Un minorista en línea siempre obtiene el consentimiento explícito de los usuarios antes de compartir los datos de los clientes con sus socios. Una aplicación de navegación anonimiza los datos de actividad antes de analizarlos en busca de tendencias de viaje. Un colegio pide a los padres que verifiquen sus identidades antes de dar la información de los estudiantes.
Estos son solo algunos ejemplos de cómo las organizaciones apoyan la protección de los datos, el principio de que las personas deben tener el control de sus datos personales, incluido quién puede verlos, quién puede recopilarlos y cómo se pueden utilizar.
No se puede exagerar la importancia de la protección de datos para las empresas hoy en día. Normativas de gran alcance como el GDPR europeo imponen cuantiosas multas a las organizaciones que no salvaguardan la información sensible. Las violaciones de la privacidad, ya sea causadas por hackers maliciosos o por negligencia de los empleados, pueden destruir la reputación y los ingresos de una empresa. Mientras tanto, las empresas que priorizan la privacidad de la información pueden generar confianza con los consumidores y obtener una ventaja sobre los competidores menos conscientes de la privacidad.
Sin embargo, muchas organizaciones luchan con la protección de la privacidad a pesar de las mejores intenciones. La protección de los datos es más un arte que una ciencia, una cuestión de equilibrar las obligaciones legales, los derechos de los usuarios y los requisitos de ciberseguridad sin obstaculizar la capacidad de la empresa para obtener valor de los datos que recopila.
Piense en una aplicación presupuestaria que la gente utiliza para controlar los gastos y otra información financiera confidencial. Cuando un usuario se registra, la aplicación muestra un aviso de privacidad que explica claramente los datos que recopila y cómo los utiliza. El usuario puede aceptar o rechazar cada uso de sus datos de forma individual.
Por ejemplo, pueden negarse a que se compartan sus datos con terceros y, al mismo tiempo, permitir que la aplicación genere ofertas personalizadas.
La aplicación encripta todos los datos financieros del usuario. Solo los administradores pueden acceder a los datos de los clientes en el backend. Aun así, los administradores solo pueden usar los datos para ayudar a los clientes a solucionar problemas con la cuenta y solo con el permiso explícito del usuario.
Este ejemplo ilustra tres componentes principales de los marcos comunes de protección de datos:
El cumplimiento de la normativa pertinente es la base de muchos esfuerzos de protección de datos. Aunque las leyes de protección de datos varían, en general definen las responsabilidades de las organizaciones que recogen datos personales y los derechos de los titulares de esos datos.
El RGPD es una regulación de privacidad de la Unión Europea que rige cómo las organizaciones dentro y fuera de Europa manejan los datos personales de los residentes de la UE. Además de ser quizás la ley de protección más completa, es una de las más estrictas. Las sanciones por incumplimiento pueden alcanzar hasta 20 000 000 euros o el 4 % de los ingresos mundiales de la organización en el año anterior, si esta cifra es superior.
La Ley de Protección de Datos de 2018 es, básicamente, la versión británica del RGPD. Sustituye a una ley de protección de datos anterior e implementa muchos de los mismos derechos, requisitos y sanciones que su homólogo de la UE.
La PIPEDA de Canadá regula la forma en que las empresas del sector privado recopilan y utilizan los datos de los consumidores. La PIPEDA concede a los interesados un importante control sobre sus datos, pero sólo se aplica a los datos utilizados con fines comerciales. Los datos utilizados para otros fines, como el periodismo o la investigación, están exentos.
Muchos estados individuales de EE. UU. tienen sus propias leyes de protección de datos. La más destacada es la California Consumer Privacy Act (CCPA), que se aplica a prácticamente cualquier organización con un sitio web debido a la forma en la que define el acto de "hacer negocios en California".
La CCPA permite a los californianos impedir la venta de sus datos y hacer que se supriman a petición suya, entre otros derechos. Las organizaciones se enfrentan a multas de hasta 7500 dólares por infracción. El precio puede aumentar rápidamente. Si una empresa vendiera datos de usuarios sin consentimiento, cada registro que venda contaría como una infracción.
Estados Unidos no cuenta con una amplia normativa sobre protección de datos a nivel nacional, pero sí con algunas leyes más específicas.
Según la Ley de Protección de la Privacidad Infantil en Internet (COPPA), las organizaciones deben obtener el permiso de los padres antes de recopilar y procesar datos de menores de 13 años. Las normas para el tratamiento de los datos de los niños podrían ser aún más estrictas si se convierte en ley la Ley de Seguridad Infantil en Internet (KOSA), actualmente en estudio en el Senado de los Estados Unidos. La KOSA exigiría que los servicios en línea tuvieran por defecto la configuración de privacidad más alta para los usuarios menores de 18 años.
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una ley federal que se ocupa de cómo los proveedores sanitarios, las compañías de seguros y otras empresas protegen la información médica personal.
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) no es una ley, sino un conjunto de estándares desarrollados por un consorcio de compañías de tarjetas de crédito, incluidas Visa y American Express. Estas normas establecen cómo deben proteger las empresas los datos de las tarjetas de pago de sus clientes.
Aunque el PCI DSS no es un requisito legal, las compañías de tarjetas de crédito y las instituciones financieras pueden multar a las empresas que no cumplan o incluso prohibirles que procesen tarjetas de pago.
El cumplimiento de la protección es solo el principio. Aunque cumplir la ley puede ayudar a evitar sanciones, puede no ser suficiente para proteger completamente la información de identificación personal (PII) y otros datos confidenciales de hackers, uso indebido y otras amenazas a la privacidad.
Algunos principios y prácticas comunes que utilizan las organizaciones para reforzar la protección de los datos incluyen:
Para un gobierno de datos eficaz, una organización necesita conocer los tipos de datos que tiene, dónde residen los datos y cómo se utilizan.
Algunos tipos de datos, como los biométricos y los números de la seguridad social, requieren mayor protección que otros. Saber cómo se mueven los datos por la red ayuda a rastrear el uso, detectar actividades sospechosas y poner medidas de seguridad en los lugares adecuados.
Por último, la visibilidad total de los datos facilita el cumplimiento de las solicitudes de los interesados de acceder, actualizar o eliminar su información. Si la organización no dispone de un inventario completo de los datos, podría dejar involuntariamente algunos registros de usuarios tras una solicitud de eliminación.
Un minorista digital cataloga todos los diferentes tipos de datos de clientes que posee, como nombres, direcciones de correo electrónico e información de pago guardada. Mapea cómo se mueve cada tipo de datos entre sistemas y dispositivos, quién tiene acceso a ellos (incluidos empleados y terceros) y cómo se utilizan. Por último, el minorista clasifica los datos en función de los niveles de sensibilidad y aplica los controles adecuados a cada tipo. La empresa realiza auditorías periódicas para mantener actualizado el inventario de datos.
Las organizaciones pueden limitar los riesgos para la privacidad concediendo a los usuarios el máximo control posible sobre la recogida y el tratamiento de datos. Si una empresa siempre obtiene el consentimiento de un usuario antes de hacer algo con sus datos, es difícil que la empresa viole la privacidad de alguien.
Dicho esto, las organizaciones a veces deben procesar los datos de alguien sin su consentimiento. En esos casos, la empresa debe asegurarse de que tiene una razón legal válida para hacerlo, como un periódico que informe sobre delitos que los autores prefieren ocultar.
Una red social crea un portal de autoservicio para la gestión de datos. Los usuarios pueden descargar todos los datos que comparten con el sitio, actualizar o eliminar sus datos y decidir cómo el sitio puede procesar su información.
Puede resultar tentador lanzar una red muy amplia, pero cuantos más datos personales recopile una empresa, más expuesta estará a riesgos para la privacidad. En su lugar, las organizaciones pueden adoptar el principio de limitación: identificar un propósito específico para la recopilación de datos y recopilar la cantidad mínima de datos necesaria para cumplir ese propósito.
Las políticas de retención también deben limitarse. La organización debe deshacerse de los datos tan pronto como se cumpla su propósito específico.
Un organismo de salud pública investiga la propagación de una enfermedad en un barrio concreto. El organismo no recopila ninguna PII de los hogares que encuesta. Solo registra si alguien está enfermo. Una vez finalizada la encuesta y determinadas las tasas de infección, el organismo elimina los datos.
Las organizaciones deben mantener informados a los usuarios sobre todo lo que hacen con sus datos, incluida cualquier cosa que hagan sus socios externos.
Un banco envía avisos anuales de privacidad a todos sus clientes. Estos avisos describen todos los datos que el banco recopila de los titulares de las cuentas, cómo utiliza esos datos para cosas como el cumplimiento de la normativa y las decisiones crediticias, y cuánto tiempo conserva los datos. El banco también alerta a los titulares de cuentas sobre cualquier cambio en su política de privacidad tan pronto como se realice.
Unas medidas estrictas de control de acceso pueden ayudar a impedir el acceso y uso no autorizados. Solo deben tener acceso a los datos las personas que los necesiten por razones legítimas. Las organizaciones deben utilizar la autenticación multifactor (MFA) u otras medidas sólidas para verificar las identidades de los usuarios antes de conceder acceso a los datos. Las soluciones de gestión de identidades y accesos (IAM) pueden ayudar a aplicar políticas de control de acceso granular en toda la organización.
Una empresa tecnológica utiliza políticas de control de acceso basadas en funciones para asignar privilegios de acceso en función de las funciones de los empleados. Las personas sólo pueden acceder a los datos que necesitan para llevar a cabo sus principales responsabilidades laborales, y sólo pueden utilizarlos de formas aprobadas. Por ejemplo, el jefe de RR. HH. puede ver los registros de los empleados, pero no los de los clientes. Los representantes del servicio de atención al cliente pueden ver las cuentas de los clientes, pero no pueden ver los datos de pago guardados de los clientes.
Las organizaciones deben utilizar una combinación de herramientas y tácticas para proteger los datos en reposo, en tránsito y en uso.
Un proveedor sanitario encripta los datos de los pacientes almacenados y utiliza un sistema de detección de intrusos para monitorizar todo el tráfico a la base de datos. Utiliza una herramienta de prevención de pérdida de datos (DLP) para rastrear cómo se mueven los datos y cómo se utilizan. Si detecta una actividad ilícita, como una cuenta de empleado que traslada datos de pacientes a un dispositivo desconocido, la DLP da la alarma y corta la conexión.
Las evaluaciones de impacto sobre la privacidad (PIA) determinan cuánto riesgo representa una actividad particular para la privacidad del usuario. Las PIA identifican cómo el procesamiento de datos podría dañar la privacidad del usuario y cómo prevenir o mitigar esos problemas de privacidad.
Una empresa de marketing siempre realiza una PIA antes de cada nuevo proyecto de investigación de mercado. La empresa aprovecha esta oportunidad para definir claramente las actividades de tratamiento y colmar cualquier laguna en la seguridad de los datos. De esta manera, los datos solo se utilizan para un propósito específico y se protegen en cada paso. Si la empresa identifica riesgos graves que no puede mitigar razonablemente, reorganiza o cancela el proyecto de investigación.
La protección de datos desde el diseño y por defecto es la filosofía según la cual la protección debe ser un componente central de todo lo que hace la organización, de cada producto que crea y de cada proceso que sigue. La configuración por defecto de cualquier sistema debería ser la más respetuosa con la protección.
Cuando los usuarios se registran en una aplicación deportiva, la configuración de privacidad de la aplicación se establece automáticamente por defecto en "no compartir mis datos con terceros". Los usuarios deben cambiar su configuración manualmente para permitir que la organización venda sus datos.
El cumplimiento de las leyes de protección de datos y la adopción de prácticas de privacidad pueden ayudar a las organizaciones a evitar muchos de los mayores riesgos para la privacidad. Aun así, merece la pena examinar algunas de las causas más comunes y los factores que contribuyen a las violaciones de la privacidad para que las empresas sepan a qué deben prestar atención.
Cuando las organizaciones no tienen una visibilidad completa de sus redes, las violaciones de la privacidad pueden proliferar en los huecos. Los empleados pueden mover datos confidenciales a activos de TI invisible desprotegidos. Es posible que utilicen regularmente datos personales sin el permiso del sujeto porque los supervisores carecen de la supervisión necesaria para detectar y corregir el comportamiento. Los ciberdelincuentes pueden escabullirse por la red sin ser detectados.
A medida que las redes corporativas se vuelven más complejas (mezclando activos locales, trabajadores remotos y servicios en la nube), se vuelve más difícil rastrear los datos en todo el ecosistema de TI. Las organizaciones pueden utilizar herramientas como soluciones de gestión de superficies de ataque y plataformas de protección de datos para ayudar a agilizar el proceso y proteger los datos dondequiera que residan.
Algunas normativas establecen normas especiales para el tratamiento automatizado. Por ejemplo, el RGPD otorga a las personas el derecho a impugnar las decisiones tomadas mediante el procesamiento automatizado de datos.
El auge de la inteligencia artificial generativa puede plantear problemas de privacidad aún más espinosos. Las organizaciones no pueden controlar necesariamente lo que hacen estas plataformas con los datos que introducen. Introducir datos de clientes en una plataforma como ChatGPT puede ayudar a obtener información sobre la audiencia, pero la IA puede incorporar esos datos a sus modelos de entrenamiento. Si las personas a las que se refieren los datos no han dado su consentimiento para que se utilicen sus datos personales para entrenar a una IA, esto constituye una violación de la privacidad.
Las organizaciones deben explicar claramente a los usuarios cómo procesan sus datos, incluido cualquier procesamiento de IA, y obtener el consentimiento de los sujetos. Sin embargo, es posible que incluso la organización no sepa todo lo que la IA hace con sus datos. Por ese motivo, las empresas deberían considerar trabajar con aplicaciones de IA que les permitan conservar el mayor control sobre sus datos.
Las cuentas robadas son un vector principal para las vulneraciones de datos, según el informe "Cost of a Data Breach" de IBM. Las organizaciones tientan a la suerte cuando conceden a los usuarios más privilegios de los que necesitan. Cuantos más permisos de acceso tenga un usuario, más daño puede hacer un hacker al secuestrar su cuenta.
Las organizaciones deben seguir el principio del mínimo privilegio. Los usuarios deben tener solo la cantidad mínima de privilegios que necesitan para realizar su trabajo.
Los empleados pueden violar accidentalmente la privacidad del usuario si desconocen las políticas y los requisitos de cumplimiento de la organización. También pueden poner en riesgo a la empresa al no practicar buenos hábitos de privacidad en su vida personal.
Por ejemplo, si los empleados comparten demasiado en sus cuentas personales de redes sociales, los ciberdelincuentes pueden utilizar esta información para crear ataques convincentes de spear phishing y compromiso del correo electrónico empresarial.
Compartir los datos de los usuarios con terceros no es automáticamente una violación de la privacidad, pero puede aumentar el riesgo. Cuantas más personas tengan acceso a los datos, más vías hay para que los hackers, las amenazas internas o incluso la negligencia de los empleados causen problemas.
Además, terceros sin escrúpulos podrían utilizar los datos de una empresa para sus propios fines no autorizados y procesar los datos sin el consentimiento del sujeto.
Las organizaciones deben asegurarse de que todos los acuerdos de intercambio de datos se rigen por contratos legalmente vinculantes que responsabilizan a todas las partes de la protección y el uso adecuados de los datos de los clientes.
La PII es un objetivo importante para los ciberdelincuentes, que pueden utilizarla para cometer robos de identidad, robar dinero o venderla en el mercado negro. Las medidas de seguridad de datos, como el cifrado y las herramientas DLP, tienen tanto que ver con salvaguardar la privacidad del usuario como con proteger la red de la empresa.
Las regulaciones de privacidad se están endureciendo en todo el mundo, la superficie de ataque de la organización promedio se está expandiendo y los rápidos avances en IA están cambiando la manera en que se consumen y comparten los datos. En este entorno, la estrategia de protección de datos de una organización puede ser un diferenciador preeminente que fortalece su posición de seguridad y la diferencia de la competencia.
Tomemos, por ejemplo, tecnologías como el cifrado y las herramientas de gestión de identidades y accesos (IAM). Estas soluciones pueden ayudar a reducir el golpe financiero de una vulneración de datos exitosa, ahorrando a las organizaciones más de 572 000 USD según el informe "Cost of a Data Breach". Más allá de eso, las prácticas sólidas de protección de datos pueden fomentar la confianza con los consumidores e incluso generar lealtad a la marca (enlace externo a ibm.com).
A medida que la protección de datos se vuelve cada vez más vital para la seguridad y el éxito empresarial, las organizaciones deben contar entre sus principales prioridades con los principios de protección de datos, normativas y mitigación de riesgos.
Explore Guardium Data Protection