Una buena manera de mitigar el riesgo para los usuarios es no conservar datos sensibles sobre ellos que no necesites y que afecten su privacidad. Existen una cantidad sorprendente de formas de hacerlo sin dejar de cumplir con tus objetivos comerciales, y vale la pena considerar cada una. Puedes hacer lo siguiente:
- Explica para qué necesitas los datos.
- Recopilar datos con un nivel de detalle más bajo.
- Quitar los datos una vez que se usen
- No la recopiles en primer lugar.
Cada uno de estos enfoques puede ayudar a los usuarios a sentirse más cómodos con lo que estás haciendo y por qué, y esto contribuye en gran medida. a tu relación con ellos. La transparencia genera confianza y, lo que es más importante, puede ser un argumento de venta único para ti. Muchas personas se supone que los usuarios y los clientes confían en ellos de forma predeterminada, pero los consumidores evalúan los productos y servicios constantemente, y esto puede no será así. Si estableces una relación con tus usuarios en la que confíen en ti para que manejes sus datos y tus interacciones con respeto, puede brindarte una ventaja competitiva como proyecto o empresa: es algo que tus rivales pueden no igualar, un diferenciador genuino.
Analicemos los enfoques anteriores, ordenados desde el más efectivo (pero también el más significativo en su empresa) hasta el menos efectivo pero menos disruptivos para implementar.
No recopilarlos en primer lugar
La forma más obvia de evitar comprometer los datos de tus usuarios es no recopilarlos. La recopilación de algunos datos es necesaria para proporcionar servicios, pero hay más lugares en los que puedes evitarla de lo que crees. Por ejemplo, considera la opción de comprar como invitado. Cuando los usuarios quieran comprar algo con tu app web, puedes solicitarles que se registren para obtener una cuenta, ya que así obtendrás detalles personales para la entrega posterior: se pueden agregar a la lista de distribución, ya están precalificados como clientes interesados, etcétera. Sin embargo, los clientes lo reconocen y no les gusta: en 2021, un estudio descubrió que una de cada cuatro ventas abandonadas se debía a que el sitio exigía que el usuario creara una cuenta. Si no requieres una cuenta, es más probable que conserves a esos clientes. Permitir que los usuarios completen una compra sin registrarse les brinda mejores opciones y también significa que no tienes tantos datos de los usuarios que proteger y resguardar.
"Desensibiliza" tus datos
Por supuesto, es posible que no sea una opción evitar recopilar datos. Es importante recopilar datos para proporcionar servicios y tomar decisiones empresariales sensatas. También puede ser útil crear comunicaciones de marketing en el contexto de una relación de confianza. Sin embargo, también es importante tener en cuenta que las decisiones que se toman en conjunto (es decir, que afectan a muchos usuarios a la vez) se toman datos agregados (es decir, sobre propiedades colectivas de los datos).
Por ejemplo, a veces es útil conocer los datos demográficos de tu público: en qué rango de edad se encuentran, ubicación, etcétera. Esto puede cambiar su mensaje o enfoque. Sin embargo, esto no significa que debas recopilar la edad exacta de cada usuario de tu servicio. Con frecuencia, se buscan tendencias y propiedades generales. Si la decisión que deseas tomar se ve afectada por si la mayoría de tu público pertenece al "grupo demográfico clave de 18 a 34 años", la única pregunta que debes hacerte es si tus usuarios pertenecen a ese grupo demográfico. Esto los recopila en dos "buckets": en ese grupo y no en ese grupo. Puede haber situaciones en las que necesites datos más detallados, pero es completamente razonable tomar la lista de datos demográficos que usas para tomar decisiones y pedirles a los usuarios que se clasifiquen con esa lista.
Ejemplo
Por lo tanto, si te resulta útil saber cómo se divide tu base de usuarios entre las categorías de edad "18-34", "35-49", "49-64" y "65 o más", puedes pedirles a tus usuarios que elijan a qué categoría pertenecen. Es tentador solicitar datos muy detallados, personales y personalizados y, luego, clasificar a tus usuarios por tu cuenta, ya que esto evita que debas volver a hacer la misma pregunta con más detalle más adelante. Por ejemplo, solicitar una edad y una fecha de nacimiento exactas y, luego, usar esta información para crear tus propias listas de cuántos usuarios se encuentran en la categoría "35-49". Sin embargo, es importante comprender cómo se ve esto: como el curso ya lo analizó y volverá a hacerlo, solicitar niveles detallados de datos puede incomodar a las personas y, por lo tanto, reduce la confianza de los usuarios en tu organización y, al mismo tiempo, aumenta el riesgo.
También es importante considerar tus necesidades de datos. A veces, la «necesidad» de datos más detallados es especulativa, es decir, un requisito de seguridad. Tal vez solo necesitemos clasificar a los usuarios en esos cuatro grupos de edad en este momento, pero en el futuro podríamos querer reducir esa cantidad, por lo que deberíamos recopilar datos muy detallados ahora para mantener esa opción abierta para más adelante. Puede ser útil considerar con qué frecuencia se utilizaron los datos más detallados en el pasado para guiar las decisiones. Pedir datos que se percibidos como invasivos en relación con el servicio ofrecido, necesariamente, provoca una reducción en la confianza de los usuarios en los para que se adapten a las necesidades de tu organización. Si esos datos se recopilan "por si acaso", entonces es posible que no solo esté negando la confianza del usuario por decisiones comerciales mejoradas, pero cambiarlas solo por la posibilidad de alguna decisión teórica futura que pueda ni siquiera existen, a la vez que asume requisitos de seguridad para esa información.
También existen formas algorítmicas más detalladas para reducir el nivel de detalle de los datos recopilados. Métodos de respuesta aleatorios significan que los datos se recopilan con un grado ajustable de inexactitud y estos se han utilizado durante décadas en el mundo social cuando se recopilan datos potencialmente invasivos o sensibles mientras se mantiene la confidencialidad de quien responde. El método anterior de recopilación de datos implica ampliar las respuestas del usuario (por lo que "¿Cuántos años tienes?" se convierte en "¿En cuál de los siguientes grupos etarios te encuentras?"), en el que la respuesta aleatoria implica que una cierta proporción de usuarios mienta sobre sus respuestas. Si se conoce la proporción de usuarios que responden de forma incorrecta, aún se pueden sacar conclusiones significativas de los datos recopilados, pero la privacidad del usuario individual no se ve comprometida porque los datos recopilados pueden ser incorrectos. En este caso, si el 80% de tu público sigue afirmando que pertenece al grupo demográfico de 18 a 34 años, puedes estar relativamente seguro de que esta sigue siendo la parte más grande, incluso si el 10% de ellos responde de forma incorrecta de forma deliberada. El grado de incorrección también se puede alterar de forma programática, en la que siempre se solicitan respuestas correctas, pero el software altera un porcentaje determinado de respuestas antes de transmitirlas. Este proceso y sus consecuencias también se pueden explicar a los usuarios cuando se recopilan los datos, lo que significa que los usuarios no tienen que confiar en que no abusarás de los datos recopilados, ya que los datos individuales no son confiables.
Un proceso similar, pero más técnico, es el de la privacidad diferencial. Para ello, se usan técnicas matemáticas que alteran el almacenamiento de datos de modo que las propiedades agregadas de los datos sigan presentes, pero no es posible saber si una persona en particular proporcionó datos o cuáles proporcionó. Al igual que la respuesta aleatoria, esto protege la seguridad de los usuarios datos, incluso de ti, y demuestra una clara intención de tu parte: no puedes usar las claves si no los tienes.
Estos enfoques y otros similares también aumentan la seguridad contra las violaciones de la seguridad y las filtraciones de datos, ya que los datos recopilados reduce los riesgos para la privacidad del usuario, incluso para ti, y también disminuye el nivel de compromiso si se filtran los datos. Sin embargo, recuerda que si aplicas técnicas de privacidad diferencial en el servidor (de manera que tus usuarios te envíen datos no agregados y, luego, usas las técnicas para agregarlos), debes proteger esos datos sin procesar del usuario y y, luego, borrarlo después del procesamiento, y debe tener y seguir políticas claras para confirmar que no la agregación (o tienes claro para qué la usas).
Retención: Recopila datos y, luego, quítalos una vez que se usen.
Es útil recordar que los datos recopilados tienen un ciclo de vida: se recopilan, se usan para ayudarte a tomar decisiones empresariales y, luego, en algún momento, se deben quitar. Una vez más, se trata de compensaciones: cuando les haces preguntas a los usuarios, almacenas información sobre otros sitios web que visitaron o realizas un seguimiento de los elementos que vieron y durante cuánto tiempo para hacer predicciones sobre sus preferencias, estos son los datos que se te otorgan con un propósito específico, no como una concesión abierta para que el desarrollador la use como mejor le parezca. Cuando esos datos ya no sean necesarios para ese fin (a veces después de un minuto, a veces después de muchos años), se deben borrar.
Siempre que recopiles información sobre tus usuarios, debes saber para qué utilizarás esos datos (consulta a continuación). y también saber cuándo y por qué dejarás de almacenar esos datos. Esto puede ocurrir cuando el usuario elige borrarlo, cuando cierra la sesión, después de un período específico o después de que se produce un evento específico. Una excelente manera de generar confianza en la relación es explicarles a los usuarios de forma clara cómo pueden controlar los datos sobre ellos, incluida, siempre que sea posible, una inhabilitación unilateral. ¿Cómo borran sus datos? ¿Cómo borra su cuenta? Además de ayudar a construir esa relación, lo mejor y recuerda almacenar los datos el tiempo necesario para procesarlos, no por más tiempo, y que debería haber una forma de que tus usuarios ver y quitar los datos que recopilas de ellos o en su nombre. Incluso es posible que haya legislación sobre este punto en los territorios en los que opera.
Esta es un área en la que puedes definir objetivos técnicos claros, lo que ayuda a los usuarios con el autoservicio. si tus usuarios pueden inhabilitar en su almacén de datos sin tener que pedir permiso, entonces se sentirán más cómodos con la habilitación. tomar cualquier recurso de apoyo para hacerlo.
Es importante reconocer la importancia de las inhabilitaciones fáciles y predeterminadas: "Para generar confianza y reconocimiento, las empresas pueden comenzar por aceptar un contrato social en el que se comprometan a respetar a su público en cada punto de contacto, escuchar sus necesidades y responder según corresponda", afirma la IAPP. El Nielsen Norman Group afirma que los usuarios "necesitan una "salida de emergencia" claramente marcada para abandonar la acción no deseada sin tener que pasar por un proceso extendido". Todos saben que es más fácil suscribirse que anular la suscripción. Pero, como dice Nielsen Norman, darles a los usuarios la posibilidad de alejarse sin tener que saltear entre los puntos, “fomenta una sensación de libertad y confianza”. Los estudios académicos respaldan esto y lo llaman el “principio de revocabilidad”, y afirman: “La interfaz debe permitir que el usuario revoque fácilmente las autoridades que otorgó siempre que sea posible la revocación. Los usuarios deben poder revocar ese consentimiento y, por lo tanto, reducir las autoridades que pueden acceder a sus recursos si es posible". (consulta Yee y Iacono para ver ejemplos).
La cantidad de tiempo que se deben retener los datos y cuáles se deben retener es un tema que difiere mucho entre las organizaciones y los proyectos, pero hay algunos lineamientos comunes que se deben tener en cuenta.
Qué debes hacer
Es útil permitir que los usuarios borren cuentas (y cualquier dato asociado, siempre que sea posible) y borren periódicamente (por ejemplo, al salir) los datos efímeros y almacenados de forma local con el encabezado Clear-Site-Data.
Proporciona un encabezado Clear-Site-Data para quitar algunos o todos los datos del usuario almacenados del lado del cliente (ya sea en cookies,
localStorage o IndexedDB, o en la caché del navegador), cuando sea razonable. El caso de uso obvio de Clear-Site-Data es cuando un usuario cierra la sesión, pero también se puede usar después de incidentes de seguridad para garantizar que una cuenta potencialmente comprometida no tenga rastros residuales de datos comprometidos almacenados en el cliente.
Para agregar compatibilidad con Clear-Site-Data, debes enviar un encabezado HTTP, Clear-Site-Data, cuando el usuario salga (o en otros momentos cuando desees borrar el almacenamiento del cliente), en la página que confirma el estado de salida (https://your-site/logout o similar). Este encabezado puede tener algunos o todos los siguientes valores, o "*" para todos:
Clear-Site-Data: "cache", "cookies", "storage"
Estos valores borran, respectivamente, las páginas almacenadas en caché (y otros recursos almacenados en caché de HTTP), las cookies almacenadas, localStorage, IndexedDB y otros elementos similares.
Es posible que veas referencias a otra opción, executionContexts, pero muchos navegadores no la admiten.
Ten en cuenta que es probable que el encabezado Clear-Site-Data sea más fácil que borrar por tu cuenta todos los recursos creados de forma individual, ya que no requiere que el código JavaScript
se ejecuta en el cliente (y es la única forma oficial de borrar la caché del navegador), pero no es compatible con todos los navegadores.
Nota de uso: Si borras la caché (enviando Clear-Site-Data: cache), el encabezado Clear-Site-Data no se debe enviar en la página de salida real, sino en algún otro recurso que cargue la página. Esto se debe a que, en una computadora más lenta,
Si la caché es grande, la página se bloqueará mientras la borra, lo que impide la navegación. Esto puede tardar minutos, lo que frustrará al usuario. Es poco probable que suceda, pero es difícil ponerlas a prueba, por lo que se recomienda tener esto en cuenta.
Explica para qué necesitas los datos
La importancia de la confianza en la relación de los usuarios con tu servicio se ha mencionado varias veces, ya que aumenta la longevidad de los usuarios. También proporciona una ventaja competitiva. Una forma de aumentar ese nivel de confianza es con la transparencia en tus procesos, y una buena manera de ser transparente es explicar para qué quieres los datos. Antes aprendiste que, por cada elemento recopilado, debes saber cuándo se borrará. Para saber eso, necesitas saber por qué quieres estos datos, qué preguntas específicas los necesitan para encontrar respuestas y qué decisiones se orientarán al recopilarlos. Una vez que sepas por qué necesitas los datos que le pediste a tu usuario se rinda, explícalo a esos usuarios para generar confianza. En tu política de privacidad o cuando hagas preguntas sobre la cuenta de la creación, describe por qué necesitas la respuesta a esta pregunta en particular, qué harás con esos datos y cuándo y cómo pueden quitarse.
Estas explicaciones son mucho más visibles cuando se presentan intercaladas. Ocultar las explicaciones en un documento de políticas denso en otro lugar del sitio web. puede parecer un intento de ocultarlos. Un formulario de registro, confirmación de la compra o solicitud puede presentar los motivos para recopilar datos junto con la recopilación en sí. A menudo, un campo de formulario puede tener un asterisco (*) para indicar que es obligatorio. Los formularios complicados suelen tener un vínculo de información (i) para explicar qué significa el campo. Considera agregar a estas explicaciones una descripción de por qué se recopilan los datos. Una frase que se usa con frecuencia para esto es "¿Por qué necesitamos esto?" junto a un campo de formulario que, cuando se hace clic, muestra una explicación emergente.
Algunos ejemplos de HTML podrían verse de la siguiente manera, y CSS y JavaScript se encargarían de ocultar el <aside> y mostrarlo como una ventana emergente cuando
se hace clic en el vínculo. (Asegúrate de confirmar la accesibilidad del formulario que crees para tu sitio).
La forma exacta de diseñar esto depende de tus estilos y enfoques, pero el punto principal aquí es asociar directamente la recopilación de datos con
una explicación de por qué se recopilan esos datos. Esto no es necesario en todos los campos. Nadie necesita una explicación de por qué le exiges
elige una contraseña durante el registro. Pero decorar cada solicitud de información personal y de contacto con la forma en que planeas usarla y conservarla puede ayudar.
deja en claro a los usuarios
que estás comprometido a proteger sus datos.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Pasar por este proceso con toda la información que recopilas sobre un usuario también puede ayudar con los procesos y debates internos. Anteriormente, viste cómo puede haber una tentación de recopilar datos “por si acaso”. Cuando eres transparente sobre los motivos para recopilarlos, puede ser bastante obvio que esto está sucediendo. Si no quieres escribir en público lo que quieres con los datos de los usuarios porque no les gustará la explicación, esto puede ser una señal de que vale la pena repensar la recopilación que la modifica. Esto se aplica si la explicación desagradable es demasiado invasiva ("usaremos esto para hacer un seguimiento de los lugares que visitas por hora"), demasiado amplia ("aún no sabemos para qué usaremos esto, pero queremos tenerla en caso de que se nos ocurra algo") o demasiado evasiva ("usaremos esto para fines internos no divulgados"). Esto no es solo una cuestión de moralidad. Las personas son lo suficientemente inteligentes como para reconocer esto, como ya se describió, y los usuarios esperan que experimentar con algo no sea el comienzo de un compromiso a largo plazo. Un espacio habitual en el diseño de la experiencia del usuario es hacer que el registro sea lo más sencillo y sin inconvenientes posible, ya que, en las primeras etapas, el usuario (por definición) no está muy comprometido con su servicio. Por eso, es importante permitir que se involucren más fácilmente cuando tienen poca tendencia a hacerlo. Si es tan fácil volver a salir, entonces experimentar con el servicio se convierte exactamente en experimentación y no en el comienzo involuntario de un compromiso forzado a largo plazo. Como antes, es paradójico, pero cierto, que la mejor manera de generar confianza es no exigirles a los usuarios que confíen en ti si no quieren hacerlo.
Las personas tienen buenas razones para no compartir datos o para compartir datos mínimos. Al principio de tu relación con ellos, quizás no tenga una razón para confiar en ti y no debería tener que hacerlo. Tu objetivo es demostrar por qué deberían hacerlo.
Qué debes hacer
- Decide por todos los datos que planeas recopilar por qué los quieres y durante cuánto tiempo los conservarás.
- Cuando solicites esos datos, explícales a los usuarios por qué los recopilas.
- Bórralo de las bases de datos de tu servidor después de usarlo.
- Permite que los usuarios borren las cuentas que hayan creado y que los datos almacenados se borren de su almacenamiento con el encabezado
Clear-Site-Data.
Por qué
Establecer una relación con tus usuarios se basa en la confianza, y la confianza se basa en la apertura. Si puedes demostrar que no solo recopilas la mayor cantidad posible de datos sobre tus usuarios y ocultas los usos que les das, eso ayudará a generar confianza, lo que puede ser una ventaja competitiva para ti frente a rivales menos escrupulosos.