— Michel Protti, director de privacidad de productos
Nuestra labor en materia de privacidad está apuntalada por nuestras estructuras de gobernanza internas, que integran las normas de privacidad y uso de datos a cada una de las operaciones de la empresa.
En nuestro proceso continuo de integración de la privacidad en todos los ámbitos de la empresa, incorporamos equipos especializados en el tema a los grupos de productos, a fin de enriquecerlos con su experiencia y de propiciar que las consideraciones sobre privacidad se entiendan más a fondo. Estos equipos facilitan el cumplimiento de las responsabilidades relativas a la privacidad en todos nuestros productos.
El equipo de privacidad y prácticas relativas a los datos, a cargo del director de privacidad de productos, Michel Protti, está formado por decenas de otros equipos, tanto técnicos como no técnicos, que se dedican a formular y mantener estrategias de privacidad, así como a brindar al resto de la empresa las herramientas necesarias para ejecutarlas.
El equipo de privacidad y prácticas relativas a los datos está en el centro de las iniciativas de nuestra empresa para mantener un programa integral de privacidad. Su trabajo se guía por su misión, que es inculcar en Meta prácticas responsables en relación con los datos. Para ello, se aseguran de que las personas comprendan cómo Meta usa sus datos y confíen en que nuestros productos los usen de manera responsable.
El equipo de privacidad y prácticas relativas a los datos es tan solo una de las muchas organizaciones de la empresa que se encargan de la privacidad. Hay miles de personas en diferentes organizaciones y funciones de Meta, como la de política pública y la de asuntos legales, que trabajan para integrar la privacidad en todos los aspectos de las actividades de nuestra empresa. Lograr un correcto enfoque en materia de privacidad es una iniciativa de carácter totalmente interfuncional, y creemos que todos los miembros de Meta son responsables de llevarla adelante.
El equipo de política de privacidad y datos, a cargo de Erin Egan, vicepresidenta y directora de privacidad, encabeza nuestra participación en el debate público global en torno a la privacidad, incluidos los nuevos marcos normativos, y garantiza que los comentarios de los gobiernos y los especialistas de todo el mundo se tengan en cuenta a la hora de diseñar nuestros productos y hacer uso de datos.
Para eso, el equipo de política de privacidad y datos acude a estos grupos por medio de diferentes mecanismos de consulta, entre los que se incluyen:
También organizamos una serie de charlas regulares y un encuentro anual de expertos con destacados especialistas de todo el mundo para hablar de diferentes asuntos acuciantes relacionados con las políticas de privacidad.
El equipo legal de privacidad participa en el diseño y la ejecución continua de nuestro programa, y brinda asesoramiento sobre los requisitos legales en las distintas instancias de nuestro proceso de revisión de privacidad.
El comité de privacidad es un órgano independiente de nuestra junta de directores que se reúne, como mínimo, cada tres meses para asegurarse de que cumplamos con nuestros compromisos en la materia. Este comité está conformado por directores independientes con gran experiencia en funciones de supervisión similares. Al menos una vez por trimestre, recibe informes sobre el panorama normativo global, la situación de nuestro programa de privacidad y el estado de la evaluación externa independiente del programa, entre otras cuestiones.
La auditoría interna aporta una garantía independiente sobre el estado general de nuestro programa de privacidad y el marco de control que lo sustenta.
Parte de asegurarnos de que cada persona entienda el rol que cumple en la protección de la privacidad en Meta consiste en fomentar el aprendizaje y la formación continua sobre privacidad por medio de capacitaciones y campañas internas de concientización.
Un componente fundamental de este enfoque orientado a la formación en privacidad está dado por nuestras capacitaciones sobre el tema. Estas capacitaciones cubren los aspectos básicos de la privacidad y están diseñadas para ayudar a que todas las personas que conforman Meta desarrollen el criterio necesario para identificar y evaluar riesgos relacionados con ella. Con su formato de aprendizaje virtual, nuestra capacitación anual sobre privacidad y nuestros cursos de capacitación sobre privacidad para nuevos empleados y nuevos trabajadores temporales ofrecen situaciones hipotéticas en las que hay que tomar decisiones en relación con la privacidad en función de nuestras operaciones comerciales, e incluyen una evaluación para poner a prueba los conceptos aprendidos. Estas capacitaciones se actualizan e implementan todos los años para asegurarnos de incluir información relevante junto con los conceptos básicos.
Además de nuestra capacitación básica sobre privacidad, que es de carácter obligatorio, mantenemos y ponemos a disposición de todos los integrantes de Meta un catálogo de todas las capacitaciones sobre privacidad conocidas, que incluyen temas relevantes para personas que desempeñan roles específicos.
Otro de los métodos que utilizamos para fomentar la formación en materia de privacidad es el uso de comunicaciones periódicas dirigidas a los empleados. Además de nuestros cursos de capacitación sobre privacidad, divulgamos continuamente contenido sobre el tema a través de los canales de comunicación internos, las novedades de los directivos en la materia, sesiones internas de preguntas y respuestas, y una semana enteramente dedicada a la privacidad.
Durante nuestra semana dedicada a la privacidad, impulsamos el foco transversal en el tema, presentamos a oradores internos y externos, y destacamos los conceptos y las prioridades clave a través de contenidos y eventos atractivos.
Cuando participamos en eventos externos sobre privacidad, como el Día Internacional de la Protección de Datos o nuestro encuentro anual de expertos en privacidad, fomentamos la concientización y el compromiso de la empresa a través de los canales internos para garantizar que todos tengan la oportunidad de participar y aprender sobre el tema.
Contamos con un equipo especializado cuya función es ayudarnos a cumplir con la normativa global en materia de privacidad y datos. Nuestro proceso de preparación normativa se estructura en torno a temas o "áreas" clave de la privacidad (como los jóvenes, los datos confidenciales, el consentimiento, etc.) para garantizar el cumplimiento integral de los requisitos de privacidad.
Creamos nuestro programa de administración de riesgos para la privacidad a fin de identificar y evaluar riesgos relacionados con la forma en que recopilamos, usamos, compartimos y almacenamos los datos de los usuarios. Este proceso nos permite identificar temas de riesgo, mejorar nuestro programa de privacidad y prepararnos para futuras iniciativas de cumplimiento normativo.
Diseñamos medidas de seguridad, que incluyen procesos y controles técnicos, a fin de abordar los riesgos para la privacidad. En el marco de esta iniciativa, realizamos evaluaciones internas tanto del diseño como de la eficacia de las medidas de seguridad con el objeto de mitigar el riesgo para la privacidad.
Establecimos una función centralizada de administración de problemas para facilitar la autoidentificación y la remediación de problemas relacionados con la privacidad. Este proceso abarca todo el ciclo de vida de la administración de problemas de privacidad: la admisión y clasificación, la planificación de la remediación y la resolución documentada.
Conformamos un "equipo rojo" cuyo rol es poner a prueba de manera proactiva nuestros procesos y tecnologías destinados a identificar riesgos potenciales para la privacidad. El equipo rojo asume el papel de un agente externo o interno que intenta evadir nuestros controles de privacidad y medidas de seguridad, lo que nos ayuda a identificar proactivamente las áreas que podemos mejorar.
Independientemente de lo robustas que sean nuestras medidas de seguridad y mitigación de riesgos, necesitamos también un proceso para 1) identificar cualquier evento que pueda socavar la confidencialidad, la integridad o la disponibilidad de los datos que son responsabilidad de Meta, 2) investigar estas situaciones y 3) tomar las medidas necesarias para resolver las deficiencias identificadas.
Nuestro programa de administración de incidentes opera en todo el mundo para supervisar los procesos mediante los cuales detectamos, evaluamos, mitigamos y solucionamos los incidentes de privacidad. Si bien el equipo de privacidad y prácticas relativas a los datos está al frente del proceso de administración de incidentes, los incidentes de privacidad son responsabilidad de todas las personas que forman parte de Meta. Todos los equipos de la empresa, incluidos los de productos y asuntos legales, desempeñan un papel fundamental. Seguimos invirtiendo tiempo, recursos y energía en el diseño de un programa de varias capas que evoluciona y se perfecciona constantemente. A continuación, destacamos tres componentes de nuestro enfoque:
Adoptamos un sistema de varias capas para proteger a las personas y su información, con medidas de seguridad diseñadas para detectar errores de manera proactiva, antes de que lleguen a ser un problema. Por la escala de nuestras operaciones, invertimos considerablemente en formular e implementar una amplia variedad de herramientas automáticas que nos ayudan a detectar y solucionar posibles problemas de privacidad lo más pronto posible. Estos sistemas automáticos fueron diseñados para detectar incidentes en tiempo real a fin de responder con rapidez.
Por supuesto, independientemente de la capacidad de nuestros sistemas automatizados, la supervisión y la diligencia de nuestros empleados son siempre desempeñan esenciales para detectar y solucionar proactivamente los incidentes. Nuestros equipos de ingenieros revisan a menudo nuestros sistemas para detectar y solucionar los problemas antes de que tengan consecuencias.
Desde 2011, llevamos a cabo un programa de recompensas por reporte de errores en el que investigadores externos ayudan a mejorar la seguridad y la privacidad de nuestros productos y sistemas notificándonos posibles vulnerabilidades de seguridad. El programa nos ayuda a ampliar las iniciativas de detección y a solucionar los problemas más rápidamente con el fin de brindar una mayor protección a nuestra comunidad. Además, con las recompensas que pagamos a los participantes que reúnen los requisitos, fomentamos la investigación de alta calidad sobre seguridad.
En los últimos 10 años, más de 50.000 investigadores se unieron a este programa y alrededor de 1.500 investigadores de 107 países recibieron recompensas.
Aunque adoptamos una serie de medidas de protección para evitar incidentes relacionados con la privacidad, como el acceso no autorizado a los datos, si se produce un incidente, creemos que la transparencia es una forma importante de recuperar la confianza en nuestros productos, servicios y procesos. De este modo, además de corregir nuestros errores y aprender de ellos, el programa de administración de incidentes incluye los pasos necesarios para notificar a las personas cuando corresponda, por ejemplo, a través de una publicación en nuestroNewsroom o en el blog "La privacidad es importante" sobre los problemas que afectan a nuestra comunidad, o para trabajar con las fuerzas del orden u otros funcionarios a efectos de abordar los incidentes detectados.
Los terceros son socios externos que hacen negocios con Meta, pero de los que Meta no es la empresa propietaria ni administradora. Por lo general, estos terceros se dividen en dos categorías principales: los que prestan un servicio a Meta (como los proveedores que ofrecen apoyo en lo relativo al diseño de sitios web) y los que desarrollan sus negocios en torno a nuestra plataforma (como los desarrolladores de apps o de API). A fin de mitigar los riesgos para la privacidad que plantean los terceros con acceso a datos personales, desarrollamos un programa específico de supervisión y administración que supervisa los riesgos relacionados con terceros y adopta las medidas de seguridad que correspondan.
También diseñamos un proceso de evaluación de la privacidad de terceros con el fin de que los proveedores de servicios evalúen y mitiguen los riesgos para la privacidad. Nuestro proceso exige que estos proveedores de servicios también estén obligados en virtud de contratos que incluyan protecciones de la privacidad. Su perfil de riesgo determina la forma en que se supervisan y reevalúan, y, si corresponde, las medidas de cumplimiento que deben tomarse como resultado de las infracciones, que contemplan también la finalización del vínculo.
Diseñamos un proceso formal para exigir el cumplimiento de las normas y la desvinculación de los terceros que infrinjan sus obligaciones en materia de privacidad o seguridad. El proceso contiene normas y mecanismos técnicos que respaldan mejores prácticas para desarrolladores en nuestra plataforma, tales como los siguientes:
Nuestro equipo de uso indebido de datos se dedica a detectar, investigar y bloquear patrones de comportamiento asociados con la extracción de datos. La extracción de datos, también llamada "scraping", es la recopilación automatizada de datos provenientes de un sitio web o una app, autorizada o no. El uso de herramientas automáticas para recopilar datos de las plataformas de Meta o acceder a ellos sin nuestra autorización es una infracción de nuestras condiciones del servicio.
Seguimos invirtiendo en infraestructura y herramientas que dificulten el accionar de quienes se dedican a recopilar datos de nuestros servicios y, en caso de que logren hacerlo, evitar que saquen rédito de ello. Los límites de frecuencia y los límites de datos son ejemplos de estas inversiones. Los límites de frecuencia acotan la cantidad de veces que una persona puede interactuar con nuestros productos en un período dado, y los límites de datos impiden que las personas obtengan más datos que los necesarios para usar nuestros productos con normalidad.
Usamos identificadores de usuario y contenido generados internamente a partir de que observamos que la extracción no autorizada de datos a menudo depende de que se los pueda suponer o comprar. También utilizamos nuevos identificadores con seudónimos que funcionan como disuasivo, ya que hacen más difícil suponer y conectar los identificadores, y acceder reiteradamente a los datos.
Ya bloqueamos miles de millones de posibles acciones de extracción no autorizada de datos en Facebook e Instagram, y tomamos una serie de medidas contra sus responsables; entre ellas, la desactivación de cuentas y la solicitud a las empresas que alojan datos extraídos de forma no autorizada de que los eliminen.
En Meta, el proceso de revisión de privacidad es una parte central de la actualización y el desarrollo de nuestros productos, servicios y prácticas. Mediante este proceso, evaluamos cómo se usarán y protegerán los datos cada vez que renovamos o actualizamos nuestros productos, servicios y prácticas. Revisamos un promedio mensual de 1.200 productos, funciones y prácticas relativas a los datos en toda la empresa antes de su envío con el fin de evaluar y mitigar riesgos para la seguridad.
Como parte del proceso, un equipo interfuncional de expertos en privacidad evalúa los riesgos potenciales de un proyecto para la privacidad y determina si es necesario realizar algún cambio antes de su lanzamiento a fin de mitigarlos. Si no hay acuerdo en la evaluación de los riesgos o las mitigaciones propuestas para el producto, el proceso exige que los equipos eleven el asunto a los directivos de productos y políticas y, en última instancia, a la dirección ejecutiva, con el fin de realizar una evaluación más exhaustiva y tomar una decisión.
El desarrollo de productos, servicios o prácticas nuevos o modificados a través del proceso de revisión de privacidad se guía por nuestras previsiones internas en materia de privacidad, entre otras:
También invertimos en revisiones de verificación y en una plataforma centralizada para respaldar el funcionamiento del proceso de revisión de privacidad a gran escala:
— Komal Lahiri, vicepresidenta de revisión de privacidad
La protección de la privacidad de nuestros usuarios es un aspecto central de la creación y la actualización continua de nuestros productos. Para priorizarla, creamos opciones de configuración y controles predeterminados que facilitan a los usuarios configurar el nivel de privacidad con el que se sienten más cómodos. La protección de la privacidad también es un aspecto fundamental de la forma en que desarrollamos nuevos productos.
Desde 2016, Messenger ofrece a los usuarios la opción de activar el cifrado de extremo a extremo. En 2023, comenzamos a implementar el cifrado de extremo a extremo de manera predeterminada en todos los chats personales en Messenger y Facebook.
Si nos llevó años llegar a eso, fue porque nos tomamos el tiempo necesario para hacer las cosas bien. Nuestros ingenieros, criptógrafos, diseñadores, expertos en políticas y administradores de productos trabajaron incansablemente para reconstruir las funciones de Messenger de cero. Habilitar el cifrado de extremo a extremo en Messenger implicó reconstruir muchos aspectos de los protocolos de solicitud con el fin de mejorar la privacidad y la seguridad, pero manteniendo las funciones que le valieron a Messenger su enorme popularidad. Nuestro enfoque consistió en aprovechar los aprendizajes previos de WhatsApp y de las conversaciones secretas de Messenger y, luego, hacer diversas pruebas con los problemas más difíciles de resolver, como la posibilidad de utilizar varios dispositivos, la compatibilidad de las funciones, el historial de mensajes y la asistencia web. En el proceso, incorporamos nuevas funciones de privacidad, seguridad y control, como el bloqueo de apps y los controles de entrega que permiten a las personas elegir quiénes pueden enviarles mensajes, además de mejorar las funciones de seguridad actuales, como los reportes, los bloqueos y las solicitudes de mensajes.
En esencia, el cifrado de extremo a extremo busca proteger las comunicaciones, para que las personas puedan sentirse seguras al expresarse con sus amigos y seres queridos. Trabajamos en estrecha colaboración con expertos, académicos, grupos de interés y gobiernos para identificar riesgos y tomar medidas de mitigación a fin de que la privacidad y la seguridad vayan de la mano. Encargamos una evaluación independiente del impacto en los derechos humanos y publicamos un exhaustivo informe técnico sobre el enfoque de Meta respecto de la mejora de la seguridad de los mensajes privados en Messenger y en los MD de Instagram.
Los lentes inteligentes Ray-Ban Meta te permiten tomar una foto o grabar un clip de video desde tu punto de vista singular, escuchar música o atender una llamada, así como usar las funciones inteligentes que se van lanzando, y todo sin tener que sacar tu teléfono. Los lentes inteligentes Ray-Ban Meta ahora tienen una cámara de mayor calidad, sistemas mejorados de audio y micrófonos, y nuevas funciones, como los streams en vivo y Meta IA integrada, para que no tengas que elegir entre capturar el momento y vivirlo.
Los lentes inteligentes Ray-Ban Meta se crearon con la privacidad como elemento central y son una prueba fehaciente de nuestro compromiso con la innovación responsable y la privacidad desde el diseño. Incorporamos los comentarios de las partes interesadas —que obtuvimos desde el momento en que lanzamos Ray-Ban Stories— de maneras significativas y tangibles.
Lanzamos nuevas funciones de IA generativa, que incluyen stickers de IA, edición de imágenes con IA, nuestro asistente de IA, conocido como Meta AI y disponible en todas nuestras apps, y 28 nuevos personajes de IA interpretados por iconos culturales e influencers. En el marco del lanzamiento de estas funciones, incluimos una Guía de privacidad para IA generativa y otros recursos para mejorar la transparencia que permiten a las personas entender cómo creamos nuestros modelos de IA, cómo se usan nuestras funciones de IA, con qué controles cuentan y qué derechos de privacidad les corresponden.
El año pasado, actualizamos nuestra herramienta "¿Por qué veo esto?", que tiene como fin ayudar a las personas a entender por qué ven los anuncios que ven en el feed de Facebook y de Instagram. Una de las actualizaciones clave fue la síntesis de información en temas sobre cómo la actividad dentro y fuera de nuestras tecnologías —por ejemplo, indicar que te gusta una publicación en la página de Facebook de un amigo o visitar un sitio web deportivo— puede aportar información a los modelos de aprendizaje automático que usamos para diseñar y entregar los anuncios que ves. También incorporamos nuevos ejemplos e ilustraciones que explican cómo nuestros modelos de aprendizaje automático conectan diferentes temas para mostrar anuncios relevantes. Además, incorporamos más formas de que los usuarios encuentren nuestros controles de anuncios, lo que les brinda la posibilidad de acceder a las preferencias de anuncios desde otras páginas en la herramienta "¿Por qué veo esto?".
Desarrollamos la API y la biblioteca de contenido de Meta, nuevas herramientas que brindan a los investigadores calificados acceso a contenido adicional disponible públicamente en Facebook e Instagram, de formas que protegen la privacidad.
Estas herramientas ofrecen a los investigadores acceso a datos públicos casi en tiempo real, incluido el contenido de páginas, grupos y eventos en Facebook, así como de cuentas de empresas y creadores en Instagram. También están disponibles los detalles sobre el contenido, como el número de reacciones, las veces que se compartió, los comentarios y, por primera vez, el número de visualizaciones de una publicación. Los investigadores pueden buscar, explorar y filtrar ese contenido en una interfaz de usuario (UI) gráfica o a través de una API de programación.
Nos asociamos con el Consorcio Interuniversitario para la Investigación Política y Social (ICPSR) de la iniciativa Social Media Archive (SOMAR) de la Universidad de Michigan para compartir datos públicos de nuestras plataformas, donde el acceso a datos restringidos se encuentra rigurosamente controlado, y los usuarios autorizados deben aceptar estrictas condiciones de uso de datos y confidencialidad.
Nuestro trabajo destinado a comunicarnos con transparencia implica proporcionar formación externa para ayudar al público a conocer y entender mejor nuestras prácticas, así como garantizar que la información sea accesible y fácil de encontrar.
Con el fin de ofrecer mayor transparencia y control a las personas, desarrollamos una serie de herramientas de privacidad para que puedan entender lo que comparten y cómo se usa su información. Por ejemplo:
— Michel Protti, director de privacidad de productos
Seguimos creando infraestructura con la privacidad en mente: soluciones de infraestructura escalables e innovadoras que permiten a los equipos de ingeniería cumplir sin inconvenientes con los requisitos de privacidad durante la creación de productos. La infraestructura centrada en la privacidad nos permite aumentar gradualmente el uso de la automatización, en lugar de depender principalmente de recursos humanos y procesos manuales, para verificar que cumplimos con nuestras responsabilidades en materia de privacidad.
Estamos reduciendo de manera proactiva la cantidad de datos del usuario que recopilamos y usamos gracias a la implementación de herramientas y tecnologías en todas las plataformas de Meta. Seguimos invirtiendo en tecnologías de mejora de la privacidad, es decir, tecnologías basadas en técnicas criptográficas y estadísticas avanzadas que contribuyen a minimizar los datos que recopilamos, y apuntamos a que este trabajo esté disponible como tecnología de código abierto cuando resulte útil para el ecosistema general, como en el caso de las tecnologías de mejora de la privacidad para IA a través de PyTorch. Asimismo, nuestras inversiones en tecnologías de mejora de la privacidad nos ayudaron a habilitar una nueva función de seguridad criptográfica en WhatsApp que ayuda a verificar que tu conexión y tus conversaciones sean seguras a partir de la transparencia de la clave. Esta función reduce las posibilidades de que un tercero se haga pasar por la persona o la empresa con la que un usuario desea conectarse y compartir mensajes cifrados. El sistema consiste en comparar las claves públicas de la conversación con un directorio del servidor que almacena claves públicas e información de usuario para verificar su validez y, luego, proporcionar un registro de auditoría disponible públicamente que preserva la privacidad. Este registro permite a cualquier persona verificar que no se hayan eliminado ni modificado datos en el directorio.
De igual modo, desarrollamos un marco para la eliminación de códigos y activos que orienta a los equipos de ingeniería en la discontinuación segura y eficiente de los productos. Discontinuar un producto es una tarea compleja que supone dependencias tanto internas como externas, por ejemplo, de otros productos de Meta que no siempre se discontinúan también. Para dar respuesta a este inconveniente, nuestro Marco sistemático de eliminación de códigos y activos (SCARF) ofrece una herramienta de administración de flujos de trabajo que ahorra tiempo a los equipos de ingeniería gracias a que identifica las dependencias y el orden correcto de las tareas para discontinuar un producto. Además, el SCARF incluye subsistemas para la eliminación segura del código muerto y de los tipos de datos sin uso.
El SCARF se utiliza en miles de proyectos de discontinuación a cargo de seres humanos, y permite eliminar de manera automática millones de activos de código y datos. También resulta útil a nuestros equipos de privacidad, que usan la herramienta para supervisar el avance de las discontinuaciones de productos y para asegurarse de que se completen en tiempo y forma.
"Lograr un correcto enfoque en materia de privacidad es una inversión constante y colectiva en toda nuestra empresa, y avanzar en nuestra misión es responsabilidad de todos en Meta".— Michel Protti, director de privacidad de productos
Proteger los datos y la privacidad de los usuarios es fundamental en nuestra empresa y en nuestra visión para el futuro. Para lograrlo, perfeccionamos y mejoramos continuamente nuestro programa de privacidad y nuestros productos, mientras respondemos a las cambiantes expectativas y los avances tecnológicos —trabajando con legisladores y especialistas en protección de datos para buscar soluciones a desafíos sin precedentes— y compartimos nuestros avances.