¿Qué es la privacidad de los datos?

Autores

Matthew Kosinski

Staff Editor

IBM Think

Amber Forrest

Staff Editor | Senior Inbound, Social & Digital Content Strategist

IBM Think

¿Qué es la privacidad de datos?

La privacidad de los datos, también llamada “privacidad de la información”, es el principio de que una persona debe tener control sobre sus datos personales, incluida la capacidad de decidir cómo las organizaciones recopilan, almacenan y utilizan sus datos.

Las empresas recopilan regularmente datos de los usuarios, como direcciones de correo electrónico, datos biométricos y números de tarjetas de crédito. Para las organizaciones de esta economía de datos, apoyar la privacidad de los datos significa tomar medidas, como obtener el consentimiento del usuario antes de procesar datos, proteger los datos del mal uso y permitir que los usuarios administren activamente sus datos.

Muchas organizaciones tienen la obligación legal de defender los derechos de privacidad de los datos en virtud de leyes como el Reglamento General de Protección de Datos (RGPD). Incluso en ausencia de una legislación formal sobre la privacidad de los datos, las empresas pueden beneficiarse de la adopción de medidas de privacidad. Las mismas prácticas y herramientas que protegen la privacidad de los usuarios pueden defender los datos y sistemas confidenciales de piratas informáticos maliciosos.

Privacidad de datos versus seguridad de datos

La privacidad de los datos y la seguridad de los datos son disciplinas distintas, pero están relacionadas. Ambas son componentes centrales de la estrategia más amplia de gobernanza de datos de una empresa.

La privacidad de los datos se centra en los derechos individuales de interesados, es decir, en los usuarios que poseen los datos. Para las organizaciones, la práctica de la privacidad de los datos es una cuestión de implementar políticas y procesos que permitan a los usuarios controlar sus datos de acuerdo con las regulaciones de privacidad de los datos pertinentes.

La seguridad de los datos se centra en proteger los datos contra el acceso no autorizado y el uso indebido. Para las organizaciones, la práctica de la seguridad de los datos es en gran medida el despliegue de controles para evitar que los hackers y los usuarios internos manipulen los datos.

La seguridad de los datos refuerza la privacidad de los datos al garantizar que solo las personas adecuadas puedan acceder a los datos personales por los motivos correctos. La privacidad de los datos refuerza la seguridad de los datos al definir las “personas adecuadas" y los “motivos adecuados” para cualquier conjunto de datos.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

Principios de privacidad de los datos

En muchas organizaciones, un equipo interdisciplinario supervisa la privacidad de los datos con representantes de los departamentos legales, de cumplimiento, de TI y de seguridad cibernética. Estos equipos elaboran políticas de gestión de datos que rigen la forma en que sus organizaciones recopilan, utilizan y protegen los datos personales en vista de los derechos de privacidad de los usuarios. También diseñan procesos para que los usuarios ejerzan sus derechos e implementan controles técnicos para proteger los datos.

Las organizaciones pueden utilizar una variedad de marcos de privacidad de los datos para guiar sus políticas de datos, incluido el Marco de privacidad del NIST1 y los Principios de las prácticas justas de información.2 Además, los detalles específicos de la estrategia de gobernanza de datos de cualquier organización dependen en gran medida de las leyes de privacidad con las que la empresa debe cumplir, si las hubiera.

Dicho esto, existen algunos principios generales de privacidad de los datos que aparecen en la mayoría de los marcos y normativas. Estos principios informan las políticas, los procesos y los controles de privacidad de los datos de muchas organizaciones.

Acceso

Los usuarios tienen derecho a saber qué datos tiene una empresa. Los usuarios deben poder acceder a sus datos personales a solicitud. Deben poder actualizar o modificar esos datos según sea necesario.
Transparencia

Los usuarios tienen derecho a saber quién tiene sus datos y qué hacen con ellos. En el momento de la recopilación de datos, las organizaciones deben comunicar claramente lo que están recopilando y cómo pretenden utilizarlo. Después de recopilar datos, las organizaciones deben mantener informados a los usuarios sobre los detalles clave del procesamiento de datos, incluidos los cambios en la forma en que se utilizan los datos y los terceros con los que se comparten.

A nivel interno, las organizaciones deben mantener inventarios actualizados de todos los datos que poseen. Los datos deben clasificarse en función del tipo, el nivel de sensibilidad, los requisitos de cumplimiento y otros factores relevantes. Las políticas de control de acceso y uso deben aplicarse en función de estas clasificaciones.
Consentimiento

Las organizaciones deben obtener el consentimiento del usuario para el almacenamiento, la recopilación, el intercambio o el procesamiento de datos siempre que sea posible. Si una organización conserva o utiliza datos personales sin el consentimiento del interesado, debe tener una razón convincente para hacerlo, como un uso de interés público o una obligación legal.

Los interesados deben tener una manera de plantear inquietudes u objetar el manejo de sus datos. Deberían poder retirar su consentimiento en cualquier momento.
Calidad

Las organizaciones deben esforzarse por garantizar que los datos que recopilan y conservan sean precisos. Las imprecisiones pueden provocar violaciones a la privacidad. Por ejemplo, si una empresa tiene una dirección antigua registrada, podría enviar por error documentos confidenciales a la persona equivocada.
Recopilación, conservación y limitación del uso

Una organización debe tener un propósito definido para los datos que recopila. Debe comunicar este propósito a los usuarios y solo usar los datos para este fin. La organización solo debe recopilar la cantidad mínima de datos necesarios para su propósito declarado y conservar los datos solo hasta que se cumpla ese propósito.
Privacidad por diseño

La privacidad debe ser el estado predeterminado de cada sistema y proceso de la organización. Cualquier producto que diseñe o implemente la organización debe tratar la privacidad del usuario como una característica central y una preocupación clave. Los usuarios deben poder elegir participar o no participar en la recopilación y el procesamiento. Los usuarios deben mantener el control de sus datos en cada paso.
Seguridad

Las organizaciones deben implementar procesos y controles para proteger la confidencialidad e integridad de los datos de los usuarios.

A nivel de proceso, las organizaciones pueden tomar medidas como capacitar a los empleados sobre los requisitos de cumplimiento y trabajar solo con vendedores y proveedores de servicios que respeten la privacidad del usuario.

A nivel de controles técnicos, las organizaciones pueden utilizar una serie de herramientas para proteger los datos. Las soluciones de gestión de identidad y acceso (IAM) pueden aplicar políticas de control de acceso basadas en roles para que solo los usuarios autorizados puedan acceder a datos confidenciales. Las estrictas medidas de autenticación, como el inicio de sesión único (SSO) y la autenticación multifactor (MFA), pueden evitar que los piratas informáticos secuestren las cuentas legítimas de los usuarios.

Las herramientas de prevención contra la pérdida de datos (DLP) pueden detectar y clasificar datos, supervisar el uso y evitar que los usuarios alteren, compartan o eliminen datos de forma inadecuada. Las soluciones de copia de seguridad y archivado de datos pueden ayudar a las organizaciones a recuperar datos perdidos o dañados.

Las organizaciones también pueden utilizar herramientas de seguridad de los datos diseñadas específicamente para el cumplimiento normativo. Estas herramientas a menudo incluyen características como el cifrado, la aplicación automatizada de políticas y los registros de auditoría que rastrean toda la actividad de datos relevantes.

La importancia de la privacidad de datos

Hoy en día, la organización promedio recopila una cantidad masiva de datos de consumidores. Las organizaciones tienen la responsabilidad de garantizar la privacidad de estos datos, no por pura bondad, sino por cumplimiento normativo, postura de seguridad y beneficio competitivo.

Cumplimiento regulatorio

Las instituciones como la Organización de las Naciones Unidas3 reconocen la privacidad como un derecho humano fundamental, y muchos países han adoptado normativas de privacidad que endurecen este derecho en la ley. La mayoría de estas normativas conlleva sanciones severas por incumplimiento.

El Reglamento General de Protección de Datos (GDPR) de la Unión Europea se considera una de las leyes de privacidad de datos más completas del mundo. Establece reglas estrictas que cualquier empresa, con sede dentro o fuera de Europa, debe seguir al procesar datos de residentes de la UE. Los infractores pueden recibir una multa de hasta EUR 20 millones o 4 % de los ingresos globales de la empresa.

Los países fuera de la UE tienen requisitos normativos similares, como el RGPD del Reino Unido, la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA) y la Ley de Protección de Datos Personales Digitales de la India.

Estados Unidos no cuenta con leyes federales de protección de datos tan amplias como el RGPD, pero sí con algunos textos legislativos más específicos. La Ley de Protección de la Privacidad Infantil en Internet (COPPA) establece normas para la recolección y el tratamiento de datos personales de niños menores de 13 años. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) abarca cómo las organizaciones de atención médica y las entidades relacionadas manejan la información de salud personal.

Las sanciones previstas en estas leyes pueden ser importantes. En 2022, por ejemplo, Epic Games recibió una multa récord de 275 millones de dólares por violaciones de la COPPA.4

Estados Unidos también cuenta con normativas de privacidad a nivel estatal como la California Consumer Privacy Act (CCPA), que brinda a los consumidores de California más control sobre cómo y cuándo se procesan sus datos. Aunque la CCPA es quizás la ley de privacidad estatal más conocida, ha inspirado otras, como la Ley de Protección de Datos del Consumidor de Virginia (VCDPA) y la Ley de Privacidad de Colorado (CPA).

Postura de seguridad

Hoy en día, las organizaciones recopilan mucha información de identificación personal (PII), como los números de seguro social y los detalles bancarios de los usuarios. Estos datos son un objetivo para los piratas informáticos, que pueden usarlos para cometer robo de identidad, robar dinero o venderlos en la dark web.

Además, las empresas tienen sus propios datos confidenciales que los piratas informáticos pueden estar buscando, como de propiedad intelectual o datos financieros.

Según el Informe del costo de una filtración de datos 2025 e IBM, la filtración promedio cuesta a una empresa 4.45 millones de dólares. Muchos factores contribuyen a este precio, incluida la pérdida de negocio debida al tiempo de inactividad del sistema y los costos de detección y reparación de la brecha.

Muchas de las mismas herramientas que respaldan la privacidad de los datos también pueden reducir la amenaza de filtraciones y fortalecer la postura general de seguridad cibernética. Por ejemplo, las soluciones IAM que evitan el acceso no autorizado pueden ayudar a detener a los piratas informáticos mientras aplican las políticas de privacidad. Las herramientas de seguridad de los datos a menudo pueden detectar actividades sospechosas que pueden indicar un ataque cibernético en curso, lo que permite que el equipo de respuesta ante incidentes actúe más rápido.

De manera similar, los empleados y consumidores pueden defenderse de algunos de los ataques de ingeniería social más dañinos al adoptar las mejores prácticas de privacidad de los datos. Los estafadores a menudo rastrean las aplicaciones de redes sociales para encontrar datos personales que puedan utilizar para crear un compromiso de correo electrónico empresarial (BEC) convincente y lanzar artimañas de phishing focalizado. Al compartir menos información y bloquear sus cuentas, los usuarios pueden aislar a los estafadores de una potente fuente de municiones.

Ventaja competitiva

Respetar los derechos de privacidad de los usuarios a veces puede otorgar a las organizaciones una ventaja competitiva.

Los consumidores pueden perder la confianza en las empresas que no protegen adecuadamente sus datos personales. Por ejemplo, la reputación de Facebook se vio afectada significativamente a raíz del escándalo de Cambridge Analytica.5 Los consumidores suelen estar menos dispuestos a compartir sus datos valiosos con empresas que en el pasado se han quedado cortas en materia de privacidad.

Por el contrario, las empresas con un reputación de proteger la privacidad de los datos pueden tener más facilidad para obtener y aprovechar los datos de los usuarios.

Además, en la economía global interconectada, los datos a menudo fluyen entre las organizaciones. Una empresa puede enviar los datos personales que recopila a una base de datos en la nube para almacenamiento o a una empresa consultora para su procesamiento. La adopción de principios y prácticas de privacidad de los datos puede ayudar a las organizaciones a proteger los datos de los usuarios del uso indebido, incluso cuando esos datos se comparten con terceros. Según algunas normativas, como el RGPD, las organizaciones son legalmente responsables de garantizar que sus vendedores y proveedores de servicios mantengan los datos seguros.

Por último, las nuevas tecnologías de inteligencia artificial generativa pueden plantear importantes retos en materia de privacidad de los datos. Cualquier dato confidencial proporcionado a estas IA puede convertirse en parte de los datos de entrenamiento de la herramienta y es posible que la organización no pueda controlar cómo se utiliza. Por ejemplo, los ingenieros de Samsung filtraron involuntariamente un código fuente de propiedad exclusiva al ingresar el código en ChatGPT para optimizarlo.7

Además, si las organizaciones no tienen el permiso de los usuarios para ejecutar sus datos a través de la IA generativa, esto podría constituir una violación de la privacidad en virtud de ciertas normativas.

Las políticas y controles formales de privacidad de los datos pueden ayudar a las organizaciones a adoptar estas herramientas de IA y otras nuevas tecnologías sin infringir la ley, perder la confianza de los usuarios o filtrar accidentalmente información confidencial.

Recursos

Descubra por qué KuppingerCole clasifica a IBM como líder

El informe de plataformas de seguridad de datos de KuppingerCole ofrece orientación y recomendaciones para encontrar productos de protección y gobernanza de datos confidenciales que satisfagan mejor las necesidades de los clientes.
IBM X-Force Threat Intelligence Index 2025

Obtenga insights para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
El impacto económico total (TEI) de la protección de datos Guardium

Descubra los beneficios y el retorno de la inversión (ROI) de IBM Security Guardium Data Protection en este estudio TEI de Forrester.
Gartner Market Guide for AI TRiSM

Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con medidas de seguridad, reducir el riesgo y gestionar el proceso de gobernanza para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Amplíe sus habilidades con tutoriales gratuitos de seguridad

Siga pasos claros para completar tareas y aprenda a usar tecnologías de manera efectiva en sus proyectos.
¿Qué es la gestión de identidad y acceso (IAM)?

La gestión de identidad y acceso (IAM) es una disciplina de ciberseguridad que se ocupa del acceso de los usuarios y las licencias de recursos.
Soluciones relacionadas
Soluciones de seguridad y protección de datos

Proteja los datos en múltiples entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.

         Explore las soluciones de seguridad de datos
    IBM Guardium

    Descubra IBM Guardium, una familia de software de seguridad de datos que protege los datos confidenciales on premises y en la nube.

     

             Explore IBM Guardium
      Servicios de seguridad de datos

      IBM ofrece servicios integrales de seguridad de datos para proteger los datos empresariales, las aplicaciones e IA.

             Explore los servicios de seguridad de datos
      Dé el siguiente paso

      Proteja los datos de su organización en las distintas nubes híbridas y simplifique los requisitos de cumplimiento normativo con soluciones de seguridad de datos.

             Explore las soluciones de seguridad de datos Reserve una demostración en vivo