Según las nuevas investigaciones, las notificaciones que las empresas envían a los consumidores sobre violaciones de datos carecen de claridad y pueden aumentar la confusión de los clientes acerca de si sus datos están en riesgo.
Sobre la base de su investigación anterior que mostró que los consumidores a menudo toman poca acción cuando enfrentan violaciones de seguridad, los investigadores analizaron las notificaciones de violación de datos que las empresas enviaban a los consumidores para ver si las comunicaciones podrían ser responsables de parte de la inacción.
Descubrieron que el porcentaje de 97 de las notificaciones muestreadas de 161 era difícil o bastante difícil de leer en función de las métricas de legibilidad, y que el lenguaje utilizado en ellas podría haber contribuido a la confusión sobre si el destinatario de la comunicación estaba en riesgo y debía tomar medidas.
"Para la mayoría de las empresas, esas notificaciones solo se consideran un requisito para cumplir con las leyes de notificación de violación de datos ..."
"Nuestro análisis muestra que exigir a las empresas que envíen notificaciones de violación de datos por sí solo no es suficiente", dice Yixin Zou, estudiante de doctorado de la Universidad de Michigan.
"Es importante garantizar que la información importante, como lo que sucedió y lo que los consumidores deben hacer para protegerse a sí mismos, se comunique en esas notificaciones de manera comprensible y accionable por los consumidores".
Al citar estadísticas del Privacy Rights Clearinghouse, los autores señalan que en 2017 se violaron datos de 853 que comprometieron los registros de 2.05 billones, que incluían nombres de consumidores, números de cuenta de información de contacto, detalles de tarjetas de crédito, números de seguridad social, registros de compras y compras, redes sociales. Publicaciones y mensajes, y registros sanitarios.
En respuesta, la mayoría de los países, incluidos los Estados Unidos, adoptaron leyes de notificación de violación de datos. En los EE. UU., Cada estado tiene su propia ley de violación de datos, lo que significa que el umbral para el momento en que las empresas deben notificar a los consumidores, qué tan pronto después de una violación deben enviar notificaciones, y cómo debe ser esa notificación varía según los estados.
"Hay poco incentivo para que las empresas inviertan en hacer que las notificaciones de violación de datos sean más utilizables".
Esto permite a las empresas mucha libertad para usar términos de cobertura que minimizan el riesgo: usar frases como "podría verse afectado" y "es probable que se vea afectado" en el porcentaje de notificaciones de 70 y decir "en este momento, no tenemos evidencia de exposición" Datos mal utilizados ”40 por ciento de las veces.
Los investigadores dicen que también permite una falta de coherencia para abordar la causa de la infracción, la fecha de ocurrencia y la cantidad de tiempo de exposición.
"Hay poco incentivo para que las empresas inviertan en hacer que las notificaciones de violación de datos sean más utilizables", dice Florian Schaub, profesor asistente en la Escuela de Información.
“Para la mayoría de las empresas, esas notificaciones solo se consideran un requisito para cumplir con las leyes de notificación de violación de datos en lugar de una forma de educar y proteger a sus clientes. Tenemos que repensar y reformular las leyes de protección al consumidor como estas para garantizar que las notificaciones de las empresas sean realmente útiles para los consumidores ", dice Schaub.
La mayoría de las leyes estatales requieren que las compañías notifiquen a los consumidores afectados por escrito o por teléfono. Los correos electrónicos, anuncios de sitios web, avisos a los medios de comunicación estatales u otros métodos electrónicos suelen ser sustitutos. El estudio muestra un patrón consistente con 95 por ciento de las notificaciones analizadas enviadas por correo. Los investigadores dicen que la velocidad lenta de una carta enviada por correo podría aumentar el tiempo en que los consumidores permanecen informados de la violación.
Los investigadores compartieron su trabajo en la Conferencia CHI sobre Factores Humanos en Computación en Glasgow, Escocia.
Fuente: Universidad de Michigan
Libros relacionados
at InnerSelf Market y Amazon
