Los usuarios de redes sociales que están considerando verificar sus identificaciones en LinkedIn tal vez quieran esperar un poco. El socio de verificación de identificación de LinkedIn, Persona, ha sido objeto de controversia esta semana por supuestamente compartir la información personal de los usuarios con sus propios socios de datos y por acceder a datos ampliados de los usuarios que buscan verificar su información a través de la plataforma.
Problemas de privacidad en Persona
Un reciente informe del blog The Local Stack señala que un investigador de seguridad analizó los términos de servicio y las notas de proceso de Persona. Descubrió que la plataforma recoge una amplia gama de información basada en documentos de identificación subidos. Esto incluye, entre otros datos, el nombre completo, la geometría facial, información del chip NFC (extraída del documento de identidad), el número de identificación nacional, correos electrónicos, números de teléfono, direcciones IP, geolocalización y más.
Método de verificación de datos
Según el informe, el investigador utilizó una foto de su pasaporte para confirmar su identidad en Persona y, a continuación, el sistema de Persona verificó múltiples puntos de datos para reunir una variedad de informes. Este proceso implicó la confrontación de la información con bases de datos gubernamentales, agencias de crédito al consumo, compañías de servicios públicos y bases de datos de direcciones postales, entre otras fuentes.
Esto representa una serie de verificaciones exhaustivas de antecedentes para confirmar la identidad, aunque el uso ampliado de esta información fue lo más preocupante.
Comparación de datos y subprocesadores
Como se detalla en el informe, la información recopilada fue posteriormente compartida con 17 “subprocesadores” de esta información, lo que implica que se está compartiendo la información personal con una variedad de proveedores de terceros, quienes en teoría podrían estar utilizando esos datos para fines no previstos.
Respuesta de Persona
El CEO de Persona, Rick Song, ha refutado estas afirmaciones mediante una publicación en LinkedIn, donde explica que la compañía no procesa los datos de los usuarios para ningún otro propósito que no sea la confirmación de la identidad. Song detalló que ningún dato personal se utiliza para entrenamiento de inteligencia artificial, y que cualquier dato biométrico es eliminado inmediatamente después del procesamiento, mientras que el resto de la información personal se borra dentro de los 30 días.
Clarificaciones sobre la gestión de datos
Song también aclaró que la lista de subprocesadores mencionada en la documentación de Persona puede ser engañosa, ya que los clientes tienen la posibilidad de seleccionar qué productos se utilizan en la confirmación de la identificación, lo que regula el acceso de los subprocesadores. En consecuencia, afirmó que Persona no está compartiendo datos de usuarios con terceros no aprobados.
Consecuencias de los problemas de verificación
No obstante, el daño podría haber sido ya hecho. Según The Rage, Discord ha puesto fin a su prueba de Persona como socio de verificación de identidad en respuesta a las preocupaciones. Otros socios de Persona están buscando respuestas más detalladas sobre cómo la compañía está compartiendo la información de los usuarios con socios ampliados.
Si Persona no es capaz de proporcionar respuestas adecuadas, podría sufrir un golpe significativo a su negocio. Con 100 millones de usuarios de LinkedIn verificando su información de perfil hasta el momento (es importante destacar que LinkedIn trabaja con varios socios de verificación, por lo que no todos estos usuarios fueron procesados a través de Persona), esto representa un vector significativo para la exposición de datos.
Consejos para emprendedores y negocios
-
Mantener la privacidad: Asegúrate de tener una política clara de privacidad y de cómo se manejarán los datos de los usuarios. Es crucial proteger la información personal y ser transparente sobre su uso.
-
Evaluar los socios: Al elegir socios o subprocesadores, investiga a fondo su gestión de datos. Asegúrate de que tengan buenas prácticas y políticas que protejan la información personal.
-
Proporcionar opciones a los usuarios: Permitir que los usuarios seleccionen qué datos quieren compartir puede aumentar su confianza en tu plataforma.
-
Estar al día con la normativa: Mantente informado sobre las regulaciones de protección de datos como el GDPR en Europa y otras en tu país. Esto te ayudará a evitar posibles sanciones y a construir una reputación sólida.
- Responder rápidamente a las preocupaciones: Si surge un problema de privacidad o seguridad, es vital responder rápidamente y de manera efectiva para preservar la confianza del cliente.
Conclusiones
El escándalo relacionado con la verificación de identidades en Persona resalta la importancia de la privacidad y el manejo seguro de los datos en el mundo digital. A medida que las plataformas de redes sociales y servicios digitales continúan expandiendo sus prácticas de verificación, es esencial que los usuarios estén al tanto de los riesgos potenciales involucrados. En este contexto, las empresas deben priorizar la seguridad de los datos y establecer prácticas responsables para manejar la información de sus usuarios, asegurando así su confianza y fidelidad.