactar con el soporte de Apple para borrarla. Ahora el proceso es automático y de nuevo tarda un tiempo en completarse. Esto es por seguridad y por si algún usuario se arrepiente en el último momento. Las suscripciones se cancelan y reembolsa la parte correspondiente.
Una vez completado el proceso, no hay vuelta atrás.
Cuándo comenzarán a funcionar estas herramientas
Aún no existe una fecha concreta para la disponibilidad pública de estas herramientas. Apple afirma que se activarán en los próximos días sin proporcionar un día específico. Aunque sí sabemos que la fecha límite para cumplir con el GDPR es el próximo 25 de mayo de 2018. De modo que las nuevas herramientas para gestionar nuestros datos de usuario deberían aparecer en breve.
De momento, Apple habilitará todas ellas para los usuarios con una cuenta europea. El resto de usuarios tendrán también acceso a algunas de ellas también desde ese momento ya que el plan de Apple es abrirlas a todos en el futuro. En cuanto estén disponibles, analizaremos el funcionamiento detallado en Applesfera.
En Applesfera | "Privacidad es que la gente sepa a qué se está apuntando", así definía Steve Jobs el problema en 2010.
Imagen | Aaron Yoo.
Ver 3 comentarios