Un minorista en línea siempre obtiene el consentimiento explícito de los usuarios antes de compartir datos de clientes con sus asociados. Una aplicación de navegación anonimiza los datos de actividad antes de analizarlos en busca de tendencias de viaje. Una escuela pide a los padres que verifiquen sus identidades antes de dar información de los estudiantes.
Estos son solo algunos ejemplos de cómo las organizaciones apoyan la privacidad de datos, el principio de que las personas deben tener el control de sus datos personales, incluido quién puede verlos, quién puede recopilarlos y cómo se pueden emplear.
No puede dejarse de recalcar la importancia de la privacidad de datos para las empresas de hoy en día. Las regulaciones de gran alcance, como el RGPD de Europa, imponen cuantiosas multas a las organizaciones que no protegen la información confidencial. Las violaciones de la privacidad, ya sea causadas por hackers maliciosos o por negligencia de los empleados, pueden destruir la reputación y los ingresos de una empresa. Mientras tanto, las empresas que priorizan la privacidad de la información pueden generar confianza con los consumidores y obtener un beneficio sobre los competidores menos conscientes de la privacidad.
Sin embargo, muchas organizaciones tienen dificultades con la protección de la privacidad a pesar de las mejores intenciones. La privacidad de datos es más un arte que una ciencia, una cuestión de equilibrar las obligaciones legales, los derechos de los usuarios y los requisitos de ciberseguridad sin entorpecer la capacidad del negocio para obtener valor de los datos que recopila.
Considere una aplicación de presupuesto que las personas usan para realizar un seguimiento de los gastos y otra información financiera confidencial. Cuando un usuario se registra, la aplicación muestra un aviso de privacidad que explica claramente los datos que recopila y cómo los emplea. El usuario puede aceptar o rechazar cada uso de sus datos de forma individual.
Por ejemplo, puede negarse a que sus datos se compartan con terceros y permitir que la aplicación genere ofertas personalizadas.
La aplicación cifra en gran medida todos los datos financieros de los usuarios. Solo los administradores pueden acceder a los datos de los clientes en el backend. Incluso entonces, los administradores solo pueden usar los datos para ayudar a los clientes a solucionar problemas de la cuenta, y solo el permiso explícito del usuario.
Este ejemplo ilustra tres componentes principales de los marcos comunes de la privacidad de datos:
El cumplimiento de las regulaciones pertinentes es la base de muchos esfuerzos de privacidad de datos. Si bien las leyes de protección de datos varían, generalmente definen las responsabilidades de las organizaciones que recopilan datos personales y los derechos de los interesados que poseen esos datos.
El RGPD es una normativa de privacidad de la Unión Europea que rige la forma en que las organizaciones dentro y fuera de Europa manejan los datos personales de los residentes de la UE. Además de ser quizás la ley de privacidad más completa, se encuentra entre las más estrictas. Las sanciones por incumplimiento pueden alcanzar hasta 20 000 000 de euros o el 4 % de los ingresos mundiales de la organización en el año anterior, la cifra que sea más alta.
La Ley de Protección de Datos de 2018 es, esencialmente, la versión del RGPD en el Reino Unido. Reemplaza una ley de protección de datos anterior e implementa muchos de los mismos derechos, requisitos y sanciones que su contraparte de la UE.
La PIPEDA de Canadá regula la forma en que las empresas del sector privado recopilan y emplean los datos de los consumidores. La PIPEDA otorga a los interesados una cantidad significativa de control sobre sus datos, pero solo se aplica a los datos utilizados con fines comerciales. Los datos empleados para otros fines, como periodismo o investigación, están exentos.
Muchos estados individuales de EE. UU. tienen sus propias leyes de privacidad de datos. La más destacada es la California Consumer Privacy Act (CCPA), que se aplica a prácticamente cualquier organización con un sitio web debido a la forma en que define el acto de "hacer negocios en California".
La CCPA faculta a los californianos para evitar la venta de sus datos y hacer que se eliminen previa solicitud, entre otros derechos. Las organizaciones se enfrentan a multas de hasta 7500 USD por infracción. El precio puede aumentar rápidamente. Si una empresa vendiera datos de usuarios sin consentimiento, cada registro que vendiera contaría como una infracción.
Estados Unidos no tiene regulaciones amplias de privacidad de datos a nivel nacional, pero sí algunas leyes más específicas.
En virtud de la Ley de Protección de la Privacidad Infantil en Línea (COPPA), las organizaciones deben obtener la licencia de los padres antes de recopilar y procesar datos de cualquier persona menor de 13 años. Las reglas para manejar los datos de los niños podrían volverse aún más estrictas si la Ley de Seguridad en Línea para Niños (KOSA), actualmente bajo consideración en el Senado de Estados Unidos, se convierte en ley. La ley KOSA requeriría que los servicios en línea tengan por defecto la configuración de privacidad más alta para usuarios menores de 18 años.
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una ley federal que se ocupa de cómo los proveedores de atención médica, las aseguradoras y otras empresas protegen la información médica personal.
El Payment Card Industry Data Security Standard (PCI DSS) no es una ley, sino un conjunto de normas desarrolladas por un consorcio de empresas de tarjetas de crédito, incluidas Visa y American Express. Estas normas describen cómo las empresas deben proteger los datos de las tarjetas de pago de los clientes.
Si bien el PCI DSS no es un requisito legal, las empresas de tarjetas de crédito y las instituciones financieras pueden multar a las empresas que no cumplan o incluso prohibirles que procesen tarjetas de pago.
El cumplimiento de la privacidad es solo el comienzo. Si bien cumplir con la ley puede ayudar a evitar sanciones, puede no ser suficiente para proteger completamente la información de identificación personal (PII) y otros datos confidenciales de hackers, uso indebido y otras amenazas a la privacidad.
Algunos principios y prácticas comunes que emplean las organizaciones para reforzar la privacidad de datos incluyen:
Para una gobernanza de datos eficaz, una organización necesita conocer los tipos de datos que tiene, dónde residen los datos y cómo se emplean.
Algunos tipos de datos, como los biométricos y los números de la seguridad social, requieren mayor protección que otros. Saber cómo se mueven los datos por la red ayuda a rastrear el uso, detectar actividades sospechosas y poner medidas de seguridad en los lugares adecuados.
Por último, la visibilidad completa de los datos facilita el cumplimiento de las solicitudes de los interesados para actualizar o eliminar su información, o acceder a ella. Si la organización no tiene un inventario completo de datos, podría dejar involuntariamente algunos registros de usuario luego de una solicitud de eliminación.
Un minorista digital cataloga todos los diferentes tipos de datos de clientes que posee, como nombres, direcciones de correo electrónico e información de pago almacenada. Mapea cómo se mueve cada tipo de datos entre sistemas y dispositivos, quién tiene acceso a ellos (incluidos empleados y terceros) y cómo se utilizan. Finalmente, el minorista clasifica los datos según los niveles de sensibilidad y aplica controles adecuados a cada tipo. La empresa realiza auditorías periódicas para mantener actualizado el inventario de datos.
Las organizaciones pueden limitar los riesgos de privacidad otorgando a los usuarios el mayor control posible sobre la recopilación y el procesamiento de datos. Si una empresa siempre obtiene el consentimiento de un usuario antes de hacer algo con sus datos, es difícil que viole la privacidad de alguien.
Dicho esto, a veces las organizaciones deben procesar los datos de alguien sin su consentimiento. En esos casos, la empresa debe cerciorarse de tener una razón legal válida para hacerlo, como un periódico que informa sobre delitos que los perpetradores preferirían ocultar.
Un sitio de redes sociales crea un portal de gestión de datos de autoservicio. Los usuarios pueden descargar todos los datos que comparten con el sitio, actualizar o eliminar sus datos y decidir cómo el sitio puede procesar su información.
Puede ser tentador lanzar una red amplia, pero cuantos más datos personales recopile una empresa, más expuesta estará a los riesgos de privacidad. En cambio, las organizaciones pueden adoptar el principio de limitación: identificar un propósito específico para la recopilación de datos y recopilar la cantidad mínima de datos necesaria para cumplir con ese propósito.
Las políticas de retención también deben ser limitadas. La organización debe deshacerse de los datos tan pronto como se cumpla su propósito específico.
Una agencia de salud pública está investigando la propagación de una enfermedad en un vecindario en particular. El organismo no recopila ninguna PII de los hogares que encuesta. Solo registra si alguien está enfermo. Cuando se completa la encuesta y se determinan las tasas de infección, la agencia borra los datos.
Las organizaciones deben mantener a los usuarios actualizados sobre todo lo que hacen con sus datos, incluido cualquier cosa que hagan sus asociados externos.
Un banco envía avisos de privacidad anuales a todos sus clientes. Estos avisos describen todos los datos que el banco recopila de los titulares de cuentas, cómo emplea esos datos para aspectos como el cumplimiento normativo y las decisiones crediticias, y cuánto tiempo conserva los datos. El banco también alerta a los titulares de cuentas sobre cualquier cambio en su política de privacidad tan pronto como se realizan.
Las medidas estrictas de control de acceso pueden ayudar a prevenir el acceso y el uso no autorizados. Solo las personas que necesitan los datos por razones legítimas deben tener acceso a ellos. Las organizaciones deben emplear la autenticación multifactor (MFA) u otras medidas sólidas para verificar las identidades de los usuarios antes de otorgar acceso a los datos. Las soluciones de gestión de identidad y acceso (IAM) pueden ayudar a aplicar políticas de control de acceso granular en toda la organización.
Una empresa de tecnología utiliza políticas de control de acceso basadas en roles para asignar privilegios de acceso en función de los roles de los empleados. Las personas solo pueden acceder a los datos que necesitan para llevar a cabo las responsabilidades principales del trabajo, y solo pueden usarlos de manera aprobada. Por ejemplo, el jefe de RR. HH. puede ver los registros de los empleados, pero no los de los clientes. Los representantes de atención al cliente pueden ver las cuentas de los clientes, pero no pueden ver los datos de pago almacenados de los clientes.
Las organizaciones deben usar una combinación de herramientas y tácticas para proteger los datos en reposo, en tránsito y en uso.
Un proveedor de atención médica cifra el almacenamiento de datos de los pacientes y usa un sistema de detección de intrusiones para monitorear todo el tráfico a la base de datos. Usa una herramienta de prevención de pérdida de datos (DLP) para rastrear cómo se mueven los datos y cómo se emplean. Si detecta actividad ilícita, como una cuenta de empleado que mueve datos de pacientes a un dispositivo desconocido, la DLP emite una alarma y corta la conexión.
Las evaluaciones del impacto sobre la privacidad (PIA) determinan el riesgo que una actividad concreta supone para la privacidad de los usuarios. Las PIA identifican cómo el tratamiento de datos puede dañar la privacidad del usuario y cómo prevenir o mitigar esos problemas de privacidad.
Una empresa de marketing siempre realiza una PIA antes de cada nuevo proyecto de investigación de mercado. La empresa aprovecha esta oportunidad para definir claramente las actividades de procesamiento y cerrar cualquier brecha de seguridad de datos. De esta manera, los datos solo se emplean para un propósito específico y se protegen en cada paso. Si la empresa identifica riesgos graves que no puede mitigar razonablemente, reestructura o cancela el proyecto de investigación.
La privacidad de datos por diseño y por defecto es la filosofía de que la privacidad debe ser un componente central de todo lo que hace la organización: cada producto que crea y cada proceso que sigue. La configuración predeterminada para cualquier sistema debe ser la más respetuosa con la privacidad.
Cuando los usuarios se registran en una aplicación de fitness, la configuración de privacidad de la aplicación automáticamente establece por defecto "no compartir mis datos con terceros". Los usuarios deben cambiar su configuración manualmente para permitir que la organización venda sus datos.
Cumplir con las leyes de protección de datos y adoptar prácticas de privacidad puede ayudar a las organizaciones a evitar muchos de los mayores riesgos de privacidad. Aun así, vale la pena examinar algunas de las causas más comunes y los factores que contribuyen a las violaciones de la privacidad para que las empresas sepan a qué prestar atención.
Cuando las organizaciones no tienen una visibilidad completa de sus redes, las violaciones de privacidad pueden florecer en las brechas. Los empleados pueden mover datos confidenciales a activos de TI en la sombra desprotegidos. Es posible que usen de manera regular datos personales sin el permiso del interesado porque los supervisores carecen de la facultad para detectar y corregir el comportamiento. Los delincuentes cibernéticos pueden escabullirse por la red sin ser detectados.
A medida que las redes corporativas se vuelven más complejas (con una combinación de activos locales, trabajadores remotos y servicios en la nube), se vuelve más difícil rastrear datos en todo el ecosistema de TI. Las organizaciones pueden emplear herramientas como soluciones de gestión de superficies de ataque y plataformas de protección de datos para ayudar a optimizar el proceso y proteger los datos dondequiera que residan.
Algunas regulaciones establecen reglas especiales para el procesamiento automatizado. Por ejemplo, el RGPD otorga a las personas el derecho a impugnar las decisiones tomadas mediante el procesamiento automatizado de datos.
El auge de la inteligencia artificial generativa puede plantear problemas de privacidad aún más espinosos. Las organizaciones no necesariamente pueden controlar lo que hacen estas plataformas con los datos que ingresan. Introducir datos de clientes en una plataforma, como ChatGPT, podría ayudar a obtener insights sobre la audiencia, pero la IA puede incorporar esos datos en sus modelos de entrenamiento. Si los interesados no dieron su consentimiento para que se empleara su PII para entrenar una IA, esto constituye una violación de la privacidad.
Las organizaciones deben explicar claramente a los usuarios cómo tratan sus datos, incluido cualquier tratamiento de IA, y obtener el consentimiento de los interesados. Sin embargo, ni siquiera la organización puede saber todo lo que la IA hace con sus datos. Por este motivo, las empresas deberían considerar la posibilidad de trabajar con aplicaciones de IA que les permitan conservar el máximo control sobre sus datos.
Las cuentas robadas son un vector principal para las filtraciones de datos, según el Informe del Costo de una filtración de datos de IBM. Las organizaciones tientan al destino cuando otorgan a los usuarios más privilegios de los que necesitan. Cuantos más permisos de acceso tenga un usuario, más daño puede hacer un hacker al secuestrar su cuenta.
Las organizaciones deben seguir el principio de privilegio mínimo. Los usuarios deben tener solo la cantidad mínima de privilegios que necesitan para hacer su trabajo.
Los empleados pueden violar accidentalmente la privacidad del usuario si desconocen las políticas y los requisitos de cumplimiento de la organización. También pueden poner en riesgo a la empresa al no practicar buenos hábitos de privacidad en su vida personal.
Por ejemplo, si los empleados comparten demasiada información en sus cuentas personales de redes sociales, los delincuentes cibernéticos pueden usar esta información para diseñar ataques convincentes de phishing focalizado y business email compromise.
Compartir datos de usuario con terceros no es automáticamente una violación de la privacidad, pero puede aumentar el riesgo. Cuantas más personas tengan acceso a los datos, más vías habrá para que los hackers, las amenazas internas o incluso la negligencia de los empleados causen problemas.
Además, terceros sin escrúpulos podrían usar los datos de una empresa para sus propios fines no autorizados, procesando datos sin el consentimiento del interesado.
Las organizaciones deben cerciorarse de que todos los acuerdos de intercambio de datos se rijan por contratos legalmente vinculantes que responsabilicen a todas las partes de la protección y el uso adecuados de los datos de los clientes.
La PII es un objetivo importante para los delincuentes cibernéticos, que pueden emplearla para cometer robo de identidad, sustraer dinero o venderla en el mercado negro. Las medidas de seguridad de datos, como el cifrado y las herramientas DLP, tienen que ver tanto con la protección de la privacidad del usuario como con la protección de la red de la empresa.
Las regulaciones de privacidad se están volviendo más estrictas en todo el mundo, la superficie de ataque promedio de la organización se está expandiendo y los rápidos avances en IA están cambiando la forma en que se consumen y comparten los datos. En este entorno, la estrategia de privacidad de datos de una organización puede ser un diferenciador preeminente que fortalezca su postura de seguridad y la diferencie de la competencia.
Por ejemplo, la tecnología como el cifrado y las herramientas de gestión de identidad y acceso (IAM). Estas soluciones pueden ayudar a disminuir el golpe financiero de una filtración de datos exitosa, ahorrando a las organizaciones más de 572 000 USD según el Informe del costo de una filtración de datos. Además, las prácticas sólidas de privacidad de datos pueden fomentar la confianza con los consumidores e incluso generar lealtad a la marca (enlace externo a ibm.com).
A medida que la protección de datos se vuelve cada vez más vital para la seguridad y el éxito empresarial, las organizaciones deben contar con los principios de privacidad de datos, las regulaciones y la mitigación de riesgos entre sus principales prioridades.
Explore Guardium Data Protection