Fecha de publicación: 19 de diciembre de 2023
Colaboradores: Matthew Kosinski, Amber Forrest
La privacidad de los datos, también llamada “privacidad de la información”, es el principio de que una persona debe tener control sobre sus datos personales, incluida la capacidad de decidir cómo las organizaciones recopilan, almacenan y utilizan sus datos.
Las empresas recopilan regularmente datos de los usuarios, como direcciones de correo electrónico, datos biométricos y números de tarjetas de crédito. Para las organizaciones de esta economía de datos, apoyar la privacidad de los datos significa tomar medidas como obtener el consentimiento del usuario antes de procesar datos, proteger los datos del mal uso y permitir que los usuarios administren activamente sus datos.
Muchas organizaciones tienen la obligación legal de defender los derechos de privacidad de los datos en virtud de leyes como el Reglamento General de Protección de Datos (RGPD). Incluso en ausencia de una legislación formal sobre la privacidad de los datos, las empresas pueden beneficiarse de la adopción de medidas de privacidad. Las mismas prácticas y herramientas que protegen la privacidad de los usuarios pueden defender los datos y sistemas confidenciales de piratas informáticos maliciosos.
La privacidad de los datos y la seguridad de los datos son disciplinas distintas, pero están relacionadas. Ambas son componentes centrales de la estrategia más amplia de gobernanza de datos de una empresa.
La privacidad de los datos se centra en los derechos individuales de interesados, es decir, en los usuarios que poseen los datos. Para las organizaciones, la práctica de la privacidad de los datos es una cuestión de implementar políticas y procesos que permitan a los usuarios controlar sus datos de acuerdo con las regulaciones de privacidad de los datos pertinentes.
La seguridad de los datos se centra en proteger los datos contra el acceso no autorizado y el uso indebido. Para las organizaciones, la práctica de la seguridad de los datos es en gran medida la implementación de controles para evitar que los piratas informáticos y los usuarios internos manipulen los datos.
La seguridad de los datos refuerza la privacidad de los datos al garantizar que solo las personas adecuadas puedan acceder a los datos personales por los motivos correctos. La privacidad de los datos refuerza la seguridad de los datos al definir las “personas adecuadas" y los “motivos adecuados” para cualquier conjunto de datos.
Suscríbase al boletín de IBM
En muchas organizaciones, un equipo interdisciplinario supervisa la privacidad de los datos con representantes de los departamentos legales, de cumplimiento, de TI y de seguridad cibernética. Estos equipos elaboran políticas de gestión de datos que rigen la forma en que sus organizaciones recopilan, utilizan y protegen los datos personales en vista de los derechos de privacidad de los usuarios. También diseñan procesos para que los usuarios ejerzan sus derechos e implementen controles técnicos para proteger los datos.
Las organizaciones pueden utilizar una variedad de marcos de privacidad de los datos para guiar sus políticas de datos, incluido el Marco de privacidad del NIST1 y los Principios de las prácticas justas de información.2 Además, los detalles específicos de la estrategia de gobernanza de datos de cualquier organización dependen en gran medida de las leyes de privacidad con las que la empresa debe cumplir, si las hubiera.
Dicho esto, existen algunos principios generales de privacidad de los datos que aparecen en la mayoría de los marcos y normativas. Estos principios informan las políticas, los procesos y los controles de privacidad de los datos de muchas organizaciones.
Los usuarios tienen derecho a saber qué datos tiene una empresa. Los usuarios deben poder acceder a sus datos personales a solicitud. Deben poder actualizar o modificar esos datos según sea necesario.
Los usuarios tienen derecho a saber quién tiene sus datos y qué hacen con ellos. En el momento de la recopilación de datos, las organizaciones deben comunicar claramente lo que están recopilando y cómo pretenden utilizarlo. Después de recopilar datos, las organizaciones deben mantener informados a los usuarios sobre los detalles clave del procesamiento de datos, incluidos los cambios en la forma en que se utilizan los datos y los terceros con los que se comparten.
A nivel interno, las organizaciones deben mantener inventarios actualizados de todos los datos que poseen. Los datos deben clasificarse en función del tipo, el nivel de sensibilidad, los requisitos de cumplimiento y otros factores relevantes. Las políticas de control de acceso y uso deben aplicarse en función de estas clasificaciones.
Las organizaciones deben obtener el consentimiento del usuario para el almacenamiento, la recopilación, el intercambio o el procesamiento de datos siempre que sea posible. Si una organización conserva o utiliza datos personales sin el consentimiento del interesado, debe tener una razón convincente para hacerlo, como un uso de interés público o una obligación legal.
Los interesados deben tener una manera de plantear inquietudes u objetar el manejo de sus datos. Deberían poder retirar su consentimiento en cualquier momento.
Las organizaciones deben esforzarse por garantizar que los datos que recopilan y conservan sean precisos. Las imprecisiones pueden provocar violaciones a la privacidad. Por ejemplo, si una empresa tiene una dirección antigua registrada, podría enviar por error documentos confidenciales a la persona equivocada.
Una organización debe tener un propósito definido para los datos que recopila. Debe comunicar este propósito a los usuarios y solo usar los datos para este fin. La organización solo debe recopilar la cantidad mínima de datos necesarios para su propósito declarado y conservar los datos solo hasta que se cumpla ese propósito.
La privacidad debe ser el estado predeterminado de cada sistema y proceso de la organización. Cualquier producto que diseñe o implemente la organización debe tratar la privacidad del usuario como una característica central y una preocupación clave. Los usuarios deben poder elegir participar o no participar en la recopilación y el procesamiento. Los usuarios deben mantener el control de sus datos en cada paso.
Las organizaciones deben implementar procesos y controles para proteger la confidencialidad e integridad de los datos de los usuarios.
A nivel de proceso, las organizaciones pueden tomar medidas como capacitar a los empleados sobre los requisitos de cumplimiento y trabajar solo con vendedores y proveedores de servicios que respeten la privacidad del usuario.
A nivel de controles técnicos, las organizaciones pueden utilizar una serie de herramientas para proteger los datos. Las soluciones de gestión de identidad y acceso (IAM) pueden aplicar políticas de control de acceso basadas en roles para que solo los usuarios autorizados puedan acceder a datos confidenciales. Las estrictas medidas de autenticación, como el single sign-on (SSO) y la autenticación multifactor (MFA), pueden evitar que los piratas informáticos secuestren las cuentas legítimas de los usuarios.
Las herramientas de prevención contra la pérdida de datos (DLP) pueden detectar y clasificar datos, supervisar el uso y evitar que los usuarios alteren, compartan o eliminen datos de forma inadecuada. Las soluciones de copia de seguridad y archivado de datos pueden ayudar a las organizaciones a recuperar datos perdidos o dañados.
Las organizaciones también pueden utilizar herramientas de seguridad de los datos diseñadas específicamente para el cumplimiento normativo. Estas herramientas a menudo incluyen características como el cifrado, la aplicación automatizada de políticas y los registros de auditoría que rastrean toda la actividad de datos relevantes.
En la actualidad, la organización promedio recopila una enorme cantidad de datos de los consumidores. Se espera que esta tendencia se intensifique en los próximos años. Según la Encuesta sobre privacidad y protección de los datos 2023 del IDC,3 casi el 70 % de las organizaciones espera que la cantidad de datos que manejan aumente en los próximos tres años.
Las organizaciones tienen la responsabilidad de garantizar la privacidad de estos datos, no por bondad, sino por una cuestión de cumplimiento normativo, postura de seguridad y ventaja competitiva.
Las instituciones como la Organización de las Naciones Unidas4 reconocen la privacidad como un derecho humano fundamental, y muchos países han adoptado normativas de privacidad que endurecen este derecho en la ley. La mayoría de estas normativas conlleva sanciones severas por incumplimiento.
El Reglamento General de Protección de Datos (GDPR) de la Unión Europea se considera una de las leyes de privacidad de datos más completas del mundo. Establece reglas estrictas que cualquier empresa, con sede dentro o fuera de Europa, debe seguir al procesar datos de residentes de la UE. Los infractores pueden recibir una multa de hasta EUR 20 millones o 4 % de los ingresos globales de la empresa.
Los países fuera de la UE tienen requisitos normativos similares, como el RGPD del Reino Unido, la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA) y la Ley de Protección de Datos Personales Digitales de la India.
Estados Unidos no cuenta con leyes federales de protección de datos tan amplias como el RGPD, pero sí con algunos textos legislativos más específicos. Ley de Protección de la Privacidad Infantil en Internet (COPPA) establece normas para la recolección y el tratamiento de datos personales de niños menores de 13 años. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) abarca cómo las organizaciones de atención médica y las entidades relacionadas manejan la información de salud personal.
Las sanciones previstas en estas leyes pueden ser importantes. En 2022, por ejemplo, Epic Games recibió una multa récord de 275 millones de dólares por infracciones a la COPPA.5
Estados Unidos también cuenta con normativas de privacidad a nivel estatal como la Ley de Privacidad del Consumidor de California (CCPA), que brinda a los consumidores de California más control sobre cómo y cuándo se procesan sus datos. Aunque la CCPA es quizás la ley de privacidad estatal más conocida, ha inspirado otras, como la Ley de Protección de Datos del Consumidor de Virginia (VCDPA) y la Ley de Privacidad de Colorado (CPA).
Hoy en día, las organizaciones recopilan mucha información de identificación personal (PII), como los números de seguro social y los detalles bancarios de los usuarios. Estos datos son un objetivo para los piratas informáticos, que pueden usarlos para cometer robo de identidad, robar dinero o venderlos en la dark web.
Además, las empresas tienen sus propios datos confidenciales que los piratas informáticos pueden estar buscando, como de propiedad intelectual o datos financieros.
Según el informe Cost of a Data Breach 2023 de IBM, la brecha promedio cuesta a una empresa 4.45 millones de dólares. Muchos factores contribuyen a este precio, incluida la pérdida de negocio debida al tiempo de inactividad del sistema y los costos de detección y reparación de la brecha.
Muchas de las mismas herramientas que respaldan la privacidad de los datos también pueden reducir la amenaza de filtraciones y fortalecer la postura general de seguridad cibernética. Por ejemplo, las soluciones IAM que evitan el acceso no autorizado pueden ayudar a detener a los piratas informáticos mientras aplican las políticas de privacidad. Las herramientas de seguridad de los datos a menudo pueden detectar actividades sospechosas que pueden indicar un ataque cibernético en curso, lo que permite que el equipo de respuesta ante incidentes actúe más rápido.
De manera similar, los empleados y consumidores pueden defenderse de algunos de los ataques de ingeniería social más dañinos al adoptar las mejores prácticas de privacidad de los datos. Los estafadores a menudo rastrean las aplicaciones de redes sociales para encontrar datos personales que puedan utilizar para crear un compromiso de correo electrónico empresarial (BEC) convincente y lanzar artimañas de phishing. Al compartir menos información y bloquear sus cuentas, los usuarios pueden aislar a los estafadores de una potente fuente de municiones.
Respetar los derechos de privacidad de los usuarios a veces puede otorgar a las organizaciones una ventaja competitiva.
Los consumidores pueden perder la confianza en las empresas que no protegen adecuadamente sus datos personales. Por ejemplo, la reputación de Facebook sufrió un golpe significativo a raíz del escándalo de Cambridge Analytica.6 Los consumidores suelen estar menos dispuestos a compartir sus datos valiosos con empresas que se han quedado cortas respecto a la privacidad en el pasado.
Por el contrario, las empresas con un reputación de proteger la privacidad de los datos pueden tener más facilidad para obtener y aprovechar los datos de los usuarios.
Además, en la economía global interconectada, los datos a menudo fluyen entre las organizaciones. Una empresa puede enviar los datos personales que recopila a una base de datos en la nube para almacenamiento o a una empresa consultora para su procesamiento. La adopción de principios y prácticas de privacidad de los datos puede ayudar a las organizaciones a proteger los datos de los usuarios del uso indebido, incluso cuando esos datos se comparten con terceros. Según algunas normativas, como el RGPD, las organizaciones son legalmente responsables de garantizar que sus vendedores y proveedores de servicios mantengan los datos seguros.
Por último, las nuevas tecnologías de inteligencia artificial generativa pueden plantear importantes retos en materia de privacidad de los datos. Cualquier dato confidencial proporcionado a estas IA puede convertirse en parte de los datos de entrenamiento de la herramienta y es posible que la organización no pueda controlar cómo se utiliza. Por ejemplo, los ingenieros de Samsung filtraron involuntariamente un código fuente de propiedad exclusiva al ingresar el código en ChatGPT para optimizarlo.7
Además, si las organizaciones no tienen el permiso de los usuarios para ejecutar sus datos a través de la IA generativa, esto podría constituir una violación de la privacidad en virtud de ciertas normativas.
Las políticas y controles formales de privacidad de los datos pueden ayudar a las organizaciones a adoptar estas herramientas de IA y otras nuevas tecnologías sin infringir la ley, perder la confianza de los usuarios o filtrar accidentalmente información confidencial.
IBM Security Guardium es una familia de software de seguridad de datos de la cartera de IBM Security que detecta vulnerabilidades y protege los datos confidenciales en las instalaciones y en la nube.
Las soluciones de seguridad IBM Security le ayudan a ofrecer experiencias confiables a sus clientes y a hacer crecer su negocio con un enfoque holístico y adaptativo de la privacidad de los datos basado en principios de confianza cero y protección de privacidad de datos comprobada.
IBM Security Verify proporciona un motor de decisiones centralizado para ayudar a automatizar las reglas de determinación del consentimiento para todos los fines del uso de datos.
La seguridad de los datos es la práctica de proteger la información digital del acceso no autorizado, la corrupción o el robo a lo largo de todo su ciclo de vida.
La gobernanza de datos promueve la disponibilidad, la calidad y la seguridad de los datos de una organización a través de diferentes políticas y estándares.
La prevención de pérdida de datos (DLP) se refiere a las estrategias, procesos y tecnologías que utilizan los equipos de seguridad cibernética para proteger los datos confidenciales contra el robo, la pérdida y el uso indebido.
Notas de pie de página
Todos los enlaces son externos a ibm.com
1 NIST Privacy Framework, NIST
2 Fair Information Practice Principles, Federal Privacy Council
3 2023 Data Privacy and Data Protection Survey, IDC, febrero de 2023
4 Universal Declaration of Human Rights, United Nations
5 Fortnite Video Game Maker Epic Games to Pay More Than Half a Billion Dollars over FTC Allegations of Privacy Violations and Unwanted Charges, Federal Trade Commission, 19 de diciembre de 2022
6 The Cambridge Analytica Files, The Guardian
7 Whoops, Samsung workers accidentally leaked trade secrets via ChatGPT, Mashable, 6 de abril de 2023