El próximo 25 de mayo, entra en vigor la nueva ley europea de protección de datos, conocida habitualmente por sus siglas en inglés, GDPR.
El reglamento impone nuevas obligaciones a las empresas con respecto al tratamiento de los datos personales de los usuarios, y permite a los usuarios la obtención o incluso eliminación de aquellos datos personales que estén en manos de la empresa.
La nueva ley introduce dos conceptos interesantes de cara a los servicios tecnológicos: privacidad desde el diseño y por defecto. Esto significa que los productos y servicios deben ser diseñados con la seguridad en mente, y esta deberá estar activa sin que el usuario deba hacer nada.
Estos nuevos requerimientos están llevando a las compañías a realizar cambios en la forma en la que gestionan los datos de sus usuarios y cómo los ponen a disposición de ellos.
Hemos tenido la oportunidad de charlar con Apple sobre este tema para conocer mejor cuál es la aproximación de la compañía con respecto a la privacidad y cuáles son las medidas que va a tomar la compañía de cara a la entrada en vigor de GDPR.
Apple y la privacidad de los usuarios
El modelo de negocio de Apple no se basa en utilizar los datos personales de los usuarios, sino en vender productos, por lo que la compañía solo tiene interés en recopilar aquellos datos que son estrictamente necesarios para prestar sus servicios.
Esto contrasta con otras compañías cuyos ingresos se basan en recopilar la mayor cantidad posible de información de los usuarios para, por ejemplo, mostrar publicidad dirigida a sus intereses.
La aproximación de Apple con respecto a la privacidad de los usuarios se resumen en los siguientes principios fundamentales:
- minimizar la recogida y uso de los datos personales a los estrictamente necesarios
- utilizar la inteligencia del propio dispositivo antes que el procesamiento en sus servidores
- pedir consentimiento y ofrecer transparencia con los datos que recopila.
Encontramos muestras de estos principios en prácticamente todos los servicios de Apple que encontramos en los dispositivos iOS.
Comenzando con la autenticación, es bien sabido que tanto el almacenamiento como el reconocimiento de la huella vía Touch ID o del rostro vía Face ID se realiza en el propio dispositivo, por lo que Apple no recibe los datos de nuestra información biométrica.
Lo mismo ocurre con las búsquedas de Fotos, que se ejecutan en el propio dispositivo gracias a las capacidades de reconocimiento de imágenes de iOS. Esto contrasta con otras soluciones que utilizan procesamiento en la nube para este tipo de tareas.
El asistente virtual Siri responde a todas aquellas preguntas para las que tiene respuesta utilizando procesamiento local, sin que la consulta abandone el dispositivo. Cuando es indispensable enviar la consulta a los servidores de Apple (por ejemplo, si preguntas por los resultados de un partido de fútbol), se envía sin un identificador que permita a Apple saber quién ha realizado la pregunta.
Otro popular y veterano servicio de la compañía, Facetime, utiliza cifrado extremo a extremo desde sus inicios, de forma que Apple no tiene forma de acceder al contenido de una videollamada. Además, los servidores de Apple no almacenan con quién has mantenido una conversación ya que es una información que, según la compañía, no necesitan para nada.
Un caso algo más complejo es Maps, que según nos ha explicado Apple, envía las consultas a sus servidores utilizando identificadores aleatorios que no pueden ser ligados en ningún caso el usuario. Estos identificadores cambian cada 15 minutos para impedir cualquier tipo de asociación por proximidad geográfica entre varias peticiones.
Nuevas herramientas de privacidad de Apple
La aproximación actual de Apple con respecto a la privacidad ha hecho que la compañía no tenga que realizar apenas cambios ante la entrada en vigor de GDPR, pero sí que ha tomado algunas medidas.
Con la llegada de macOS 10.13.4, iOS 11.3 y tvOS 11.3 a finales de marzo, Apple comenzó a mostrar a los usuarios una pantalla en la que informa de un nuevo icono que aparecerá cuando una función de Apple solicite utilizar tu información personal para realizar su trabajo.
Cuando aparezca el icono de datos y privacidad, el usuario podrá consultar información útil sobre los datos que van a compartirse y cómo se van a utilizar para mejorar el servicio.
Ante la llegada de GDPR, la compañía prepara nuevas herramientas de privacidad que estarán disponibles en la página web asociada con la cuenta Apple ID del usuario. Estas herramientas darán más control sobre los datos, permitiendo:
- Obtener una copia de sus datos
- Solicitar que se corrijan sus datos
- Desactivar su cuenta
- Eliminar su cuenta
La obtención de una copia de los datos permitirá descargar toda la información personal que posee Apple sobre el usuario, organizada por secciones como Compras en iTunes, Fotos en iCloud, Contactos, etc.
Apple firma que ha dedicado tiempo a asegurar que la información descargada está en un formato fácilmente comprensible por el usuario. Por ejemplo, en el caso de tablas, los nombres de las columnas serán suficientemente descriptivos para que que de claro su significado.
La disponibilidad de los datos solicitados no será inmediata ya que Apple se reserva algunos días para verificar que la petición es legítima y realizar las comprobaciones necesarias en caso de sospecha de fraude. Una vez completada la petición, la información estará disponible para ser descargada por el usuario durante un cierto período de tiempo.
Una opción novedosa es la de desactivación de una cuenta, que permitirá al usuario dar de baja su cuenta de Apple temporalmente. Apple afirma que esta opción vendrá acompañada de una explicación sobre qué servicios dejarán de funcionar cuando la cuenta esté desactivada. Por ejemplo, las suscripciones a servicios como Apple Music seguirán activas durante el mes en curso pero no se renovarán.
En caso de utilizar la funcionalidad de desactivación, Apple proporcionará un código al usuario. Este código será indispensable para reestablecer la cuenta posteriormente (sin él, será imposible recuperar la cuenta).
A diferencia de la desactivación, que tiene vuelta atrás, la opción de eliminación de una cuenta no se podrá deshacer y, como su nombre indica, elimina por completo una cuenta Apple ID.
Cuándo y dónde estarán disponibles
Apple no ha dado un fecha exacta sobre cuándo estarán disponibles estas funcionalidades pero probablemente ocurrirá unos pocos días antes del 25 de mayo, que es la fecha de entrada en vigor de la nueva ley.
Inicialmente, estas herramientas estarán disponibles en todos los países de la Unión Europea, y la compañía tiene el objetivo de llevarlas también al resto de países del mundo progresivamente.