Publicado: 19 de diciembre de 2023
Colaboradores: Matthew Kosinski, Amber Forrest
La protección de los datos, también llamada "privacidad de la información", es el principio por el que una persona debe tener control sobre sus datos personales, incluida la capacidad de decidir cómo las organizaciones recopilan, almacenan y utilizan sus datos.
Las empresas recopilan regularmente datos de usuarios, como direcciones de correo electrónico, datos biométricos y números de tarjetas de crédito. Para las organizaciones en esta economía de datos, apoyar la protección de los datos significa tomar medidas como obtener el consentimiento del usuario antes de procesar los datos, proteger los datos del uso indebido y permitir que los usuarios administren activamente sus datos.
Muchas organizaciones tienen la obligación legal de defender los derechos de protección de datos en virtud de leyes como el Reglamento General de Protección de Datos (RGPD). Incluso en ausencia de una legislación formal sobre protección de datos, las empresas pueden beneficiarse de la adopción de medidas de privacidad. Las mismas prácticas y herramientas que protegen la privacidad de los usuarios pueden defender datos y sistemas confidenciales de hackers maliciosos.
La protección y la seguridad de los datos son disciplinas distintas pero relacionadas. Ambos son componentes fundamentales de la estrategia de gobierno de datos más amplia de una empresa.
La protección de los datos se centra en los derechos individuales de los interesados, es decir, los usuarios que son propietarios de los datos. Para las organizaciones, la práctica de la protección de los datos consiste en implementar políticas y procesos que permitan a los usuarios controlar sus datos de acuerdo con las normas de privacidad de datos pertinentes.
La seguridad de los datos se centra en proteger los datos contra el acceso no autorizado y el uso indebido. Para las organizaciones, la práctica de la seguridad de los datos es en gran medida una cuestión de implementar controles para evitar que los piratas informáticos y las amenazas internas manipulen los datos.
La seguridad de los datos refuerza la privacidad de los datos al garantizar que solo las personas adecuadas puedan acceder a los datos personales por las razones correctas. La protección de los datos refuerza la seguridad de los datos al definir las "personas adecuadas" y las "razones correctas" para cualquier conjunto de datos.
Suscríbase al boletín de IBM
En muchas organizaciones, es un equipo interdisciplinario con representantes de los departamentos jurídico, de cumplimiento, de TI y de ciberseguridad quien supervisa la protección de datos. Estos equipos elaboran políticas de gestión de datos que rigen la forma en que sus organizaciones recopilan, utilizan y protegen los datos personales a la luz de los derechos de privacidad de los usuarios. También diseñan procesos para que los usuarios ejerzan sus derechos e implementen controles técnicos para proteger los datos.
Las organizaciones pueden utilizar una variedad de marcos de protección de datos para guiar sus políticas de datos, incluido el Marco de privacidad1 del NIST y los principios de prácticas justas de información.2 Además, los detalles de la estrategia de gobierno de datos de cualquier organización dependen en gran medida de las leyes de privacidad que la empresa debe cumplir, si corresponde.
Dicho esto, hay algunos principios generales de protección de datos que aparecen en la mayoría de los marcos y reglamentos. Estos principios sirven de base para las políticas, los procesos y los controles de privacidad de datos de muchas organizaciones.
Los usuarios tienen derecho a saber qué datos tiene una empresa. Los usuarios deben poder acceder a sus datos personales bajo demanda. Deben poder actualizar o modificar esos datos según sea necesario.
Los usuarios tienen derecho a saber quién tiene sus datos y qué hacen con ellos. En el momento de la recopilación de datos, las organizaciones deben comunicar claramente lo que están recopilando y cómo pretenden utilizarlo. Después de recopilar datos, las organizaciones deben mantener informados a los usuarios sobre los detalles clave del procesamiento de datos, incluidos los cambios en la forma en que se utilizan los datos y los terceros con los que se comparten los datos.
De manera interna, las organizaciones deben mantener inventarios actualizados de todos los datos que poseen. Los datos deben clasificarse en función del tipo, el nivel de sensibilidad, los requisitos de cumplimiento y otros factores relevantes. El control de acceso y las políticas de uso deben aplicarse en función de estas clasificaciones.
Las organizaciones deben obtener el consentimiento del usuario para el almacenamiento, la recopilación, el intercambio o el procesamiento de datos siempre que sea posible. Si una organización conserva o utiliza datos personales sin el consentimiento del sujeto, debe tener una razón convincente para hacerlo, como un uso de interés público o una obligación legal.
Los interesados deben tener una forma de plantear inquietudes u oponerse al manejo de sus datos. Deben poder retirar su consentimiento en cualquier momento.
Las organizaciones deben esforzarse por garantizar que los datos que recopilan y conservan sean precisos. Las imprecisiones pueden provocar violaciones de la privacidad. Por ejemplo, si una empresa tiene una dirección antigua registrada, podría enviar accidentalmente documentos confidenciales a la persona equivocada.
Una organización debe tener un propósito definido para cualquier dato que recopile. Debe comunicar este propósito a los usuarios y utilizar los datos únicamente para este propósito. La organización solo debe recopilar la cantidad mínima de datos necesaria para su propósito declarado y conservar los datos solo hasta que se cumpla ese propósito.
La privacidad debe ser el estado predeterminado de cada sistema y proceso de la organización. Cualquier producto que diseñe o implemente la organización debe tratar la privacidad del usuario como una función principal y una preocupación clave. La recopilación y el procesamiento de datos deben realizarse por aceptación y no por exclusión. Los usuarios deben mantener el control de sus datos en cada paso.
Las organizaciones deben implementar procesos y controles para proteger la confidencialidad e integridad de los datos de los usuarios.
A nivel de proceso, las organizaciones pueden tomar medidas como capacitar a los empleados sobre los requisitos de cumplimiento y trabajar solo con proveedores y proveedores de servicios que respeten la privacidad del usuario.
A nivel de controles técnicos, las organizaciones pueden utilizar varias herramientas para proteger los datos. Las soluciones de gestión de identidad y acceso (IAM) pueden aplicar políticas de control de acceso basadas en roles para que solo los usuarios autorizados puedan acceder a datos confidenciales. Las estrictas medidas de autenticación, como el single sign-on (SSO) y la autenticación multifactor (MFA), pueden evitar que los piratas informáticos secuestren las cuentas de los usuarios legítimos.
Las herramientas de prevención contra la pérdida de datos (DLP) pueden detectar y clasificar datos, monitorizar el uso y evitar que los usuarios alteren, compartan o eliminen datos de forma inapropiada. Las soluciones de copia de seguridad y archivado de datos pueden ayudar a las organizaciones a recuperar datos perdidos o dañados.
Las organizaciones también pueden utilizar herramientas de seguridad de datos diseñadas específicamente para el cumplimiento normativo. Estas herramientas suelen incluir funciones como el cifrado, la aplicación automatizada de políticas y los registros de auditoría que rastrean toda la actividad de datos relevante.
En la actualidad, la organización promedio recopila una enorme cantidad de datos de los consumidores. Se espera que esta tendencia solo se intensifique en los próximos años. Según la encuesta sobre privacidad y protección de datos de 2023 de IDC, casi el 70 % de las organizaciones esperan que la cantidad de datos que manejan aumente en los próximos tres años.
Las organizaciones tienen la responsabilidad de garantizar la protección de estos datos, no por bondad de corazón, sino por una cuestión de cumplimiento de la normativa, posición de seguridad y ventaja competitiva.
Instituciones como las Naciones Unidas4 reconocen la privacidad como un derecho humano fundamental, y muchos países han adoptado regulaciones de privacidad que consagran este derecho en la ley. La mayoría de estas regulaciones conllevan sanciones estrictas por incumplimiento.
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea se considera una de las leyes de privacidad de datos más completas del mundo. Establece reglas estrictas que cualquier empresa, con sede dentro o fuera de Europa, debe seguir al procesar datos de residentes de la UE. Los infractores pueden multar hasta 20 millones de EUR o un 4 % de los ingresos globales de la empresa.
Los países fuera de la UE tienen requisitos normativos similares, incluido el RGPD del Reino Unido, la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA) y la Ley de Protección Digital de Datos Personales de India.
EE. UU. no tiene ninguna ley federal de protección de datos tan amplia como la GDPR, pero sí tiene algunas leyes más específicas. La Ley de Protección de la Privacidad Infantil en Internet (COPPA) establece normas para la recogida y el tratamiento de datos personales de niños menores de 13 años. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) cubre la forma en que las organizaciones de atención médica y las entidades relacionadas manejan la información médica personal.
Las sanciones previstas en estas leyes pueden ser importantes. En 2022, por ejemplo, Epic Games recibió una multa récord de 275 millones de dólares por infracciones de la COPPA.5
Los EE. UU. también tienen regulaciones de privacidad a nivel estatal, como la Ley de Privacidad del Consumidor de California (CCPA), que ofrecen a los consumidores de California más control sobre cómo y cuándo se procesan sus datos. Aunque la CCPA es quizás la ley estatal de privacidad más conocida, ha inspirado a otros, como la Ley de Protección de Datos del Consumidor de Virginia (VCDPA) y la Ley de Privacidad de Colorado (CPA).
Hoy en día, las organizaciones recopilan mucha información de identificación personal (PII), como los números de seguro social y los detalles bancarios de los usuarios. Estos datos son un objetivo para los hackers, que pueden usarlos para cometer robos de identidad, robar dinero o venderlos en la dark web.
Además, las empresas tienen sus propios datos confidenciales que los hackers pueden estar buscando, como propiedad intelectual o datos financieros.
Según el informe Coste de una vulneración de datos 2023 de IBM, el promedio de violaciones cuesta a una empresa 4,45 millones de dólares. Muchos factores contribuyen a esta etiqueta de precios, incluida la pérdida de negocio debido al tiempo de inactividad del sistema y los costes de detección y reparación de la infracción.
Muchas de las mismas herramientas que respaldan la privacidad de los datos también pueden reducir la amenaza de violaciones y fortalecer la postura general de ciberseguridad. Por ejemplo, las soluciones de IAM que impiden el acceso no autorizado pueden ayudar a detener a los piratas informáticos mientras aplican políticas de privacidad. Las herramientas de seguridad de datos suelen detectar actividades sospechosas que pueden indicar un ciberataque en curso, lo que permite que el equipo de respuesta a incidentes actúe más rápido.
Del mismo modo, los empleados y consumidores pueden defenderse de algunos de los ataques de ingeniería sociales más dañinos adoptando las mejores prácticas de protección de datos. Los estafadores suelen buscar en las aplicaciones de redes sociales datos personales que puedan utilizar para elaborar estrategias convincentes de compromiso con el correo electrónico empresarial (BEC) y lanzar artimañas de suplantación de identidad. Al compartir menos información y bloquear sus cuentas, los usuarios pueden privar a los estafadores de una potente fuente de munición.
Respetar los derechos de privacidad de los usuarios a veces puede otorgar a las organizaciones una ventaja competitiva.
Los consumidores pueden perder confianza en las empresas que no protegen adecuadamente sus datos personales. Por ejemplo, la reputación de Facebook sufrió un golpe significativo a raíz del escándalo de Cambridge Analytica.6 Los consumidores suelen estar menos dispuestos a compartir sus datos valiosos con empresas que no han respetado la privacidad en el pasado.
Por el contrario, las empresas con reputación de proteger la privacidad de los datos pueden tener más facilidad para obtener y aprovechar los datos de los usuarios.
Además, en la economía mundial interconectada, los datos suelen fluir entre organizaciones. Una empresa puede enviar los datos personales que recopila a una base de datos en la nube para su almacenamiento o una empresa de consultoría para su procesamiento. La adopción de principios y prácticas de privacidad de datos puede ayudar a las organizaciones a proteger los datos de los usuarios del uso indebido, incluso cuando esos datos se comparten con terceros. Según algunas regulaciones, como el RGPD, las organizaciones son legalmente responsables de garantizar que sus proveedores y proveedores de servicios mantengan la seguridad de los datos.
Por último, las nuevas tecnologías generativas de inteligencia artificial pueden plantear importantes desafíos en materia de protección de datos. Cualquier dato sensible que se proporcione a estas IA puede convertirse en parte de los datos de entrenamiento de la herramienta, y la organización puede ser incapaz de controlar cómo se utiliza. Por ejemplo, los ingenieros de Samsung filtraron involuntariamente el código fuente propietario al introducir el código en ChatGPT para optimizarlo.7
Además, si las organizaciones no tienen el permiso de los usuarios para ejecutar sus datos a través de la IA generativa, esto podría constituir una violación de la privacidad según ciertas regulaciones.
Las políticas y controles formales de privacidad de datos pueden ayudar a las organizaciones a adoptar estas herramientas de IA y otras nuevas tecnologías sin infringir la ley, perder la confianza de los usuarios o filtrar accidentalmente información confidencial.
IBM Security Guardium es una familia de software de seguridad de datos de la cartera de IBM Security que descubre vulnerabilidades y protege los datos confidenciales en las instalaciones y en la nube.
Las soluciones IBM Security le ayudan a ofrecer experiencias de cliente de confianza y a hacer crecer su negocio con un método holístico y adaptable de protección de datos basado en los principios de Zero Trust y en la protección probada de datos.
IBM Security Verify proporciona un motor de decisiones centralizado para ayudar a automatizar las reglas de determinación de todos los fines de uso de datos.
La seguridad de datos es la práctica de proteger la información digital contra el acceso no autorizado, la corrupción o el robo a lo largo de todo su ciclo de vida.
El gobierno de datos promueve la disponibilidad, calidad y seguridad de los datos de una organización a través de diferentes políticas y normas.
La prevención de pérdida de datos (DLP, por sus siglas en inglés) hace referencia a las estrategias, los los procesos y las tecnologías que los equipos de ciberseguridad utilizan para proteger los datos confidenciales frente a robos, pérdidas y usos indebidos indebidos.
Notas a pie de página
Todos los vínculos residen fuera de ibm.com
1Marco de privacidad del NIST, NIST
2 Principios de práctica justa de la información, Consejo Federal de Privacidad
3 Encuesta sobre privacidad y protección de datos de 2023, IDC, febrero de 2023
4 Declaración Universal de Derechos Humanos, Naciones Unidas
5 Epic Games, fabricante de videojuegos de Fortnite, pagará más de 500 millones de dólares por las acusaciones de la FTC de violaciones de la privacidad y cargos no deseados, Comisión Federal de Comercio, 19 de diciembre de 2022
6 Los archivos de Cambridge Analytica, The Guardian
7 Los trabajadores de Samsung filtraron accidentalmente secretos comerciales a través de ChatGPT, Mashable, 6 de abril de 2023