Protección de datos vs. Privacidad de datos

Es lógico que en la economía digital actual sea necesario que las empresas recojan y procesen la información personal de los consumidores para poder realizar la venta de productos y servicios.

Sin embargo, junto con la introducción de leyes sólidas diseñadas para proteger los datos personales que recogemos, viene la expectativa de que las empresas apliquen medidas igualmente sólidas que protejan los datos que se nos confían.

En contra de la creencia popular, la privacidad de los datos y la protección de los mismos son dos áreas de preocupación completamente diferentes. Y tener una no asegura la otra.

La privacidad de los datos define quién tiene acceso autorizado, mientras que la protección de datos se centra en proteger los activos de datos de un uso no autorizado. Podría decirse que la privacidad de los datos es más un proceso o una cuestión legal, mientras que la protección de datos es sobre todo un control técnico. Está claro que uno no asegura al otro, y que necesitamos que ambos trabajen juntos, para establecer un mecanismo de control adecuado.

La distinción importante que la gente debe conocer sobre la privacidad y la protección de datos es quién controla cada parte. El control de la privacidad de los datos recae sobre todo en los usuarios. Los usuarios suelen controlar qué datos se comparten con quién. La protección de datos es sobre todo responsabilidad de las empresas. Las empresas básicamente tienen que asegurarse de que se aplica el nivel de privacidad que sus usuarios han establecido y que los datos están protegidos. ~ Vikram Joshi, pulsd

El Grupo Data Pricvacy lleva publicando artículos sobre el tema de la privacidad de los datos desde 2016.

Aunque este artículo no es en absoluto exhaustivo, nos centramos en el tema de los datos protección y considerar algunas de las formas de proteger los datos personales contra el acceso no autorizado.

  • los tres "estados" de los datos almacenados,

  • control de acceso,

  • la integridad de los datos, y

  • la relevancia del modelo de confianza de la IO.

¿Qué son los datos personales?

La normativa de protección de datos ya existía en muchos países del mundo mucho antes de que entraran en vigor el RGPD o la LPC. Por lo tanto, podría ser razonable pensar que las empresas no deberían necesitar que se les recuerde el significado de "información personal". Sin embargo, por desgracia, el elevado número de empresas que siguen sin cumplir las leyes nacionales de protección de datos indica o bien una ignorancia generalizada de lo que son los datos personales, o bien una actitud de no hacer caso a esta responsabilidad tan importante y legalmente vinculante.

Por lo tanto, para aquellos que aún no están familiarizados con el término, "datos personales" significa cualquier dato que pueda utilizarse para identificar a una persona física (es decir, viva).

Estos datos pueden incluir:

  • nombre, sexo, documento nacional de identidad, ubicación, fecha de nacimiento, domicilio, características culturales o sociales;

  • física, genética, psicológica, mental, médica, financiera;

  • el empleo, el salario, el rendimiento, los beneficios; y

  • raza, etnia, religión, opiniones políticas y datos biométricos.

Las leyes y reglamentos sobre privacidad imponen importantes restricciones al tratamiento de los datos personales.

Privacidad de datos vs. Protección de datos

La protección de datos se centra en la protección de los activos de datos de una organización. Se trata de mantener alejadas las amenazas. Es el acto de salvaguardar los datos que ya se han recopilado, ya sea información personal, detalles de pago o información de propiedad.

...La protección de datos es el mecanismo -es decir, las herramientas y los procedimientos- para hacer cumplir la política y la normativa, incluida la prevención del acceso no autorizado o el uso indebido de los datos que acepté compartir. ~ Mohamad Zahreddine, TrialAssure

La distinción entre privacidad de datos y protección de datos se reduce realmente a con quién planea una empresa compartir nuestros datos frente a cómo pretende proteger nuestros datos para que nadie acceda a ellos. Ahora bien, podrían significar lo mismo, a nivel de acceso a los datos, pero en realidad, proteger los datos del acceso no autorizado requiere ir más allá de una Lista de Control de Acceso (ACL) básica e implementar fuertes defensas contra todas las posibles vulnerabilidades de los sistemas de datos subyacentes.

Los 3 "estados" de los datos almacenados

Dependiendo de si los datos están en reposo (DAR), en uso (DIU), o en movimiento (DIM), diferentes soluciones de protección de datos son necesarios.

Datos en reposo se define como los datos almacenados en varios momentos de su ciclo de vida. Los datos en este estado corren el riesgo potencial de ser manipulados. Por lo tanto, hay que proteger la confidencialidad, la integridad y la accesibilidad de estos datos. Para garantizar la protección de los datos en reposo, se suelen utilizar técnicas de encriptación y replicación de datos.

Datos en movimiento se refiere a los datos que se comparten o transmiten de un lugar a otro. Las redes de área local y amplia se encuentran entre los puntos más vulnerables de un sistema. Los datos deben ser protegidos mientras están en movimiento. La seguridad a nivel de transporte (TLS) es probablemente el método más utilizado para proteger los datos en movimiento. TLS es punto a punto, lo que significa que los puntos finales del canal TLS deben ser de confianza y se deben evitar los enlaces intermedios.

Datos en uso se refiere a los datos que se están procesando en ese momento. Cuando los datos están en uso, si se envían desde el dispositivo de almacenamiento de datos al procesador sin cifrar, podrían ser vulnerables a los ataques.

Control de acceso

El primer paso lógico para la protección de los datos es bloquear todo intento de acceso no autorizado. Esto se consigue normalmente desplegando un sistema de autorización seguro para imponer el control de acceso.

Un sistema de autorización seguro debe basarse en:

  1. políticas de seguridad,

  2. requisitos de seguridad del dominio, y

  3. requisitos legales

Estas políticas imponen el control de acceso a todos los depósitos de datos para los datos en reposo, en todos los canales de comunicación para los datos en movimiento, y para todas las aplicaciones de procesamiento para los datos en uso.

El sistema de control de acceso actúa como un monitor de referencia que aplica la política de seguridad para el acceso a los datos. Todas las rutas de acceso pasan por este monitor de referencia, que no se puede eludir.

Por ejemplo, en el caso de los datos en movimiento, el DDS lo consigue mediante bibliotecas de conectividad distribuida por las que pasan los datos antes de que puedan ser utilizados por una aplicación. Antes de poder proteger los datos, hay que clasificarlos en función de su sensibilidad, como públicos, restringidos, confidenciales, etc. Los datos deben ser identificados por el nivel de sensibilidad definido en la política.

La política de seguridad define los roles que pueden acceder a cada categoría de datos, y también especifica los controles de seguridad apropiados necesarios para proteger cada categoría de datos del acceso no autorizado.

Integridad de los datos

La integridad de los datos consiste en garantizar la exactitud y la validez de los datos almacenados durante todo su ciclo de vida. Esto significa salvaguardar los datos contra la alteración o eliminación no autorizada.

Hay ciertos aspectos de la integridad de los datos que deben ser considerados:

  • Exactitud de los datos: Las decisiones empresariales u operativas basadas en datos inexactos son probablemente erróneas.

  • Protección contra la manipulación: La manipulación de datos por parte de operadores humanos, o por sistemas que han sido corrompidos con software no autorizado, puede potencialmente interrumpir las operaciones.

  • Errores en los datos: La introducción involuntaria de errores puede provenir de operadores humanos, protocolos de comunicación defectuosos y configuraciones incorrectas.

La integridad de los datos puede ser violada a menudo por piratas informáticos malintencionados, o por una corrupción involuntaria durante la transmisión, la comunicación o el almacenamiento de los datos. La garantía de la integridad de los datos se aplica mediante controles criptográficos para la detección de violaciones de la integridad. El control real dependerá de la fase del ciclo de vida de los datos.

Protección de datos y confianza en el IoT

Según un extenso libro blanco del II ConsorcioEl marco de confianza de la Internet de las Cosas (IO) incorpora el punto de vista de que la IO es algo más que "TI para las cosas". Para que un sistema de IoT funcione conforme a los requisitos empresariales y legales, varias características de ese sistema, a saber, la seguridad, la fiabilidad, la resiliencia y la privacidad, deben seguir cumpliendo estos requisitos, a pesar de las perturbaciones del entorno, los errores humanos, los fallos del sistema y los ataques.

La seguridad de los datos (y [por lo tanto] la protección de los mismos) desempeña un papel fundamental en la habilitación de la fiabilidad del IoT y sus características: privacidad, fiabilidad, resiliencia y seguridad.

Para la asistencia en la estrategia de protección de datos de su empresa y su aplicación, contactar con Peter Borner en The Data Privacy Group.

Fuentes, agradecimientos y lecturas adicionales: Forbes, II Consorcio, Wikipedia

NOTA: Este artículo se facilita únicamente a título informativo y no constituye asesoramiento jurídico o profesional. En Grupo de protección de datos recomienda que las empresas contraten los servicios de un profesional con experiencia en protección y privacidad de datos a la hora de prepararse para cumplir la legislación sobre protección y privacidad de datos.

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.