¿Qué es la protección de los datos?

Autores

Matthew Kosinski

Staff Editor

IBM Think

Amber Forrest

Staff Editor | Senior Inbound, Social & Digital Content Strategist

IBM Think

¿Qué es la protección de datos?

La protección de los datos, también llamada "privacidad de la información", es el principio por el que una persona debe tener control sobre sus datos personales, incluida la capacidad de decidir cómo las organizaciones recopilan, almacenan y utilizan sus datos.

Las empresas recopilan regularmente datos de usuarios, como direcciones de correo electrónico, datos biométricos y números de tarjetas de crédito. Para las organizaciones en esta economía de datos, apoyar la protección de datos significa tomar medidas como obtener el consentimiento del usuario antes de procesar los datos, proteger los datos del uso indebido y permitir que los usuarios administren activamente sus datos.

Muchas organizaciones tienen la obligación legal de defender los derechos de protección de datos en virtud de leyes como el Reglamento General de Protección de Datos (RGPD). Incluso en ausencia de una legislación formal sobre protección de datos, las empresas pueden beneficiarse de la adopción de medidas de privacidad. Las mismas prácticas y herramientas que protegen la privacidad de los usuarios pueden defender datos y sistemas confidenciales de hackers maliciosos.

Protección de datos vs. seguridad de datos

La protección y la seguridad de datos son disciplinas distintas pero relacionadas. Ambos son componentes fundamentales de la estrategia de gobierno de datos más amplia de una empresa.

La protección de los datos se centra en los derechos individuales de los interesados, es decir, los usuarios que son propietarios de los datos. Para las organizaciones, la práctica de la protección de los datos consiste en implementar políticas y procesos que permitan a los usuarios controlar sus datos de acuerdo con las normas de protección de datos pertinentes.

La seguridad de los datos se centra en proteger los datos contra el acceso no autorizado y el uso indebido. Para las organizaciones, la práctica de la seguridad de los datos es en gran medida una cuestión de implementar controles para evitar que los hackers y las amenazas internas manipulen los datos.

La seguridad de datos refuerza la protección de datos al garantizar que solo las personas adecuadas puedan acceder a los datos personales por las razones correctas. La protección de datos refuerza la seguridad de los datos al definir las "personas adecuadas" y las "razones correctas" para cualquier conjunto de datos.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

Principios de protección de datos

En muchas organizaciones, es un equipo interdisciplinario con representantes de los departamentos jurídico, de cumplimiento, de TI y de ciberseguridad quien supervisa la protección de datos. Estos equipos elaboran políticas de gestión de datos que rigen la forma en que sus organizaciones recopilan, utilizan y protegen los datos personales a la luz de los derechos de privacidad de los usuarios. También diseñan procesos para que los usuarios ejerzan sus derechos e implementen controles técnicos para proteger los datos.

Las organizaciones pueden utilizar una variedad de marcos de protección de datos para guiar sus políticas de datos, incluido el Marco de privacidad1 del NIST y los principios de prácticas justas de información.2 Además, los detalles de la estrategia de gobierno de datos de cualquier organización dependen en gran medida de las leyes de privacidad que la empresa debe cumplir, si corresponde.

Dicho esto, hay algunos principios generales de protección de datos que aparecen en la mayoría de los marcos y reglamentos. Estos principios sirven de base para las políticas, los procesos y los controles de protección de datos de muchas organizaciones.

Acceso

Los usuarios tienen derecho a saber qué datos tiene una empresa. Los usuarios deben poder acceder a sus datos personales bajo demanda. Deben poder actualizar o modificar esos datos según sea necesario.
Transparencia

Los usuarios tienen derecho a saber quién tiene sus datos y qué hacen con ellos. En el momento de la recopilación de datos, las organizaciones deben comunicar claramente lo que están recopilando y cómo pretenden utilizarlo. Después de recopilar datos, las organizaciones deben mantener informados a los usuarios sobre los detalles clave del procesamiento de datos, incluidos los cambios en la forma en que se utilizan los datos y los terceros con los que se comparten los datos.

De manera interna, las organizaciones deben mantener inventarios actualizados de todos los datos que poseen. Los datos deben clasificarse en función del tipo, el nivel de sensibilidad, los requisitos de cumplimiento y otros factores relevantes. El control de acceso y las políticas de uso deben aplicarse en función de estas clasificaciones.
Consentimiento

Las organizaciones deben obtener el consentimiento del usuario para el almacenamiento, la recopilación, el intercambio o el procesamiento de datos siempre que sea posible. Si una organización conserva o utiliza datos personales sin el consentimiento del sujeto, debe tener una razón convincente para hacerlo, como un uso de interés público o una obligación legal.

Los interesados deben tener una forma de plantear inquietudes u oponerse al manejo de sus datos. Deben poder retirar su consentimiento en cualquier momento.
Calidad

Las organizaciones deben esforzarse por garantizar que los datos que recopilan y conservan sean precisos. Las imprecisiones pueden provocar violaciones de la privacidad. Por ejemplo, si una empresa tiene una dirección antigua registrada, podría enviar accidentalmente documentos sensibles a la persona equivocada.
Recopilación, conservación y limitación del uso

Una organización debe tener un propósito definido para cualquier dato que recopile. Debe comunicar este propósito a los usuarios y utilizar los datos únicamente para este propósito. La organización solo debe recopilar la cantidad mínima de datos necesaria para su propósito declarado y conservar los datos solo hasta que se cumpla ese propósito.
Privacidad desde el diseño

La privacidad debe ser el estado predeterminado de cada sistema y proceso de la organización. Cualquier producto que diseñe o implemente la organización debe tratar la privacidad del usuario como una función principal y una preocupación clave. La recopilación y el procesamiento de datos deben realizarse por aceptación y no por exclusión. Los usuarios deben mantener el control de sus datos en cada paso.
Seguridad

Las organizaciones deben implementar procesos y controles para proteger la confidencialidad e integridad de los datos de los usuarios.

A nivel de proceso, las organizaciones pueden tomar medidas como capacitar a los empleados sobre los requisitos de cumplimiento y trabajar solo con proveedores y proveedores de servicios que respeten la privacidad del usuario.

A nivel de controles técnicos, las organizaciones pueden utilizar varias herramientas para proteger los datos. Las soluciones de gestión de identidades y accesos (IAM) pueden aplicar políticas de control de acceso basadas en roles para que solo los usuarios autorizados puedan acceder a datos confidenciales. Las estrictas medidas de autenticación, como el inicio de sesión único (SSO) y la autenticación multifactor (MFA), pueden evitar que los hackers secuestren las cuentas de los usuarios legítimos.

Las herramientas de prevención de pérdida de datos (DLP) pueden detectar y clasificar datos, monitorizar el uso y evitar que los usuarios alteren, compartan o eliminen datos de forma inapropiada. Las soluciones de data backup y archivado de datos pueden ayudar a las organizaciones a recuperar datos perdidos o dañados.

Las organizaciones también pueden utilizar herramientas de seguridad de datos diseñadas específicamente para el cumplimiento normativo. Estas herramientas suelen incluir características como el cifrado, la aplicación automatizada de políticas y los registros de auditoría que rastrean toda la actividad de datos relevante.

La importancia de la protección de datos

En la actualidad, las organizaciones recopilan una gran cantidad de datos sobre los consumidores. Estas tienen la responsabilidad de garantizar la privacidad de dichos datos, no por bondad, sino por cuestiones de cumplimiento normativo, posición de seguridad y ventaja competitiva.

Cumplimiento de la normativa

Instituciones como las Naciones Unidas3 reconocen la privacidad como un derecho humano fundamental, y muchos países han adoptado regulaciones de privacidad que consagran este derecho en la ley. La mayoría de estas regulaciones conllevan sanciones severas en caso de incumplimiento.

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea se considera una de las leyes de privacidad de datos más completas del mundo. Establece reglas estrictas que cualquier empresa, con sede dentro o fuera de Europa, debe seguir al procesar datos de residentes de la UE. Los infractores pueden multar hasta 20 millones de euros o un 4 % de los ingresos globales de la empresa.

Los países fuera de la UE tienen requisitos normativos similares, incluido el RGPD del Reino Unido, la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA) y la Ley de Protección Digital de Datos Personales de India.

EE. UU. no tiene ninguna ley federal de protección de datos tan amplia como la RGPD, pero sí tiene algunas leyes más específicas. La Ley de Protección de la Privacidad Infantil en Internet (COPPA) establece normas para la recogida y el tratamiento de datos personales de niños menores de 13 años. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) cubre la forma en que las organizaciones de atención médica y las entidades relacionadas manejan la información médica personal.

Las sanciones previstas en estas leyes pueden ser importantes. En 2022, por ejemplo, Epic Games recibió una multa récord de 275 millones de dólares por infracciones de la COPPA.4

Los EE. UU. también tienen regulaciones de privacidad a nivel estatal, como la California Consumer Privacy Act (CCPA), que ofrecen a los consumidores de California más control sobre cómo y cuándo se procesan sus datos. Aunque la CCPA es quizás la ley estatal de privacidad más conocida, ha inspirado a otros, como la Ley de Protección de Datos del Consumidor de Virginia (VCDPA) y la Ley de Privacidad de Colorado (CPA).

Posición de seguridad

Hoy en día, las organizaciones recopilan mucha información de identificación personal (PII), como los números de la seguridad social y los datos bancarios de los usuarios. Estos datos son un objetivo para los hackers, que pueden usarlos para cometer robos de identidad, robar dinero o venderlos en la dark web.

Además, las empresas tienen sus propios datos confidenciales que los hackers pueden estar buscando, como propiedad intelectual o datos financieros.

Según el informe "Cost of a Data Breach" de IBM, el promedio de vulneraciones cuesta a una empresa 4,45 millones de dólares. Muchos factores contribuyen a esta etiqueta de precios, incluida la pérdida de negocio debido al tiempo de inactividad del sistema y los costes de detección y reparación de la infracción.

Muchas de las mismas herramientas que respaldan la privacidad de los datos también pueden reducir la amenaza de violaciones y fortalecer la postura general de ciberseguridad. Por ejemplo, las soluciones de IAM que impiden el acceso no autorizado pueden ayudar a detener a los hackers mientras aplican políticas de privacidad. Las herramientas de seguridad de datos suelen detectar actividades sospechosas que pueden indicar un ciberataque en curso, lo que permite que el equipo de respuesta a incidentes (RI) actúe más rápido.

Del mismo modo, los empleados y consumidores pueden defenderse de algunos de los ataques de ingeniería social más dañinos al adoptar las mejores prácticas de protección de datos. Los estafadores suelen buscar en las aplicaciones de redes sociales datos personales que puedan utilizar para elaborar estrategias convincentes de compromiso con el correo electrónico empresarial (BEC) y lanzar artimañas de spear phishing. Al compartir menos información y bloquear sus cuentas, los usuarios pueden privar a los estafadores de una potente fuente de munición.

Ventaja competitiva

Respetar los derechos de privacidad de los usuarios a veces puede otorgar a las organizaciones una ventaja competitiva.

Los consumidores pueden perder confianza en las empresas que no protegen adecuadamente sus datos personales. Por ejemplo, la reputación de Facebook sufrió un duro golpe tras el escándalo de Cambridge Analytica.5 Los consumidores suelen mostrarse más reticentes a compartir sus valiosos datos con empresas que han fallado en materia de privacidad en el pasado.

Por el contrario, las empresas con reputación de proteger la privacidad de los datos pueden tener más facilidad para obtener y aprovechar los datos de los usuarios.

Además, en la economía mundial interconectada, los datos suelen fluir entre organizaciones. Una empresa puede enviar los datos personales que recopila a una base de datos en la nube para su almacenamiento o una empresa de consultoría para su procesamiento. La adopción de principios y prácticas de privacidad de datos puede ayudar a las organizaciones a proteger los datos de los usuarios del uso indebido, incluso cuando esos datos se comparten con terceros. Según algunas regulaciones, como el RGPD, las organizaciones son legalmente responsables de garantizar que sus proveedores y proveedores de servicios mantengan la seguridad de los datos.

Por último, las nuevas tecnologías generativas de inteligencia artificial pueden plantear importantes desafíos en materia de protección de datos. Cualquier dato sensible que se proporcione a estas IA puede convertirse en parte de los datos de entrenamiento de la herramienta, y la organización puede ser incapaz de controlar cómo se utiliza. Por ejemplo, los ingenieros de Samsung filtraron involuntariamente el código fuente propietario al introducir el código en ChatGPT para optimizarlo.6

Además, si las organizaciones no tienen el permiso de los usuarios para ejecutar sus datos a través de la IA generativa, esto podría constituir una violación de la privacidad según ciertas regulaciones.

Las políticas y controles formales de privacidad de datos pueden ayudar a las organizaciones a adoptar estas herramientas de IA y otras nuevas tecnologías sin infringir la ley, perder la confianza de los usuarios o filtrar accidentalmente información confidencial.

Recursos

Descubra por qué KuppingerCole clasifica a IBM como líder

El informe de KuppingerCole sobre plataformas de seguridad de datos ofrece orientación y recomendaciones para encontrar los productos de protección y gobierno de datos sensibles que mejor se adapten a las necesidades de los clientes.
IBM® X-Force Threat Intelligence Index 2025

Obtenga información para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
El impacto económico total (TEI) de la protección de datos Guardium

Descubra los beneficios y el ROI de IBM Security Guardium Data Protection en este estudio TEI de Forrester.
Gartner Market Guide for AI TRiSM

Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con barreras de seguridad, reducir el riesgo y gestionar el proceso de gobierno para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Amplíe sus conocimientos con tutoriales gratuitos sobre seguridad

Siga unos pasos bien definidos para completar las tareas y aprenda a utilizar las tecnologías en sus proyectos de manera eficaz.
¿Qué es la gestión de identidades y accesos (IAM)?

La gestión de identidades y accesos (IAM) es una disciplina de ciberseguridad que se ocupa del acceso de los usuarios y los permisos de recursos.
Soluciones relacionadas
Soluciones de seguridad y protección de datos

Proteja los datos en varios entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.

         Explore las soluciones de seguridad de datos
    IBM Guardium

    Descubra IBM Guardium, una familia de software de seguridad de datos que protege los datos confidenciales en el entorno local y en la nube.

     

             Explore IBM Guardium
      Servicios de seguridad de datos

      IBM proporciona servicios integrales de seguridad de datos para proteger los datos empresariales, las aplicaciones y la IA.

             Explore los servicios de seguridad de datos
      Dé el siguiente paso

      Proteja los datos de su organización en nubes híbridas y simplifique los requisitos de conformidad con soluciones de seguridad de datos.

             Explore las soluciones de seguridad de datos Solicite una demostración en directo