— Michel Protti, director de privacidad de productos
Nuestra labor en materia de privacidad está apuntalada por nuestras estructuras de gobernanza internas, que integran las normas de privacidad y uso de datos a cada una de las operaciones de la empresa.
En nuestro proceso continuo de integración de la privacidad a todos los ámbitos de la empresa, incorporamos equipos de privacidad a los grupos de productos. Estos equipos aportan su experiencia en privacidad, lo que fortalece la comprensión de las consideraciones relacionadas con ella. Los equipos facilitan el cumplimiento de las responsabilidades relativas a la privacidad en todos nuestros productos.
El equipo de privacidad y prácticas relativas a los datos, dirigido por el director de privacidad de productos, Michel Protti, está formado por decenas de otros equipos, tanto técnicos como no técnicos, centrados en definir y mantener estrategias de privacidad y en brindar al resto de la empresa las herramientas necesarias para adherir a sus disposiciones.
El equipo de privacidad y prácticas relativas a los datos está en el centro de las iniciativas de nuestra empresa para mantener un programa integral de privacidad. Su trabajo está guiado por su misión, que es inculcar en Meta prácticas relativas a los datos que sean responsables. Para ello, se aseguran de que las personas comprendan cómo Meta usa sus datos y confíen en que nuestros productos los usen de manera responsable.
El equipo de privacidad y prácticas relativas a los datos es tan solo una de las numerosas organizaciones de la empresa que se encargan de la privacidad. Hay miles de personas en diferentes organizaciones y funciones en todo Meta, como la de política pública y la de asuntos legales, que trabajan para integrar la privacidad en todos los aspectos de las actividades de nuestra empresa. Lograr un correcto enfoque en materia de privacidad es una iniciativa de carácter totalmente interfuncional, y creemos que todos los miembros de Meta son responsables de dicha iniciativa.
Dirigido por Erin Egan, vicepresidenta y directora de privacidad, el equipo de política de privacidad y datos lidera nuestro compromiso en el debate público global en torno a la privacidad, incluidos los nuevos marcos normativos, y garantiza que los comentarios de los gobiernos y los especialistas de todo el mundo se tengan en cuenta a la hora de diseñar nuestros productos y utilizar los datos.
Para lograrlo, el equipo de política de privacidad y datos acude a estos grupos por medio de diferentes mecanismos de consulta, entre los que se incluyen:
También organizamos una serie de charlas regulares y un encuentro anual de expertos en privacidad con destacados especialistas en privacidad de todo el mundo para hablar de diferentes asuntos apremiantes relacionados con la política de privacidad.
El equipo legal de privacidad participa en el diseño y la ejecución continua de nuestro programa, y brinda asesoramiento sobre los requisitos legales en las distintas instancias de nuestro proceso de revisión de la privacidad.
El comité de privacidad es un órgano independiente de nuestra junta de directores que se reúne, como mínimo, cada tres meses para asegurarse de que cumplimos con nuestro compromiso de privacidad. El comité está conformado por directores independientes con gran experiencia en funciones de supervisión similares. Al menos una vez por trimestre, recibe informes sobre, entre otras cuestiones, el panorama normativo global, el estado de nuestro programa de privacidad y el estado de la evaluación externa independiente de nuestro programa de privacidad.
La auditoría interna aporta una garantía independiente sobre el estado general de nuestro programa de privacidad y el marco de control que lo sustenta.
Parte de asegurarnos de que cada persona entienda el rol que cumple en la protección de la privacidad en Meta consiste en fomentar el aprendizaje y la formación continua sobre privacidad por medio de capacitaciones y campañas internas de concientización en torno a la temática.
Un componente fundamental de este enfoque orientado a la formación en privacidad está dado por nuestras capacitaciones sobre privacidad. Estas capacitaciones cubren los aspectos básicos de la privacidad y están diseñadas para ayudar a que todas las personas que conforman Meta desarrollen la capacidad de reconocer y considerar riesgos relativos a la privacidad. Con su formato de aprendizaje virtual, nuestra capacitación anual sobre privacidad y nuestros cursos de capacitación sobre privacidad para nuevos empleados y nuevos trabajadores temporales ofrecen ejemplos basados en situaciones hipotéticas de consideraciones de privacidad en línea con nuestras operaciones comerciales e incluyen una evaluación para poner a prueba los conceptos aprendidos. Estas capacitaciones se actualizan e implementan todos los años para asegurarnos de incluir información relevante, junto con los conceptos básicos.
Junto con nuestra capacitación básica sobre privacidad, que es de carácter obligatorio, mantenemos y ponemos a disposición de todos los integrantes de Meta un catálogo de todas las capacitaciones sobre privacidad conocidas, que incluyen temas relevantes para personas que desempeñan roles específicos.
Otro de los métodos que utilizamos para fomentar la formación en materia de privacidad es el uso de comunicaciones periódicas dirigidas a los empleados. Además de nuestros cursos de capacitación sobre privacidad, divulgamos de manera permanente contenido sobre privacidad a través de los canales de comunicación internos, las novedades del liderazgo dedicado al tema, sesiones internas de preguntas y respuestas y una semana enteramente dedicada a la privacidad.
Durante nuestra semana dedicada a la privacidad, impulsamos el enfoque entre empresas sobre la privacidad, contamos con la participación de oradores internos y externos, y destacamos los conceptos y las prioridades clave a través de contenidos y eventos atractivos.
Cuando participamos en eventos externos sobre privacidad, como el Día Internacional de la Protección de Datos o nuestro encuentro anual de expertos en privacidad, fomentamos la concientización y el compromiso de la empresa a través de los canales internos para garantizar que todos tengan la oportunidad de participar y aprender sobre privacidad.
Contamos con un equipo especializado cuya función es ayudarnos a cumplir con las reglamentaciones globales de privacidad y datos. Nuestro proceso de preparación reglamentaria se estructura en torno a temas de privacidad o "áreas de privacidad" clave (como jóvenes, datos confidenciales, consentimiento, etc.) para ayudarnos a garantizar el cumplimiento integral de los requisitos de privacidad.
Creamos nuestro programa de administración de riesgos para la privacidad a fin de identificar y evaluar los riesgos relativos a la privacidad relacionados con la forma en que recopilamos, usamos, compartimos y almacenamos los datos de los usuarios. Este proceso nos permite identificar temas de riesgo, mejorar nuestro programa de privacidad y prepararnos para futuras iniciativas de cumplimiento de normas.
Diseñamos medidas de seguridad, que incluyen procesos y controles técnicos, para abordar los riesgos de privacidad. Como parte de esta iniciativa, realizamos evaluaciones internas tanto del diseño como de la eficacia de las medidas de seguridad con el fin de mitigar el riesgo relativo a la privacidad.
Establecimos una función centralizada de administración de problemas para facilitar la autoidentificación y la remediación de problemas relacionados con la privacidad. Este proceso abarca todo el ciclo de vida de la administración de problemas de privacidad: la admisión y la clasificación, la planificación de la remediación y el cierre basado en pruebas.
Conformamos un equipo rojo de privacidad cuyo rol es poner a prueba de manera proactiva nuestros procesos y tecnologías destinados a identificar potenciales riesgos para la privacidad. El equipo rojo de privacidad asume la función de agentes externos o internos que intentan evadir nuestros controles de privacidad y medidas de seguridad, lo que nos ayuda a identificar proactivamente las áreas en las que podemos mejorar nuestro entorno de control.
Independientemente de lo robustas que sean nuestras medidas de seguridad y mitigaciones, necesitamos también un proceso para (1) identificar cuándo un evento podría socavar la confidencialidad, la integridad o la disponibilidad de los datos por los que Meta es responsable,(2) investigar estas situaciones y (3) tomar las medidas necesarias para abordar las brechas que identifiquemos.
Nuestro programa de administración de incidentes opera globalmente para supervisar los procesos mediante los cuales detectamos, evaluamos, mitigamos y solucionamos los incidentes de privacidad. Si bien el equipo de privacidad y prácticas relativas a los datos lidera el proceso de administración de incidentes, los incidentes de privacidad son responsabilidad de todas las personas que forman parte de Meta. Todos los equipos de la empresa, incluidos los de productos y asuntos legales, desempeñan un papel fundamental. Seguimos invirtiendo tiempo, recursos y energía en la construcción de un programa de varios niveles Seguimos invirtiendo tiempo, recursos y energía en la creación de un programa de varias capas que evoluciona y se perfecciona constantemente. A continuación, destacamos tres componentes de nuestro enfoque:
Adoptamos un enfoque organizado en niveles para proteger a las personas y su información. Este enfoque incluye la implementación de medidas de seguridad diseñadas para detectar errores de manera proactiva, antes de que se conviertan en un problema. Debido a la escala de nuestras operaciones, invertimos de manera significativa en la creación y la implementación de una amplia variedad de herramientas automáticas que nos ayudan a detectar y solucionar posibles problemas de privacidad tan pronto y tan rápido como sea posible. Estos sistemas automáticos fueron diseñados para detectar incidentes en tiempo real para facilitar una respuesta rápida.
Por supuesto, independientemente de la capacidad de nuestros sistemas automatizados, la supervisión y la diligencia de nuestros empleados siempre desempeñan un rol clave para ayudar a detectar y solucionar proactivamente los incidentes. Nuestros equipos de ingenieros revisan regularmente nuestros sistemas para detectar y solucionar los problemas antes de que puedan afectar a las personas.
Desde 2011, llevamos a cabo un programa de recompensas por reporte de errores en el que investigadores externos ayudan a mejorar la seguridad y la privacidad de nuestros productos y sistemas notificándonos posibles vulnerabilidades de seguridad. El programa nos ayuda a ampliar las iniciativas de detección y a solucionar los problemas más rápidamente con el fin de brindar una mayor protección a nuestra comunidad. Además, con las recompensas que pagamos a los participantes que reúnen los requisitos, fomentamos la realización de más investigaciones de seguridad de alta calidad.
En los últimos 10 años, más de 50.000 investigadores se unieron a este programa y alrededor de 1.500 investigadores de 107 países recibieron recompensas.
Aunque adoptamos una serie de medidas de protección para evitar incidentes relacionados con la privacidad, como el acceso no autorizado a los datos, si se produce un incidente, creemos que la transparencia es una forma importante de recuperar la confianza en nuestros productos, servicios y procesos. De este modo, además de corregir y aprender de nuestros errores, el programa de administración de incidentes incluye los pasos necesarios para notificar a las personas cuando corresponda, por ejemplo, a través de una publicación en nuestro Newsroom o en nuestro blog "La privacidad es importante" sobre los problemas que afectan a nuestra comunidad, o el trabajo con las fuerzas del orden u otros funcionarios para abordar los incidentes que detectamos.
Los terceros son socios externos que hacen negocios con Meta, pero que no pertenecen ni son operados por Meta. Por lo general, estos terceros se dividen en dos categorías principales: los que prestan un servicio a Meta (como los proveedores que ofrecen apoyo en lo relativo al diseño de sitios web), y los que desarrollan sus negocios en torno a nuestra plataforma (como los desarrolladores de apps o de API). Para mitigar los riesgos relativos a la privacidad que plantean los terceros que reciben acceso a la información personal, desarrollamos un programa específico de supervisión y administración que monitorea los riesgos relacionados con terceros e implementa las medidas de seguridad de privacidad que correspondan.
También desarrollamos un proceso de evaluación de la privacidad de terceros para que los proveedores de servicios evalúen y mitiguen el riesgo relativo a la privacidad. Nuestro proceso exige que estos proveedores de servicios también estén obligados en virtud de contratos que incluyan protecciones de la privacidad. Su perfil de riesgo determina la forma en que se supervisan y reevalúan, y, si corresponde, las medidas de relacionadas con el cumplimiento que deben tomarse como resultado de las infracciones, entre ellas, la finalización del vínculo.
Diseñamos un proceso formal para exigir el cumplimiento de las normas y la desvinculación de los terceros que infrinjan sus obligaciones en materia de privacidad o seguridad. Incluye normas y mecanismos técnicos que respaldan mejores prácticas para desarrolladores en nuestra plataforma, tales como los siguientes:
Nuestro equipo de uso indebido de datos se dedica a detectar, investigar y bloquear patrones de comportamiento asociados con la extracción de datos. La extracción de datos, o scraping, es la recopilación automatizada de datos provenientes de un sitio web o una app, y puede estar autorizada o no. El uso de herramientas automáticas para recopilar los datos de las plataformas de Meta o acceder a ellos sin nuestra autorización es una infracción de nuestras condiciones del servicio.
Seguimos invirtiendo en infraestructura y herramientas para dificultar el accionar de quienes se dedican a recopilar datos de nuestros servicios y, en caso de que logren hacerlo, evitar que puedan sacar rédito de ello. Algunos ejemplos de estas inversiones incluyen los límites de frecuencia y los límites de datos. Los límites de frecuencia limitan la cantidad de veces que una persona puede interactuar con nuestros productos en un período dado, y los límites de datos impiden que las personas obtengan más datos que los necesarios para usar nuestros productos con normalidad.
Usamos los identificadores de usuario y contenido generados internamente tras observar que la extracción de datos no autorizada a menudo supone adivinar o comprar dichos identificadores. También utilizamos nuevos identificadores con seudónimos que ayudan a impedir la extracción de datos no autorizada al hacer que a las personas que se dedican a extraer datos les resulte más difícil adivinar y conectar los datos y acceder reiteradamente a ellos.
Cada día, bloqueamos miles de millones de posibles acciones de extracción de datos no autorizada en Facebook e Instagram, y tomamos una serie de medidas en contra de las personas que se dedican a extraer datos sin autorización, entre las que se incluyen desactivar cuentas y solicitar a las empresas que alojan datos extraídos de forma no autorizada que los eliminen.
En Meta, el proceso de revisión de la privacidad es una parte central de la actualización y el desarrollo de nuestros productos, servicios y prácticas. Mediante este proceso, evaluamos cómo se usarán y protegerán los datos como parte de nuestros productos, servicios y prácticas nuevos o actualizados. Revisamos un promedio mensual de 1.200 productos, funciones y prácticas relativas a los datos en toda la empresa antes de su envío con el fin de evaluar y mitigar riesgos relativos a la seguridad.
Como parte del proceso, un equipo interfuncional de expertos en privacidad evalúa los potenciales riesgos de privacidad asociados a un proyecto y determina si es necesario realizar algún cambio antes de su lanzamiento para mitigar tales riesgos. Si existe alguna discrepancia entre la evaluación de riesgos correspondientes o las mitigaciones propuestas para el producto, el proceso exige que los equipos escalen el asunto al liderazgo de productos y políticas y, en última instancia, a la dirección ejecutiva, con el fin de realizar una evaluación más profunda y tomar una decisión.
El desarrollo de productos, servicios o prácticas nuevos o modificados a lo largo del proceso de revisión de la privacidad se guía por nuestras expectativas internas en materia de privacidad, que incluyen las siguientes:
También invertimos en revisiones de verificación y en una plataforma centralizada para respaldar el funcionamiento del proceso de revisión de la privacidad a gran escala:
—Komal Lahiri, vicepresidenta de revisión de privacidad
La protección de la privacidad de nuestros usuarios es un aspecto central de la creación y la actualización continua de nuestros productos. Para poder priorizarla, creamos opciones de configuración y controles predeterminados para que a los usuarios les sea más sencillo configurar el nivel de privacidad con el que se sienten más cómodos. La protección de la privacidad también es un aspecto fundamental de la forma en que desarrollamos nuevos productos.
Desde 2016, Messenger ofrece a las personas la opción de activar el cifrado de extremo a extremo. En 2023, comenzamos a implementar el cifrado de extremo a extremo de manera predeterminada en todos los chats personales en Messenger y Facebook.
La razón por la cual esta función demoró varios años en estar disponible es que nos tomamos el tiempo necesario para hacer las cosas bien. Nuestros ingenieros, criptógrafos, diseñadores, expertos en políticas y administradores de productos trabajaron incansablemente para reconstruir las funciones de Messenger de cero. Habilitar el cifrado de extremo a extremo en Messenger significó fundamentalmente reconstruir muchos aspectos de los protocolos de solicitud con el fin de mejorar la privacidad y la seguridad, pero manteniendo las funciones que le valieron a Messenger toda su popularidad. Nuestro enfoque consistió en aprovechar los aprendizajes previos de WhatsApp y de las conversaciones secretas de Messenger y, luego, hacer diversas pruebas con los problemas más difíciles de resolver, como la posibilidad de utilizar varios dispositivos, la compatibilidad de las funciones, el historial de mensajes y la asistencia web. En el proceso, incorporamos nuevas funciones de privacidad, seguridad y control, como el bloqueo de apps y los controles de entrega que permiten a las personas elegir quiénes pueden enviarles mensajes, además de mejorar las funciones de seguridad actuales, como los reportes, los bloqueos y las solicitudes de mensajes.
En esencia, el cifrado de extremo a extremo busca proteger las comunicaciones, para que las personas puedan sentirse seguras al expresarse con sus amigos y seres queridos. Trabajamos en estrecha colaboración con expertos, académicos, defensores y gobiernos para identificar riesgos y crear mitigaciones que aseguren que la privacidad y la seguridad vayan de la mano. Encargamos una evaluación independiente del impacto en los derechos humanos y publicamos un exhaustivo informe técnico sobre el enfoque de Meta respecto de la mejora de la seguridad de los mensajes privados en Messenger y en los MD de Instagram.
Los lentes inteligentes Ray-Ban Meta te permiten tomar una foto o grabar un clip de video desde tu punto de vista exclusivo, escuchar música o atender una llamada, así como usar las funciones inteligentes a medida que se van implementando, y todo sin tener que sacar tu teléfono. Los lentes inteligentes Ray-Ban Meta fueron rediseñados con una cámara de mayor calidad, sistemas mejorados de audio y micrófonos, y nuevas funciones, como los streams en vivo y la integración con Meta AI, para que no tengas que decidir entre capturar el momento y vivirlo.
Los lentes inteligentes Ray-Ban Meta se crearon con la privacidad como elemento central y son una prueba fehaciente de nuestro compromiso con la innovación responsable y la privacidad desde el diseño. Incorporamos los comentarios de las partes interesadas —que obtuvimos desde el momento en que lanzamos Ray-Ban Stories— de maneras significativas y tangibles.
Lanzamos nuevas funciones de IA generativa, que incluyen stickers de IA, edición de imágenes con IA, nuestro asistente de IA conocido como Meta AI, y AI Studio, donde los usuarios pueden crear su propia IA personalizada. Al crear estas innovadoras funciones de IA generativa, incluimos importantes medidas de protección de la privacidad y desarrollamos una Guía de privacidad para IA generativa, junto con otros recursos para mejorar la transparencia. Esto permite que las personas entiendan cómo creamos nuestros modelos de IA, cómo se usan nuestras funciones de IA, con qué opciones cuentan y qué derechos de privacidad les corresponden.
El año pasado, actualizamos nuestra herramienta "¿Por qué veo esto?", que tiene como fin ayudar a las personas a entender por qué ven los anuncios que ven en el feed de Facebook y de Instagram. Una de las actualizaciones clave fue la sintetización de información en temas sobre cómo la actividad dentro y fuera de nuestras tecnologías —como indicar que te gusta una publicación en la página de Facebook de un amigo o visitar un sitio web deportivo— puede aportar información a los modelos de aprendizaje automático que usamos para moldear y entregar los anuncios que ves. También incorporamos nuevos ejemplos e ilustraciones para explicar cómo nuestros modelos de aprendizaje automático conectan diferentes temas para mostrar anuncios relevantes. Además, incorporamos más formas para que los usuarios encuentren nuestros controles de anuncios, lo que les brinda la posibilidad de acceder a las preferencias de anuncios desde otras páginas en la herramienta "¿Por qué veo esto?".
Desarrollamos la API y la biblioteca de contenido de Meta, nuevas herramientas que brindan a los investigadores calificados acceso a contenido adicional disponible públicamente en Facebook e Instagram, de formas que protegen la privacidad.
Estas herramientas ofrecen a los investigadores acceso a datos públicos casi en tiempo real, incluido el contenido de páginas, grupos y eventos en Facebook, así como de cuentas de empresas y creadores en Instagram. También están disponibles los detalles sobre el contenido, como el número de reacciones, las veces que se compartió, los comentarios y, por primera vez, el número de visualizaciones de una publicación. Los investigadores pueden buscar, explorar y filtrar ese contenido en una interfaz de usuario (IU) gráfica o a través de una API de programación.
Nos asociamos con el Consorcio Interuniversitario para la Investigación Política y Social (ICPSR) de la iniciativa Social Media Archive (SOMAR) de la Universidad de Michigan para compartir datos públicos de nuestras plataformas, donde el acceso a datos restringidos se encuentra rigurosamente controlado, y los usuarios autorizados aceptaron estrictas condiciones de uso de datos y confidencialidad para obtener dicho acceso.
Nuestro trabajo destinado a comunicar de forma transparente implica proporcionar formación externa para facilitar la comprensión y el conocimiento por parte de las personas de nuestras prácticas, y garantizar que la información sea accesible y fácil de encontrar.
Con el fin de ofrecer una mayor transparencia y control a las personas, desarrollamos una serie de herramientas de privacidad para que puedan entender lo que comparten y cómo se usa su información. Entre ellas, se incluyen las siguientes:
—Michel Protti, director de privacidad de productos
Seguimos creando infraestructura con la privacidad en mente: soluciones de infraestructura escalables e innovadoras que permiten a los equipos de ingeniería cumplir sin inconvenientes con los requisitos de privacidad durante la creación de productos. La infraestructura centrada en la privacidad nos permite aumentar gradualmente el uso de la automatización, en lugar de depender principalmente de recursos humanos y procesos manuales, para verificar que estemos cumpliendo con nuestras responsabilidades en materia de privacidad.
Estamos reduciendo de manera proactiva la cantidad de datos del usuario que recopilamos y usamos gracias a la implementación de herramientas y tecnologías en todas las plataformas de Meta. Seguimos invirtiendo en tecnologías de mejora de la privacidad, que son tecnologías basadas en técnicas criptográficas y estadísticas avanzadas que contribuyen a minimizar los datos que recopilamos, y venimos trabajando para lograr que este trabajo esté disponible como tecnología de código abierto en los casos donde resulte útil para el ecosistema general, incluidas las tecnologías de mejora de la privacidad para IA a través de PyTorch. Asimismo, nuestras inversiones en tecnologías de mejora de la privacidad nos ayudaron a habilitar una nueva función de seguridad criptográfica en WhatsApp que ayuda a verificar que tu conexión y tus conversaciones sean seguras a partir de la transparencia de la clave. Esta función reduce las posibilidades de que un tercero se haga pasar por la persona o la empresa con la que un usuario desea conectarse y compartir mensajes cifrados. Para lograrlo, compara las claves públicas de la conversación con un directorio del servidor que almacena claves públicas con información de usuario para verificar su validez y, luego, proporciona un registro de auditoría disponible públicamente que preserva la privacidad. Este registro permite a cualquier persona verificar que no se eliminaron ni modificaron datos en el directorio.
De igual modo, desarrollamos un marco para la eliminación de códigos y activos que orienta a los equipos de ingeniería para discontinuar un producto de manera segura y eficiente. La discontinuación de un producto es una tarea compleja que supone dependencias tanto internas como externas, incluidas las dependencias de otros productos de Meta cuya eliminación puede estar fuera de alcance. Para dar respuesta a este inconveniente, nuestro Marco sistemático de eliminación de códigos y activos (SCARF) incluye una herramienta de administración de flujos de trabajo que les ahorra tiempo a los equipos de ingeniería al identificar las dependencias y el orden correcto de las tareas para discontinuar un producto. Además, el SCARF incluye subsistemas para la eliminación segura del código muerto y de los tipos de datos sin uso.
El SCARF se utiliza en miles de proyectos de discontinuación dirigidos por humanos y permite eliminar de manera automática millones de activos de código y datos. También resulta útil para nuestros equipos de privacidad, quienes usan la herramienta para hacer un seguimiento del avance de las discontinuaciones de productos en curso y para asegurarse de que se completen en tiempo y forma.
"Lograr un correcto enfoque en materia de privacidad es una inversión constante y colectiva en toda nuestra empresa, y avanzar en nuestra misión es responsabilidad de todos en Meta".—Michel Protti, director de privacidad de productos
Proteger los datos y la privacidad de los usuarios es fundamental para nuestra empresa y nuestra visión para el futuro. Para lograrlo, perfeccionamos y mejoramos continuamente nuestro programa de privacidad y nuestros productos, mientras respondemos a las cambiantes expectativas y los avances tecnológicos —trabajando con legisladores y especialistas en protección de datos para buscar soluciones a desafíos sin precedentes— y compartimos nuestro progreso en el transcurso.