No hay duda de que la típica empresa moderna genera grandes cantidades de datos que deben ser trasladados, analizados y almacenados de forma segura. Dado que gran parte de estos datos tienen que ver con la privacidad de los usuarios y clientes, se han creado varias leyes y reglamentos para impulsar prácticas de protección sólidas. Aunque estas normativas varían mucho de un país a otro, el concepto subyacente sigue siendo el mismo: mantener los datos a salvo y ponerlos a disposición de los usuarios autorizados cuando los necesiten.
De qué va a tratar este artículo:
- ¿Qué es la protección de datos?
- Protección de datos en Estados Unidos
- Protección de datos en Canadá
- Protección de datos en la UE
- Los 7 principios de la protección de datos (GDPR)
- Soluciones de protección de datos
¿Qué es la protección de datos?
Laprotección de datos es el concepto de salvaguardar los datos importantes de la corrupción, el compromiso o la pérdida. No se trata sólo de una protección pasiva, sino que se apoya en gran medida en los procesos de restauración y recuperación de los datos en caso de que algo ocurra que los haga inaccesibles o inutilizables. La protección de datos también abarca cuestiones de cumplimiento de los requisitos legales o reglamentarios aplicables.
Además de la seguridad, la protección de datos se refiere al acceso autorizado a los datos. Obviamente, uno no puede simplemente borrar los datos importantes o encerrarlos en una bóveda impenetrable. Los datos están pensados para ser utilizados, y los datos protegidos deben estar a disposición de los usuarios autorizados cuando se necesiten para su finalidad.
A grandes rasgos, la idea moderna de la protección de datos abarca tres grandes categorías: la protección de datos tradicional, como las copias de seguridad; la seguridad de los datos y la defensa contra las infracciones; y la privacidad de los datos.
El primer principio de la protección de datos
El principio primordial de la protección de datos es emplear metodologías y tecnologías para proteger los datos y, al mismo tiempo, ponerlos a disposición de los usuarios autorizados en cualquier circunstancia.
Más allá de esta máxima básica, la protección de datos se vuelve muy granular dependiendo de la región en cuestión. Varias leyes y reglamentos gubernamentales añaden capas y detalles a este objetivo de amplio nivel, teniendo en cuenta innumerables preocupaciones de ciberseguridad y cuestiones de privacidad personal.
A continuación, exploraremos la protección de datos tal y como se define en las distintas regiones.
Principios de protección de datos en Estados Unidos
A diferencia de algunas regiones, especialmente la Unión Europea, Estados Unidos no cuenta con una ley federal completa que regule la privacidad y el manejo de datos o información personal. En su lugar, las organizaciones de Estados Unidos deben navegar por una amalgama de leyes federales y estatales que regulan la recogida, el tratamiento, la divulgación y la seguridad de la información personal.
Además, algunos sectores, como la sanidad y las finanzas, están regulados de forma exclusiva.
Debido a la naturaleza descentralizada de las leyes de protección de datos de EE.UU., los controladores de datos tienen que mantenerse al día con estas leyes variadas y prepararse para la probable evolución de la regulación de datos de EE.UU..
Echemos un rápido vistazo a las principales leyes de protección de datos actualmente en vigor:
HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) es una ley federal que establece normas a la hora de salvaguardar cierta información personal relacionada con la salud para que no se divulgue sin el consentimiento o el conocimiento del paciente.
La Norma de Privacidad de la HIPAA, elaborada por el Departamento de Salud y Servicios Humanos de EE.UU., entró en vigor en 2003 y regula el uso y la divulgación de información personal protegida en el tratamiento, el pago y las operaciones de atención sanitaria.
En 2003 también entró en vigor otra norma de seguridad de la HIPAA que trata específicamente de los historiales médicos electrónicos. Esta norma especifica las salvaguardias administrativas, físicas y tecnológicas necesarias para su cumplimiento.
FCRA
La Ley de Informes de Crédito Justos (FCRA) es una ley federal que regula las agencias de informes de los consumidores y sus procedimientos en relación con la confidencialidad, la exactitud, la pertinencia y el uso adecuado de los datos personales.
La información personal regulada por la FCRA es específica de los informes de crédito y de los informes de los consumidores vendidos con el fin de determinar la elegibilidad para el empleo, para la suscripción de créditos o seguros, y para algunos otros fines descritos en la FCRA.
La FCRA también incluye varias protecciones para los consumidores, entre ellas el derecho a obtener su propia puntuación de crédito y el derecho a saber lo que hay en el archivo que una agencia de informes de consumidores mantiene sobre el consumidor.
GLBA
La Ley Gramm-Leach-Bliley de 2002 (GLBA) es una ley federal que regula principalmente la recopilación, el uso, la divulgación y la protección de la información personal no pública recogida por las instituciones financieras.
COPPA
La Ley de Protección de la Privacidad de los Niños en Internet (COPPA) es una ley federal que impone requisitos a los sitios web dirigidos a niños menores de 13 años y a los operadores de sitios web o servicios en línea que recogen a sabiendas información personal de niños menores de 13 años. Los operadores cubiertos por la COPPA deben revelar cierta información en su política de privacidad y obtener el consentimiento de los padres antes de recoger ciertos tipos de información de niños menores de trece años.
FERPA
La Ley de Derechos Educativos y Privacidad de la Familia (FERPA) es una ley federal que cubre la protección de los registros educativos de los estudiantes. La FERPA se aplica a cualquier escuela pública o privada de enseñanza primaria, secundaria o postsecundaria, así como a los organismos educativos estatales o locales que reciben fondos en el marco de determinados programas del Departamento de Educación de los Estados Unidos.
La FERPA otorga a los padres y a los estudiantes elegibles un mayor control sobre sus registros educativos, además de prohibir a las instituciones educativas la divulgación de información personal identificable en los registros educativos sin el consentimiento escrito de una persona autorizada
TCPA
La Ley de Protección del Consumidor Telefónico (TCPA) es una ley federal que regula las llamadas de telemarketing, las llamadas de marcación automática, las llamadas grabadas y los mensajes de texto automatizados, así como los faxes no solicitados. La TCPA también establece requisitos técnicos para los aparatos de fax, los marcadores automáticos y los sistemas de mensajería de voz, así como la forma de identificar a los usuarios de estos equipos.
Ley de privacidad
La Ley de Privacidad de 1974 es una ley federal que se aplica en gran medida a las agencias, contratistas y empleados del gobierno federal. La Ley de Privacidad restringe la divulgación de la información personal que mantienen los organismos públicos y otorga a los individuos mayores derechos de acceso a los registros de los organismos que se mantienen sobre ellos mismos. Esta ley también establece un código de prácticas de información justas con requisitos legales para la recopilación, seguridad y difusión de registros personales.
Principios de protección de datos en Canadá
Las leyes de protección de datos en Canadá son similares a las de Estados Unidos, ya que consisten en un complejo conjunto de leyes federales y provinciales. Al igual que en Estados Unidos, algunas de estas leyes imponen normas a sectores específicos. Algunas leyes incluyen requisitos obligatorios de notificación e información en caso de violación de la información personal.
Las principales leyes de protección de datos en Canadá son:
- Federal: Ley de Protección de Datos Personales y Documentos Electrónicos de 2000 (PIPEDA)
- Columbia Británica: Ley de protección de la información personal (BC PIPA)
- Alberta: Ley de Protección de Datos Personales (AB PIPA)
- En Quebec: Ley relativa a la protección de los datos personales en el sector privado (Ley del sector privado de Quebec)
Canadá también ha promulgado una ley antispam, la Legislación Antispam de Canadá (CASL), que afecta a las actividades de marketing electrónico, como la recopilación de datos y el envío masivo de correos electrónicos.
Principios de protección de datos en la Unión Europea
La Unión Europea cuenta actualmente con el marco de protección de datos más completo del mundo. El Reglamento General de Protección de Datos (RGPD) promulgado en 2018 sirve como marco legal para la protección de datos y la privacidad para cada estado miembro.
Esta compleja legislación también afecta a cualquier empresa que comercie con la UE y conlleva fuertes multas y sanciones para garantizar su cumplimiento. El RGPD está diseñado para proteger los datos sensibles de los ciudadanos de la UE y darles más control sobre cómo se accede a ellos y se utilizan. Los requisitos incluyen el control de las transferencias internacionales de datos y el derecho de los ciudadanos a la supresión de datos.
Exploraremos el GDPR con más detalle en la siguiente sección.
Los 7 principios de la protección de datos (GDPR)
-
Legalidad, equidad y transparencia
Artículo 5(1)(a) del GDPR: «Los datos personales se tratarán de forma lícita, leal y transparente en relación con el interesado («licitud, lealtad, transparencia»)»
Especifica que las organizaciones deben garantizar que sus métodos de recopilación de datos no comprometen la ley y que el uso que hacen de los datos es transparente para las personas cuyos datos se recopilan.
-
Limitación de la finalidad
Artículo 5(1)(b) del GDPR: «Los datos personales se recogerán con fines determinados, explícitos y legítimos y no se tratarán posteriormente de forma incompatible con dichos fines; el tratamiento posterior con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos no se considerará incompatible con los fines iniciales»
Establece que las organizaciones sólo deben recoger datos personales para un propósito definido y declarado. Deben definir cuál es el propósito y el objetivo, y sólo recoger los datos durante el tiempo que necesiten para lograr estos fines.
La recopilación y el tratamiento de datos que se realizan con fines de investigación histórica, científica o estadística, o por razones de interés público, gozan de mayor libertad.
-
Minimización de datos
Artículo 5(1)(c): «Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan (minimización de datos).»
Las organizaciones sólo deben conservar la menor cantidad de datos necesaria para sus necesidades. No está permitido recopilar datos «extra» con la esperanza de que sean útiles más adelante.
-
Precisión
Artículo 5(1)(d): «Los datos personales serán exactos y, en caso necesario, se mantendrán actualizados; se adoptarán todas las medidas razonables para garantizar que los datos personales que sean inexactos, habida cuenta de los fines para los que se tratan, se supriman o rectifiquen sin demora («exactitud»)»
Los datos personales recogidos deben ser adecuados para la finalidad declarada, así como precisos y actualizados. La información personal identificable debe ser revisada regularmente, y la información inexacta debe ser corregida o eliminada.
-
Limitaciones de almacenamiento
Artículo 5(1)(e): «Los datos personales se conservarán en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos personales; los datos personales podrán conservarse durante períodos más largos en la medida en que los datos personales se traten únicamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, siempre que se apliquen las medidas técnicas y organizativas adecuadas exigidas por el RGPD para salvaguardar los derechos y las libertades de las personas («limitación del almacenamiento»)»
Una vez cumplido el objetivo de la recogida de datos, éstos deben ser eliminados. Si hay una razón aceptable para conservar la información, por ejemplo que pueda utilizarse para el interés público o la investigación histórica, la organización debe establecer y justificar un periodo de conservación.
-
Integridad y confidencialidad
Artículo 5(1)(f): «Los datos personales se tratarán de forma que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales, utilizando las medidas técnicas u organizativas adecuadas («integridad y confidencialidad»).»
Toda la información que se conserve debe guardarse de forma segura. Tu organización debe asegurarse de que se establecen las medidas de protección de datos adecuadas para salvaguardar la información personal. El compromiso con la ciberseguridad es esencial.
-
Rendición de cuentas
Artículo 5(2): «El controlador será responsable y podrá demostrar el cumplimiento de [the other data protection principles]»
Esto significa que las organizaciones deben responsabilizarse de los datos que conservan y demostrar el cumplimiento de todos los demás principios. Las organizaciones deben ser capaces de documentar y demostrar su adhesión a estas prácticas.
Esto puede implicar:
Mantenerse al día sobre las prácticas de protección de datos
Creación de un puesto de responsable de la protección de datos (DPO) o de un responsable del cumplimiento de la normativa
Establecer un inventario de datos personales
Realización de evaluaciones de impacto de la protección de datos y auditorías de ciberseguridad
NinjaOne y la protección de datos
Funciones como Ninja Data Protection están diseñadas para ayudar a las organizaciones y a los proveedores de TI a abordar las complejidades de la normativa de protección de datos.
- Copia de seguridad de imagen completa
- Copia de seguridad de documentos, archivos y carpetas
- Gestión de endpoints
- Administración de parches
- Bitdefender Advanced Threat Security
- Defensa integral contra el ransomware
Conclusión
La protección de datos es el proceso de asegurar la información contra el compromiso o la corrupción. Puede ser un reto para muchas organizaciones, pero es esencial en el mundo moderno de los datos de alto valor y las crecientes ciberamenazas.
Tanto los usuarios finales como los proveedores de TI deben garantizar la aplicación de estrictas medidas de seguridad y el cumplimiento de la normativa en las regiones o sectores en los que se requiera, y la elección de las soluciones y los socios adecuados puede ser un salvavidas a la hora de navegar por las complejas aguas de la protección de datos.