Una buena manera de mitigar el riesgo para los usuarios es no retener datos sensibles sobre ellos que no necesitas que afecten su privacidad. Existen muchas maneras de hacerlo sin dejar de cumplir tus objetivos comerciales, y vale la pena considerarlas todas. Puedes hacer lo siguiente:
- Explica para qué necesitas los datos.
- Recopilar datos con un nivel de detalle menor.
- Quita los datos que se usaron.
- No la recopiles.
Cada uno de estos enfoques puede ayudar a que los usuarios se sientan más cómodos con lo que haces y por qué, lo que contribuye en gran medida a tu relación con ellos. La transparencia genera confianza y, lo que es más importante, la confianza puede ser un argumento de venta único. Muchas personas suponen que los usuarios y los clientes confían en ellos de forma predeterminada, pero los consumidores evalúan constantemente los productos y servicios, y es posible que este no sea el caso. Si desarrollas una relación con tus usuarios en la que confían en que manejarás sus datos y tus interacciones con respeto, puedes obtener una ventaja competitiva como proyecto o empresa: es algo que tus rivales tal vez no coincidan, es un diferenciador genuino.
Analicemos los enfoques anteriores en orden de mayor eficacia (pero también el mayor impacto en tu empresa) a menos eficaces pero menos perjudiciales para la implementación.
No lo recojas para empezar.
La forma más obvia de evitar que los datos de tus usuarios se vean comprometidos es no recopilarlos. Parte de la recopilación de datos es necesaria para proporcionar servicios, pero hay más lugares de los que crees que puedes evitar la recopilación de datos. Por ejemplo, considere comprar como invitado. Cuando los usuarios llegan a comprar algo con tu app web, es posible que se les solicite que se registren para obtener una cuenta, ya que recopilaste detalles personales para su entrega posterior: se pueden agregar a la lista de distribución, ya están precalificados como clientes interesados, y así sucesivamente. Sin embargo, los clientes lo reconocen y no les gusta: en un estudio en 2021, se descubrió que una de cada cuatro ventas abandonadas se debió a que el sitio le exigía al usuario crear una cuenta. Si no necesitas una cuenta, tienes más probabilidades de conservar a esos clientes. Permitir que completen una compra sin registrarse les brinda a los usuarios mejores opciones y, además, significa que no tienes tantos datos que proteger y proteger.
Aplica fuzzing a tus datos
Por supuesto, evitar la recopilación de datos podría no ser una opción. Es importante recopilar datos para proporcionar servicios y tomar decisiones comerciales sensatos. También puede ser útil crear comunicaciones de marketing en el contexto de una relación de confianza. Sin embargo, también es importante tener en cuenta que las decisiones que se toman en conjunto (es decir, que afectan a muchos usuarios a la vez) se toman sobre los datos en conjunto (es decir, sobre las propiedades colectivas de los datos).
Por ejemplo, a veces es útil tener una idea de los datos demográficos de tu público: en qué grupos etarios corresponden, ubicación, etcétera. Esto puede cambiar tus mensajes o tu enfoque. Sin embargo, esto no significa que debas recopilar la edad exacta de cada usuario del servicio. Lo que sueles buscar son tendencias y propiedades generales. Si la decisión a la que quieres llegar se ve afectada por si la mayor parte de tu público pertenece al "grupo demográfico clave de 18 a 34 años", la única pregunta que realmente debes hacer es si tus usuarios están en ese segmento demográfico. Esto los agrupa en dos “buckets”: en ese grupo y no en ese. Puede haber situaciones en las que necesites datos más detallados, pero es completamente razonable tomar la lista de datos demográficos que utilizas para tomar decisiones y pedir a tus usuarios que se clasifiquen con esa lista.
Ejemplo
Por lo tanto, si resulta útil saber cómo se divide tu base de usuarios entre las categorías de edad "18-34", "35-49", "49-64" y "65+", puedes pedirles a los usuarios que elijan en cuál de esas categorías. Resulta tentador solicitar datos personales y personalizados extremadamente detallados, y, luego, clasificar a los usuarios tú mismo, ya que evita tener que volver a hacer la misma pregunta con más detalle más adelante; por ejemplo, solicitar una edad y fecha de nacimiento exactas y, luego, usar esta información para crear tus propias listas de cuántos usuarios se encuentran en la categoría "35-49". Pero es importante saber cómo se ve esto: como ya se trató y trataremos de nuevo en el curso, solicitar niveles de datos detallados puede incomodar a las personas y, por lo tanto, reducir la confianza de los usuarios en tu organización, a la vez que aumenta un riesgo.
También es importante considerar tus necesidades de datos. A veces, la "necesidad" de datos más detallados es especulativa y se trata de un requisito "por si acaso". Quizás por el momento solo debamos clasificar a los usuarios en esos cuatro grupos etarios, pero en el futuro es posible que queramos reducir esta información y, por lo tanto, deberíamos recopilar datos muy detallados en este momento para mantener esa opción abierta para más adelante. Puede valer la pena considerar la frecuencia con la que los datos más detallados se usaron en el pasado para guiar decisiones. Solicitar datos que se perciben como invasivos en relación con el servicio que se ofrece da como resultado una disminución en la confianza de los usuarios en tu organización. Si esos datos se recopilan por razones "por si acaso", es posible que no solo estés intercambiando la confianza de los usuarios por mejores decisiones comerciales, sino simplemente por la posibilidad de alguna decisión futura teórica que ni siquiera exista, y que, al mismo tiempo, asumes los requisitos de seguridad para esa información.
También existen formas algorítmicas más detalladas de reducir el nivel de detalle de los datos recopilados. Los métodos de respuesta aleatorizados significan que los datos se recopilan con un grado ajustable de inexactitud y que se han utilizado durante décadas en las ciencias sociales para recopilar datos potencialmente invasivos o sensibles, a la vez que se mantiene la confidencialidad de la persona que responde. El método de recopilación de datos anterior implica ampliar las respuestas del usuario (por lo tanto, "¿qué edad tienes?" se convierte en "en cuál de los siguientes grupos etarios te pertenece"), donde la respuesta aleatoria implica tener una cierta proporción de usuarios mientas sobre sus respuestas. Si se conoce la proporción de usuarios que responden de forma incorrecta, aún se pueden obtener conclusiones significativas a partir de los datos recopilados, pero la privacidad individual del usuario no se ve comprometida porque sus datos recopilados pueden ser incorrectos. En este caso, si el 80% de tu público aún indica que pertenece al segmento demográfico de entre 18 y 34 años, puedes tener bastante confianza en que ese porcentaje sigue siendo el más alto, incluso si el 10% de ellos da respuestas incorrectas de forma deliberada. El grado de inexactitud también se puede modificar de manera programática, donde siempre se solicitan las respuestas correctas, pero el software altera un determinado porcentaje de respuestas antes de su transmisión. Este proceso y sus consecuencias también se pueden explicar a los usuarios cuando se recopilan datos: significa que los usuarios no deben confiar en que no abusarás de sus datos recopilados, ya que los datos individuales no son confiables.
Un proceso similar, pero más técnico, es la privacidad diferencial. Se usan técnicas matemáticas para alterar el almacenamiento de datos a fin de que sus propiedades agregadas de los datos sigan presentes. Sin embargo, no es posible saber si un individuo en particular proporcionó datos, o cuáles si los proporcionó. Al igual que las respuestas aleatorias, esto protege los datos de los usuarios incluso de ti y demuestra una clara intención de tu parte: no puedes utilizar los datos de tus usuarios si no tienes esos datos.
Estos enfoques y otros similares también proporcionan una mayor seguridad contra filtraciones y violaciones de la seguridad de los datos, ya que los datos recopilados reducen las vulneraciones de la privacidad del usuario, incluso para ti, y también reducen el nivel de compromiso si los datos se filtran. Sin embargo, recuerda que, si aplicas técnicas de privacidad diferencial en el servidor (de modo que los usuarios te envíen datos no agregados y, luego, uses las técnicas para agregarlos), aún debes proteger esos datos sin procesar del usuario y borrarlos después del procesamiento. Además, debes tener y seguir políticas claras que te confirmen que no los usas antes de la agregación (o que tienes claro para qué los usas).
Retención: Recopila datos y, luego, quítalos una vez que se utilicen.
Es útil recordar que los datos recopilados tienen un ciclo de vida; se recopilan, se usan para ayudarte a tomar decisiones empresariales y, en algún momento, deben quitarse. Estas son, de nuevo, ventajas: cuando haces preguntas a los usuarios, almacenas información sobre otros sitios web que visitaron o registras qué contenido consultaron y durante cuánto tiempo para hacer predicciones sobre sus preferencias, estos son los datos que se te otorgan para un propósito específico, no como un subsidio abierto para que el desarrollador los use según su criterio. Cuando esos datos ya no son necesarios para ese propósito, a veces después de un minuto o después de muchos años, deben borrarse.
Cada vez que recopiles información sobre tus usuarios, debes saber para qué utilizarás esos datos (consulta a continuación), y también debes saber cuándo y por qué dejarás de conservarlos. Puede ser cuando el usuario elige borrarla o cuando sale de su cuenta, después de un período específico o después de que ocurre un evento específico. Una manera excelente de generar confianza en la relación es dejarles en claro a los usuarios cómo pueden controlar sus datos, lo que incluye, siempre que sea posible, un rechazo unilateral de los datos. ¿Cómo borran sus datos? ¿Cómo borran su cuenta? Además de ayudar a desarrollar esa relación, se recomienda almacenar los datos mientras necesites procesarlos y no durante más tiempo, y que haya una forma para que los usuarios vean y quiten los datos que recopilas de ellos o en su nombre. Incluso es posible que exista legislación sobre este punto en los territorios en los que operas.
Esta es un área en la que puedes definir objetivos técnicos claros, lo que ayuda a los usuarios con el autoservicio. Si tus usuarios pueden inhabilitar tu almacén de datos sin tener que solicitar permiso, se sentirán más cómodos con la opción y no necesitarán ningún recurso de asistencia para hacerlo.
Es importante reconocer la importancia de las opciones de inhabilitación fáciles y predeterminadas: “Para generar confianza y reconocimiento, las empresas pueden comenzar por acordar un contrato social en el que se comprometan a respetar a su público en cada punto de contacto, escuchar sus necesidades y responder en consecuencia”, afirma IAPP. Nielsen Norman Group afirma que los usuarios “necesitan una “salida de emergencia” claramente marcada para abandonar la acción no deseada sin tener que pasar por un proceso extendido”. Todos sabemos que es más fácil suscribirse que anular la suscripción. Sin embargo, como afirma Nielsen Norman, darles a los usuarios la posibilidad de alejarse sin tener que zambullirse en los aros, "fomenta una sensación de libertad y confianza". Los estudios académicos respaldan esto y lo llaman el "principio de revocabilidad", que indica: "La interfaz debe permitir que el usuario revoque con facilidad las autoridades que el usuario otorgó siempre que sea posible la revocación. Los usuarios deberían poder revocar dicho consentimiento y, por lo tanto, reducir el acceso de las autoridades a sus recursos, si es posible". (Consulta Yee e Iacono para ver ejemplos).
El tiempo durante el cual se retendrán los datos y los que se conservarán es un tema que difiere mucho entre las organizaciones y entre los proyectos, pero hay algunos lineamientos comunes que se deben tener en cuenta.
Sí
Resulta útil permitir que los usuarios borren las cuentas (y cualquier dato asociado, cuando sea posible) y que borren con regularidad (por ejemplo, al salir) datos efímeros y almacenados localmente al salir con el encabezado Clear-Site-Data.
Cuando sea razonable, proporciona un encabezado Clear-Site-Data para quitar algunos o todos los datos del usuario que se hayan almacenado del lado del cliente (ya sea en cookies, localStorage, IndexedDB o en la caché del navegador). El caso práctico obvio para Clear-Site-Data es cuando un usuario sale de su sesión, pero también se puede usar después de incidentes de seguridad para garantizar que una cuenta potencialmente comprometida no tenga rastros persistentes de datos comprometidos almacenados en el cliente.
Para agregar compatibilidad con Clear-Site-Data, se debe enviar un encabezado HTTP, Clear-Site-Data, cuando el usuario sale de su cuenta (o en otro momento cuando quieras liberar almacenamiento del cliente), en la página que confirma el estado de la sesión cerrada (https://your-site/logout o similar). Este encabezado puede tener algunos de los siguientes valores o todos ellos, o bien "*" para todos:
Clear-Site-Data: "cache", "cookies", "storage"
Estos valores borran, respectivamente, las páginas almacenadas en caché (y otros recursos almacenados en caché de HTTP), las cookies almacenadas, localStorage, IndexedDB y similares.
Es posible que veas una referencia a otra opción, executionContexts, pero muchos navegadores no la admiten.
Ten en cuenta que es más fácil usar el encabezado Clear-Site-Data que borrar individualmente todos los recursos creados por tu cuenta, ya que no requiere que se ejecute código JavaScript en el cliente (y es la única forma oficial de borrar la caché del navegador), pero no es compatible con todos los navegadores.
Nota de uso: Si borras la caché (envías Clear-Site-Data: cache), el encabezado Clear-Site-Data no debería enviarse en la página de salida real, sino en algún otro recurso que cargue la página. Esto se debe a que, en una computadora más lenta con una memoria caché grande, la página se bloqueará mientras se borre la caché y esto impide la navegación. Esto puede demorar minutos,
lo que frustrará al usuario. Es poco probable que suceda, pero es difícil de probar y, por lo tanto, es una práctica recomendada tener esto en cuenta.
Explica para qué necesitas los datos
La importancia de la confianza en la relación que tienen los usuarios con tu servicio se ha declarado reiteradamente porque aumenta la longevidad de los usuarios. También proporciona una ventaja competitiva. Una forma de aumentar ese nivel de confianza es con la transparencia en tus procesos, y una buena forma de ser transparente es explicar para qué quieres los datos. Ya aprendiste que, por cada elemento recolectado, debes saber cuándo se borrará. Para saber eso, debes saber por qué quieres estos datos, qué preguntas específicas los necesitan para encontrar respuestas y qué decisiones se guiarán mediante su recopilación. Una vez que sepas por qué necesitas estos datos que pediste a tu usuario que rinda, explícale eso a esos usuarios para generar confianza. En tu política de privacidad, o cuando hagas preguntas sobre la creación de cuentas, describe por qué necesitas la respuesta a esta pregunta en particular, qué harás con esos datos y cuándo y cómo se pueden quitar.
Estas explicaciones son mucho más visibles cuando se presentan de forma intercalada. Ocultar explicaciones en un documento de políticas denso en otra parte del sitio web puede parecer un intento de ocultarlas. Un formulario de registro, confirmación de la compra o solicitud puede presentar los motivos para recopilar datos junto con la recopilación en sí. A menudo, un campo de formulario puede tener un asterisco (*) para indicar que es obligatorio. Los formularios complicados suelen tener un vínculo de información (i) que explica qué significa el campo. Considera agregar a estas explicaciones una descripción de por qué se recopilan los datos. Una frase que se usa con frecuencia para esto es "¿Por qué necesitamos esto?" junto a un campo de formulario. Cuando se hace clic en ella, se muestra una explicación en una ventana emergente.
Algunos ejemplos de HTML pueden tener el siguiente aspecto, y CSS y JavaScript se encargan de ocultar el <aside> y mostrarlo como una ventana emergente cuando se hace clic en el vínculo. (Asegúrate de confirmar la accesibilidad del formulario que creas para el sitio).
La forma exacta de diseñar esto depende de tus estilos y enfoques, pero el punto principal aquí es asociar directamente la recopilación de datos con una explicación de por qué se recopilan esos datos. Esto no es necesario para todos los campos. Nadie necesita una explicación de por qué necesitas que elijan una contraseña durante el registro. Sin embargo, decorar cada solicitud de información personal y de contacto con cómo planeas usarla y conservarla puede ayudar a dejarles en claro a los usuarios que te dedicas a proteger sus datos.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Pasar por este proceso con todo lo que recopilas sobre un usuario también puede ayudarte con los procesos y debates internos. Anteriormente, viste cómo puede haber la tentación de recopilar datos "por si acaso". Si eres transparente sobre los motivos para realizar la recopilación, puede resultar obvio que esto está sucediendo. Si no estás dispuesto a escribir públicamente lo que quieres hacer con los datos del usuario porque a ellos no les gusta la explicación, esto puede ser una señal de que vale la pena volver a pensar en recopilarlos. Esto se aplica si la explicación desagradable es demasiado invasiva ("usaremos esta información para realizar un seguimiento de los lugares que visitas cada hora"), demasiado amplia ("no sabemos para qué la usaremos, pero queremos que se haga algo al respecto") o demasiado evasiva ("usaremos esto para fines internos no divulgados"). No se trata solo de una cuestión de moral; las personas tienen el conocimiento suficiente como para reconocerlo, como ya se describió, y los usuarios esperan que experimentar con algo no sea el comienzo de un compromiso a largo plazo. Es un lugar común en el diseño de la experiencia del usuario hacer que el registro sea lo más sencillo y libre de inconvenientes posible, porque en las etapas iniciales el usuario (por definición) no está muy comprometido con tu servicio y, por lo tanto, es importante permitirles que inviertan más con facilidad cuando todavía tienen poca tendencia a hacerlo. Si es tan fácil irse de nuevo, experimentar con el servicio se convierte en una experimentación exacta y no en un inicio involuntario a largo plazo. Como antes, es paradójico, aunque cierto, que la mejor manera de generar confianza es no exigirles a los usuarios que confíen en ti si no quieren hacerlo.
Las personas tienen buenas razones para no compartir datos, o para compartir una cantidad mínima de datos. Al comienzo de tu relación con ellos, es posible que no tengan un motivo para confiar en ti y no deberían tener que hacerlo. Tu objetivo es demostrar por qué deberían hacerlo.
Sí
- Decide todos los datos que planeas recopilar por qué los quieres y por cuánto tiempo los conservarás.
- Cuando solicites esos datos, explica a los usuarios por qué los estás recopilando.
- Bórralo de las bases de datos de tu servidor después de haberlo usado.
- Permite que los usuarios borren las cuentas que crearon y que borren los datos almacenados de su almacenamiento con el encabezado
Clear-Site-Data.
Por qué
Desarrollar una relación con tus usuarios se basa en la confianza, y la confianza se basa en la apertura. Si puedes demostrar que no solo recopilas tantos datos como sea posible sobre los usuarios y ocultas los usos para ellos, eso te ayuda a generar confianza, lo que puede ser una ventaja competitiva para ti en comparación con rivales menos escrúpulos.