Por Erich Andersen, Consejero General, y Roland Cloutier, Director de Seguridad de la Información

En los últimos años, hemos visto un aumento de las preocupaciones relacionadas con la interacción entre los servicios al consumidor y la seguridad nacional. Existe un desafío constante para las plataformas globales que buscan que los usuarios compartan experiencias sin interrupciones en torno a un Internet sin fronteras, a la vez que abordan las preocupaciones de los países que buscan una mayor "soberanía de los datos". La gente quiere comunicarse y compartir contenidos con otras personas y, al igual que todos nosotros, se han beneficiado de los sistemas globales. La creación de "silos" de datos en los países desafía el objetivo de la interoperabilidad y el libre flujo de los datos, pero es indiscutible que los gobiernos tienen la obligación de proteger a sus ciudadanos y su información. Es esta dicotomía y tensión lo que esperamos solucionar, incluso si no podemos resolverlo por nuestra cuenta.

Desafortunadamente, las leyes en muchos países, la mayoría de las cuales son producto de décadas, si no es que siglos, de evolución legal durante una era técnicamente menos avanzada, no están bien desarrolladas para enfrentar este desafío y, a veces, no logran un equilibrio entre la interoperabilidad global de, por ejemplo, los servicios al consumidor y los intereses nacionales.

Hemos visto cómo esta tensión se ha desarrollado en las últimas semanas, primero en la India y más recientemente en los Estados Unidos. Como lo hemos visto, los gobiernos afirman preocuparse por la seguridad nacional, en ausencia de leyes que puedan aplicarse a nivel mundial, que articulen los requisitos neutrales cuya finalidad es conseguir un campo de juego equilibrado para todas las empresas, independientemente de su nacionalidad.     

Creemos que hay un camino mejor.  

Durante los últimos meses, hemos trabajado con nuestros propios ingenieros para identificar una forma de segmentar y, por lo tanto, proteger los datos de los ciudadanos a nivel global. Para ello, consideramos varios anillos de protección:

  • Almacenamiento de los datos
  • Control de acceso
  • Permisos de acceso a los datos
  • Evaluación de los riesgos durante la transferencia de los datos
  • Supervisión y rendición de cuentas

En nuestro enfoque iniciamos observando la ubicación de los centros de datos. Hemos elegido lugares que consideramos ampliamente aceptables para nuestra comunidad y para los responsables de las políticas gubernamentales. Hoy anunciamos que agregaremos un centro de datos en Dublín para atender a los clientes de la UE y el Reino Unido. Todos estos sitios tendrán defensas de seguridad físicas y de red de última generación alrededor de estos almancenes de datos.

Seguiremos enfocándonos y limitando los tipos de datos que recopilamos. No hay una aplicación para consumidores en el mundo que sea más investigada que TikTok en este momento, y los expertos externos han notado que recopilamos menos datos que nuestros competidores. Como parte de nuestro compromiso continuo con la transparencia, revelamos los datos que recopilamos, cómo los usamos y con quién se comparten en nuestras políticas de privacidad, las cuales actualizamos periódicamente para que se ajusten con las nuevas leyes y para dar a conocer escenarios adicionales.

Después, nos enfocamos en garantizar que el acceso a los datos y las transferencias de los mismos estén sujetos a controles internos y evaluaciones de riesgo adecuadas. Actualmente, los empleados que trabajan para brindar soporte a TikTok pueden acceder a los datos del usuario para realizar su trabajo, pero están sujetos a controles internos de los datos, protecciones tecnológicas como el cifrado y políticas diseñadas para garantizar la confidencialidad de los datos del usuario.  

En el futuro, restringiremos aún más el acceso. Nos aseguraremos de que los empleados que vivan fuera de los países donde TikTok está disponible no puedan acceder a los registros de los usuarios individuales. Limitaremos el acceso a dichos empleados con ayuda de tecnología en desarrollo nueva, innovadora y centrada en la seguridad, que garantice la protección de los datos personales. Este método permitirá que los ingenieros ejecuten pruebas para ajustar el funcionamiento de nuestra plataforma, entre otras cosas, pero restringirá el acceso a la información de los usuarios individuales.  

Creemos que será importante trabajar con proveedores calificados y confiables para ayudar a construir estos sistemas de acceso a los datos, y asumir la responsabilidad de la supervisión y el monitoreo. Existen muchas organizaciones de clase mundial que son capaces de ofrecer una solución, ya que los proveedores de tecnología de seguridad comprenden bien cuáles son los componentes básicos. Confiamos en que podremos brindar un servicio confiable trabajando con terceros, lo cual satisfará completamente las necesidades de nuestra comunidad y las de los líderes gubernamentales.   

Este enfoque no es completamente nuevo. De hecho, es el enfoque que utilizan muchos gobiernos para segmentar el acceso a diferentes repositorios de datos. Por ejemplo, todos los gobiernos tienen autoridades fiscales que almacenan registros fiscales personales. Aunque tal vez sea apropiado que los empleados de la agencia tributaria tengan acceso a dichos registros para hacer su trabajo, podría ser inapropiado proporcionarle un acceso amplio a los empleados de otras agencias. Por esa razón, los líderes del departamento de TI a menudo segregan los registros de impuestos para que solo otras agencias del gobierno puedan acceder a ellos mediante interfaces controladas, para permitir la investigación y efectuar pruebas en los datos. En los Estados Unidos se utilizan enfoques similares en otros contextos aún más sensibles. Por ejemplo, la lista de vigilancia consolidada por el gobierno de los Estados Unidos proporciona diferentes grados de acceso a los datos, según lo requieran las agencias individuales para cumplir sus labores.

El tiempo que trabajó Roland en organizaciones militares y de servicio público le proporcionó un conocimiento de primera mano sobre las expectativas y estándares del gobierno para los sistemas de seguridad y defensa. Estas experiencias nos dieron confianza a ambos en cuanto a la construcción de sistemas y capacidades similares para TikTok. Aplicaremos muchos de estos estándares en TikTok para que nuestro sistema siga modelos que sean consistentes con las entidades reguladoras, la supervisión gubernamental y nuestros clientes.

Por supuesto, para tener suficiente confianza en dicho sistema, debe haber cierto grado de supervisión por parte de terceros. Actualmente lo estamos logrando al invitar a expertos en seguridad para que hagan auditorías de nuestros sistemas, con el fin de garantizar que tenemos un nivel detallado de análisis externo y demostrar calidad en la seguridad de nuestros productos. Además, trabajaremos con una o más empresas acreditadas que actuarán como proveedores de soluciones tecnológicas en nuestro programa avanzado de seguridad de los datos y garantizarán el acceso a ellos.

Esperamos que al tomar estas medidas no solo abordemos de manera razonable los intereses de los legisladores para salvaguardar el acceso a los datos de sus ciudadanos, sino que establezcamos un nuevo estándar en nuestra industria. En nuestras discusiones con legisladores de todo el mundo, nos damos cuenta de que están buscando un enfoque más sólido con respecto al almacenamiento, el acceso y el control de los datos para los ciudadanos en todo el sector. Creemos que nuestro plan cumple con esto. Confiamos que en los próximos meses podamos discutir nuestros planes más detalladamente con los legisladores.  

Para ser más claros, este enfoque implicará tanto un costo para nuestro negocio como una limitación que nuestros competidores no tienen y no tendrán, a menos que las leyes cambien o ellos también elijan proteger los datos de manera más cuidadosa e integral, de acuerdo con las necesidades de varios países.

No obstante, lo haremos porque reconocemos la importancia que esto tiene para las partes que están interesadas en nosotros, incluidos nuestros usuarios y los gobiernos de sus países de origen, y la responsabilidad que tenemos como una empresa global para convertirnos en líderes de la seguridad y protección. Con el tiempo, creemos que los países deben aprobar leyes para crear estándares y requisitos que sean transparentes con respecto al acceso a los datos. Esto tendrá el beneficio adicional de mejorar los estándares para todos los participantes y garantizar un campo de juego equilibrado que promueva la competencia con base en la innovación y un servicio de calidad, en vez de debilitar la competencia por causa de temores infundados. Pero mientras eso sucede, haremos todo lo posible para permitir el intercambio global de la información y se cumpla con los diferentes estándares nacionales sobre cómo se protegen los datos. Esta es, en nuestra opinión, una forma mucho mejor de seguir desarrollando comunidades como TikTok y evitar instrumentos que actúen de manera contundente como prohibiciones nacionales a las soluciones tecnológicas.