Perfiles psicológicos en plataformas de concienciación, ¿son legales?

Perfiles psicológicos en plataformas de concienciación, ¿son legales?

En los últimos años me he encontrado con algunas consultas acerca del uso de perfiles psicológicos como herramienta para guiar las decisiones del plan de concienciación.

La idea es la siguiente: determinar el perfil psicológico de nuestros usuarios a través de diferentes técnicas y algoritmos y con esta información entregar contenidos de concienciación adaptados a las necesidades de cada persona. Además, realizar simulaciones de phishing específicas para explotar las debilidades de cada perfil.

Un perfil psicológico puede determinarse de manera sencilla mediante el uso de encuestas, o también puede llevarse a cabo de una manera un poco menos transparente mediante el uso de chatbots o inteligencia artificial.

Más allá de que el uso de estos perfiles en concienciación es un método del cual no se encuentra evidencia suficiente que acredite su efectividad, hay algo todavía más importante: El perfil psicológico de una persona es información clínica.

Por este motivo, si planeamos realizar tests psicológicos de nuestros usuarios, almacenar esta información y tomar decisiones al respecto, tenemos que tener muchísimo cuidado.

Veamos lo que implica esto en el marco del GDPR:

Acceso a la información

Una plataforma de concienciación normalmente puede ser accedida por:

  • El responsable de seguridad o de tecnología de nuestra organización.
  • Los analistas o el equipo responsable de administrar el plan de concienciación de nuestra organización.
  • El personal del partner que brinda el servicio gestionado de concienciación.

Si la plataforma contiene información sobre el perfil psicológico de nuestros usuarios entonces nos encontramos en una situación realmente delicada. Este tipo de información sensible es normalmente restringida a personal especializado en psicología que tiene un rol definido dentro de la organización y gestiona esta información con máximo secreto. Únicamente estas personas deberían poder ver información, reportes o cualquier dato relacionado con los perfiles psicológicos de los usuarios.

Transparencia

Los usuarios de nuestra organización deben comprender cómo se van a elaborar sus perfiles psicológicos.

Aquí puede que nos enfrentemos a diversos desafíos. Si estamos utilizando por ejemplo una encuesta, podremos explicarlo de manera clara y sencilla. Si nuestra plataforma de concienciación elabora los perfiles mediante algoritmos o herramientas de IA es realmente muy difícil que podamos conocer los pormenores de este proceso y mucho más difícil aún que podamos transmitir de manera clara este proceso para que todas las personas de nuestra organización lo comprendan.

Esto es relevante ya que esta comprensión es la que luego permite a las personas ejercer sus derechos de privacidad y también la base del siguiente punto.

Consentimiento

Si vamos a manejar información relacionada con la salud de nuestros usuarios, entonces tenemos que tener su consentimiento. Esto implica que los usuarios comprendan por qué vamos a determinar y almacenar esta información, cómo la vamos a utilizar y qué puede implicar para ellos en cuestiones de privacidad. Este consentimiento tiene a su vez que ser claramente demostrable y trazable.

Discriminación y sesgos

Si vamos a utilizar los perfiles psicológicos para agrupar a nuestros usuarios y tomar decisiones al respecto (como enviar cierta trampa de simulación de phishing o adaptar cierto mensaje de concienciación) debemos tener en cuenta lo siguiente: Estamos recurriendo a una práctica que es cuestionable desde el punto de vista ético.

Los tests psicológicos pueden estar basados en patrones que reflejen prejuicios o estereotipos que nos lleven a tomar decisiones injustas o discriminatorias.

Conclusión

Si vamos a elaborar, almacenar y utilizar los perfiles psicológicos de nuestros usuarios en nuestro programa de concienciación debemos tener realmente mucho cuidado ya que podemos cometer una violación grave de privacidad.

Los datos clínicos son altamente confidenciales. Si no se implementan las medidas adecuadas para proteger la privacidad de nuestros usuarios, existe el riesgo de violar sus derechos fundamentales a la privacidad y la protección de datos.

Dicho esto y llegados a esta etapa del artículo, es momento de apelar a nuestro propio juicio como responsables de ciberseguridad: ¿realmente es relevante el perfil psicológico de nuestros usuarios para cumplir los objetivos de nuestro programa de concienciación? ¿Existe evidencia que respalde el uso de este método para el desarrollo de una cultura segura? ¿Contamos con las herramientas y asesoramiento legal necesario para que nuestro programa sea considerado legal y cumpla con un reglamento tan relevante como el GDPR?

Conceptos tan renombrados como el Due Diligence y el Due Care cobran gran relevancia cuando evaluamos las respuestas a estas preguntas. Esperamos que sean útiles y permitan tomar decisiones profesionales e informadas sobre los programas de concienciación.

 

Fuente

El presente artículo se basa en el análisis realizado por el abogado Marcelo Temperini, especialista en Derecho Informático, Privacidad y Cibercrimen, en su artículo: Los peligros de los tests psicológicos en la prevención de fraude y el cumplimiento del GDPR

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja una respuesta