La privacidad no es solo un documento
Todo producto SaaS moderno tiene una política de privacidad. La mayoría dice lo correcto.
Describen qué datos se recopilan, cómo se usan, qué categorías de destinatarios los reciben, cuánto tiempo se conservan y cómo un cliente puede ejercer sus derechos.
Eso es necesario, pero no suficiente.
Una política de privacidad te dice lo que un proveedor promete hacer. La arquitectura del producto te dice lo que podría hacer.
Si una política dice "no vendemos tus datos" pero la arquitectura está construida sobre infraestructura de tecnología publicitaria, la política está haciendo gran parte del trabajo. Si una política dice "mantenemos tus datos seguros" pero el sistema se sostiene con veinte servicios externos, la política está haciendo promesas sobre partes del sistema que el proveedor no puede controlar por completo.
Creemos que la privacidad debe ser visible primero en la arquitectura y descrita después en la política.
Lo que realmente significa "por arquitectura"
La privacidad por arquitectura es la idea de que la propia estructura del sistema debe limitar cómo se pueden recopilar, acceder, procesar y compartir los datos.
Es la diferencia entre "elegimos no hacer X" y "construimos la plataforma de una forma que hace que X sea poco práctico".
Lo primero es una cultura. Lo segundo es una restricción.
Las culturas cambian. Las restricciones son estables.
Las decisiones que la definen
La privacidad por arquitectura no es una sola función. Es una secuencia de pequeñas decisiones, repetidas durante años.
Elegir operar componentes internamente en lugar de enrutar datos a través de servicios externos. Elegir minimizar las categorías de datos que recopilamos. Elegir no integrarnos con ecosistemas de publicidad o seguimiento del comportamiento. Elegir almacenar los datos empresariales en las regiones que nuestros clientes esperan. Elegir mantener los espacios de trabajo aislados. Elegir no analizar el contenido de los clientes para obtener información de marketing.
Ninguna de esas decisiones es dramática por sí sola. El efecto acumulado es lo que da forma a la plataforma.
Lo que deliberadamente no recopilamos
Un ejercicio útil es el inverso del resumen de privacidad típico.
No recopilamos perfiles de comportamiento de tu equipo para segmentación publicitaria. No grabamos repeticiones de sesión del uso del espacio de trabajo. No implementamos seguimiento entre sitios de redes publicitarias dentro de la plataforma autenticada. No recopilamos datos cuya necesidad no podamos justificar.
Cada dato adicional que recopila una plataforma es una decisión de privacidad. La mayoría de las plataformas se inclinan por recopilar más. Nosotros nos inclinamos por recopilar menos.
Lo que deliberadamente no compartimos
No hay reventa de información de clientes. No hay intercambio con socios de marketing. No hay canalización hacia corredores de datos. No hay conjuntos de datos "anonimizados" con licencia para terceros.
Cuando un proveedor dice "podemos compartir datos agregados y anonimizados con nuestros socios", conviene entender qué permite realmente esa frase. Nosotros no quisimos escribirla.
Lo que deliberadamente no conservamos para siempre
La retención de copias de seguridad existe por razones de fiabilidad operativa y obligación regulatoria. Documentamos nuestros periodos de retención en la Política de Privacidad.
Pero fuera de esas ventanas de retención explícitas, eliminamos lo que ya no necesitamos. No mantenemos la información de clientes indefinidamente por defecto. No conservamos activos los datos de cuentas canceladas por si "podrías volver". No acumulamos información para futuras ideas de producto.
Si no necesitábamos conservarla, la eliminamos.
Por qué importa la minimización
La minimización de datos es uno de los principios fundamentales del GDPR. También es buena ingeniería.
Cada dato adicional que almacena un sistema es algo que debe protegerse, asegurarse, respaldarse, replicarse, mantenerse conforme y, finalmente, eliminarse. Menos datos significa menos superficie que defender.
Para nuestros clientes, también significa menos de qué preocuparse. La información que existe es la información que tú pones ahí, no una larga sombra de metadatos de comportamiento que alguien, en algún lugar, podría acabar encontrando útil.
Por qué importa el aislamiento
Cada espacio de trabajo de KIMISUITE está aislado lógicamente de todos los demás. Los datos de tu empresa no se mezclan con el contenido de otros clientes. Las operaciones entre espacios de trabajo no ocurren por defecto. La funcionalidad entre espacios de trabajo es opcional y explícita.
Ese aislamiento está integrado en el funcionamiento de la plataforma, no solo en la política.
Por qué la arquitectura supera al marketing
Es fácil para cualquier proveedor escribir "la privacidad está en nuestro ADN" en una página de marketing. No cuesta nada.
Es más difícil tomar decisiones arquitectónicas que restrinjan la propia plataforma: decisiones que deben defenderse cada vez que aparece un requisito competidor.
Los equipos internos pedirán más datos de comportamiento. Los equipos de ventas pedirán perfiles de clientes más completos. Marketing querrá repeticiones de sesión. Algún inversor futuro sugerirá monetizar conjuntos de datos "anonimizados".
La respuesta a todo eso, por arquitectura y por intención, es no.
Reflexiones finales
Una política de privacidad puede describir lo que un proveedor quiere hacer.
La arquitectura de una plataforma decide lo que un proveedor puede hacer.
Elegimos hacer que ambas coincidan y mantenerlas alineadas a medida que la plataforma crece.
Si tu empresa almacena información importante dentro de una plataforma SaaS, vale la pena examinar esa coincidencia con atención.
Sigue leyendo la serie Trust:
← Anterior: ¿Quién puede acceder a los datos de tu empresa?
→ Siguiente: ¿Qué pasa con tus datos cuando cancelas?
Inicia tu prueba gratuita de 14 días · Ver precios de KIMISUITE