19 de diciembre de 2023
La protección de datos, también llamada "privacidad de la información", es el principio de que una persona debe tener control sobre sus datos personales, incluida la capacidad de decidir cómo las organizaciones recopilan, almacenan y utilizan sus datos.
Las empresas recopilan regularmente datos de usuarios, como direcciones de correo electrónico, datos biométricos y números de tarjetas de crédito. Para las organizaciones en esta economía de datos, apoyar la protección de datos significa tomar medidas como obtener el consentimiento del usuario antes de procesar los datos, proteger los datos del uso indebido y permitir que los usuarios administren activamente sus datos.
Muchas organizaciones tienen la obligación legal de defender los derechos de protección de datos en virtud de leyes como el Reglamento General de Protección de Datos (RGPD). Incluso en ausencia de una legislación formal sobre protección de datos, las empresas pueden beneficiarse de la adopción de medidas de privacidad. Las mismas prácticas y herramientas que protegen la privacidad de los usuarios pueden defender datos y sistemas sensibles de hackers maliciosos.
Protección de datos vs. seguridad de datos
La protección de datos y la seguridad de datos son disciplinas distintas pero relacionadas. Ambos son componentes fundamentales de la estrategia de gobierno de datos más amplia de una empresa.
La protección de los datos se centra en los derechos individuales de los interesados, es decir, los usuarios que son propietarios de los datos. Para las organizaciones, la práctica de la protección de los datos consiste en implementar políticas y procesos que permitan a los usuarios controlar sus datos de acuerdo con las normas de protección de datos pertinentes.
La seguridad de los datos se centra en proteger los datos contra el acceso no autorizado y el uso indebido. Para las organizaciones, la práctica de la seguridad de los datos es en gran medida una cuestión de implementar controles para evitar que los hackers y amenazas internas manipulen los datos.
La seguridad de datos refuerza la protección de datos al garantizar que solo las personas adecuadas puedan acceder a los datos personales por las razones correctas. La protección de datos refuerza la seguridad de los datos al definir las "personas adecuadas" y las "razones correctas" para cualquier conjunto de datos.
Refuerce su inteligencia de seguridad
Manténgase a la vanguardia de las amenazas con noticias e información sobre seguridad, IA y mucho más, semanalmente en el boletín Think.
En muchas organizaciones, la protección de datos es supervisada por un equipo interdisciplinario con representantes de los departamentos legales, de cumplimiento, de TI y de ciberseguridad. Estos equipos elaboran políticas de gestión de datos que rigen la forma en que sus organizaciones recopilan, utilizan y protegen los datos personales a la luz de los derechos de privacidad de los usuarios. También diseñan procesos para que los usuarios ejerzan sus derechos e implementan controles técnicos para proteger los datos.
Las organizaciones pueden utilizar diversos marcos de protección de datos para guiar sus políticas de datos, incluidos el marco de protección de datos del NIST1 y los principios de prácticas justas de información2. Además, las características específicas de la estrategia de gobierno de datos de cualquier organización dependen en gran medida de las leyes de protección de datos que la empresa debe cumplir, si las hubiera.
Dicho esto, hay algunos principios generales de protección de datos que aparecen en la mayoría de los marcos y reglamentos. Estos principios sirven de base para las políticas, los procesos y los controles de protección de datos de muchas organizaciones.
Los usuarios tienen derecho a saber qué datos tiene una empresa. Los usuarios deben poder acceder a sus datos personales bajo demanda. Deben poder actualizar o modificar esos datos según sea necesario.
Los usuarios tienen derecho a saber quién tiene sus datos y qué hacen con ellos. En el momento de la recopilación de datos, las organizaciones deben comunicar claramente lo que están recopilando y cómo pretenden utilizarlo. Después de recopilar datos, las organizaciones deben mantener informados a los usuarios sobre los detalles clave del procesamiento de datos, incluidos los cambios en la forma en que se utilizan los datos y los terceros con los que se comparten los datos.
De manera interna, las organizaciones deben mantener inventarios actualizados de todos los datos que poseen. Los datos deben clasificarse en función del tipo, el nivel de sensibilidad, los requisitos de cumplimiento y otros factores relevantes. El control de acceso y las políticas de uso deben aplicarse en función de estas clasificaciones.
Las organizaciones deben obtener el consentimiento del usuario para el almacenamiento, la recopilación, el intercambio o el procesamiento de datos siempre que sea posible. Si una organización conserva o utiliza datos personales sin el consentimiento del sujeto, debe tener una razón convincente para hacerlo, como un uso de interés público o una obligación legal.
Los interesados deben tener una forma de plantear inquietudes u oponerse al manejo de sus datos. Deben poder retirar su consentimiento en cualquier momento.
Las organizaciones deben esforzarse por garantizar que los datos que recopilan y conservan sean precisos. Las imprecisiones pueden provocar violaciones de la privacidad. Por ejemplo, si una empresa tiene una dirección antigua registrada, podría enviar accidentalmente documentos sensibles a la persona equivocada.
Una organización debe tener un propósito definido para cualquier dato que recopile. Debe comunicar este propósito a los usuarios y utilizar los datos únicamente para este propósito. La organización solo debe recopilar la cantidad mínima de datos necesaria para su propósito declarado y conservar los datos solo hasta que se cumpla ese propósito.
La privacidad debe ser el estado predeterminado de cada sistema y proceso de la organización. Cualquier producto que diseñe o implemente la organización debe tratar la privacidad del usuario como una característica principal y una preocupación clave. La recopilación y el procesamiento de datos deben realizarse por aceptación y no por exclusión. Los usuarios deben mantener el control de sus datos en cada paso.
Las organizaciones deben implementar procesos y controles para proteger la confidencialidad e integridad de los datos de los usuarios.
A nivel de proceso, las organizaciones pueden tomar medidas como capacitar a los empleados sobre los requisitos de cumplimiento y trabajar solo con proveedores y proveedores de servicios que respeten la privacidad del usuario.
A nivel de los controles técnicos, las organizaciones pueden utilizar varias herramientas para proteger los datos. Las soluciones de gestión de identidades y accesos (IAM) pueden aplicar políticas de control de acceso basadas en funciones para que solo los usuarios autorizados puedan acceder a datos sensibles. Las medidas de autenticación estrictas, como el inicio de sesión único (SSO) y la autenticación multifactor (MFA), pueden impedir que los piratas informáticos secuestren las cuentas de los usuarios legítimos
.Las herramientas de prevención contra la pérdida de datos (DLP) pueden descubrir y clasificar datos, supervisar su uso e impedir que los usuarios los alteren, compartan o eliminen de forma inadecuada. Las soluciones de copia de seguridad y archivo de datos pueden ayudar a las organizaciones a recuperar datos perdidos o dañados.
Las organizaciones también pueden utilizar herramientas de seguridad de datos diseñadas específicamente para el cumplimiento normativo. Estas herramientas suelen incluir características como el cifrado, la aplicación automatizada de políticas y los registros de auditoría que rastrean toda la actividad de datos relevante.
Hoy en día, la organización promedio recopila una gran cantidad de datos de consumidores. Las organizaciones tienen la responsabilidad de garantizar la protección de estos datos, no por buena voluntad, sino por una cuestión de cumplimiento normativo, posición de seguridad y ventaja competitiva.
Cumplimiento de la normativa
Instituciones como las Naciones Unidas3 reconocen la privacidad como un derecho humano fundamental, y muchos países han adoptado regulaciones de privacidad que consagran este derecho en la ley. La mayoría de estas regulaciones conllevan sanciones estrictas por incumplimiento.
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea se considera una de las leyes de protección de datos más completas del mundo. Establece reglas estrictas que cualquier empresa, con sede dentro o fuera de Europa, debe seguir al procesar datos de residentes de la UE. Los infractores pueden multar hasta 20 millones de EUR o un 4 % de los ingresos globales de la empresa.
Los países fuera de la UE tienen requisitos normativos similares, incluido el RGPD del Reino Unido, la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA) y la Ley de Protección Digital de Datos Personales de India.
EE. UU. no tiene ninguna ley federal de protección de datos tan amplia como la RGPD, pero sí tiene algunas leyes más específicas. La Children's Online Privacy Protection Act (COPPA) establece normas para la recogida y el tratamiento de datos personales de niños menores de 13 años. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) cubre la forma en que las organizaciones de atención médica y las entidades relacionadas manejan la información médica personal.
Las sanciones previstas en estas leyes pueden ser importantes. En 2022, por ejemplo, Epic Games recibió una multa récord de 275 millones de dólares por infracciones de la COPPA4
.EE. UU. también tiene regulaciones de privacidad a nivel estatal, como la California Consumer Privacy Act (CCPA), que ofrecen a los consumidores de California más control sobre cómo y cuándo se procesan sus datos. Aunque la CCPA es quizás la ley estatal de privacidad más conocida, ha inspirado a otros, como la Virginia Consumer Data Protection Act (VCDPA) y la Colorado Privacy Act (CPA).
Posición de seguridad
Las organizaciones hoy en día recopilan mucha información de identificación personal (PII), como los números de seguridad social y los detalles bancarios de los usuarios. Este dato es un objetivo para los hackers, que pueden usarlo para cometer robos de identidad, robar dinero o venderlo en la dark web.
Además, las empresas tienen sus propios datos sensibles que los hackers pueden estar buscando, como propiedad intelectual o datos financieros.
Según el informe "Cost of a Data Breach" de 2023 de IBM, una vulneración de datos promedio cuesta a una empresa 4,45 millones de dólares. Muchos factores contribuyen a este precio, incluyendo la pérdida de negocio debido a la inactividad del sistema y los costes de detectar y remediar la vulneración de datos.
Muchas de las mismas herramientas que respaldan la protección de datos también pueden reducir la amenaza de vulneraciones y fortalecer la posición general de ciberseguridad. Por ejemplo, las soluciones de IAM que evitan el acceso no autorizado pueden ayudar a detener a los hackers y, al mismo tiempo, aplicar las políticas de privacidad. Las herramientas de seguridad de datos a menudo pueden detectar actividades sospechosas que pueden indicar un ciberataque en curso, lo que permite al equipo de respuesta a incidentes (RI) actuar más rápido.
Del mismo modo, los empleados y los consumidores pueden defenderse contra algunos de los ataques de ingeniería social más dañinos adoptando las buenas prácticas de protección de datos. Los estafadores suelen rastrear las aplicaciones de las redes sociales en busca de datos personales que puedan utilizar para elaborar artimañas convincentes de correo electrónico empresarial comprometido (BEC) y spear phishing. Al compartir menos información y bloquear sus cuentas, los usuarios pueden privar a los estafadores de una potente fuente de munición.
Ventaja competitiva
Respetar los derechos de privacidad de los usuarios a veces puede otorgar a las organizaciones una ventaja competitiva.
Los consumidores pueden perder confianza en las empresas que no protegen adecuadamente sus datos personales. Por ejemplo, la reputación de Facebook sufrió un golpe significativo a raíz del escándalo de Cambridge Analytica5. Los consumidores suelen estar menos dispuestos a compartir sus datos valiosos con empresas que no han respetado la privacidad en el pasado.
Por el contrario, las empresas con reputación de velar por la protección de datos pueden tener más dificultades para obtener y aprovechar los datos de los usuarios.
Además, en la economía mundial interconectada, los datos suelen fluir entre organizaciones. Una empresa puede enviar los datos personales que recopila a una base de datos en la nube para su almacenamiento o una empresa de consultoría para su procesamiento. La adopción de principios y prácticas de protección de datos puede ayudar a las organizaciones a proteger los datos de los usuarios del uso indebido, incluso cuando esos datos se comparten con terceros. Según algunas regulaciones, como el RGPD, las organizaciones son legalmente responsables de garantizar que sus proveedores y proveedores de servicios mantengan la seguridad de los datos.
Por último, las nuevas tecnologías generativas de inteligencia artificial pueden plantear importantes desafíos en materia de protección de datos. Cualquier dato sensible que se proporcione a estas IA puede convertirse en parte de los datos de entrenamiento de la herramienta, y la organización puede ser incapaz de controlar cómo se utiliza. Por ejemplo, los ingenieros de Samsung filtraron involuntariamente el código fuente propietario al introducir el código en ChatGPT para optimizarlo6
.Además, si las organizaciones no tienen el permiso de los usuarios para ejecutar sus datos a través de la IA generativa, esto podría constituir una violación de la privacidad según ciertas regulaciones.
Las políticas y controles formales de protección de datos pueden ayudar a las organizaciones a adoptar estas herramientas de IA y otras nuevas tecnologías sin infringir la ley, perder la confianza de los usuarios o filtrar accidentalmente información sensible.
Recursos
Notas a pie de página
1 NIST Privacy Framework. NIST.
2 Fair Information Practice Principles. Federal Privacy Council.
3 Universal Declaration of Human Rights. Naciones Unidas.
4 Fortnite Video Game Maker Epic Games to Pay More Than Half a Billion Dollars over FTC Allegations of Privacy Violations and Unwanted Charges. Federal Trade. Commission. 19 de diciembre de 2022.
5 The Cambridge Analytica Files. The Guardian.
6 Whoops, Samsung workers accidentally leaked trade secrets via ChatGPT. Mashable. 6 de abril de 2023.