¿Qué es la privacidad de los datos?

En una era en la que los datos personales se almacenan en un gran número de organizaciones, las normativas determinan la forma en la que estas pueden utilizarlos, recopilarlos, almacenarlos y distribuirlos. Las normativas relacionadas con la privacidad de los datos tienen como objetivo proteger los datos frente a las formas poco éticas de utilizarlos y distribuirlos a terceros. Algunas normativas obligan a las organizaciones a notificar a los usuarios de todas las fugas de datos y a hacer pública la forma en la que se utilizarán y recopilarán sus datos.

La información de identificación personal (PII) comprende cualquier dato que pueda utilizarse para identificar a un consumidor particular o cliente de una empresa. Esta información incluye nombre, dirección, número del documento nacional de identidad, datos de tarjetas de crédito, fecha de nacimiento y otros muchos puntos de datos personales. Las organizaciones que recopilan esta información deben almacenarlos de forma ética y establecer cuidadosamente reglas de autorización al compartir los datos con empleados, proveedores, contratistas y aplicaciones de terceros. Las normativas de privacidad de los datos de particulares garantizan que las organizaciones se atienen a reglas estrictas a la hora de recopilar y compartir información privada de sus clientes, o pueden enfrentarse a severas sanciones por incumplimiento.

La protección de los datos de los usuarios frente al robo o al uso inapropiado permite reducir el robo de identidad y la actividad fraudulenta. La privacidad de los datos también ofrece a los usuarios información sobre las formas mediante las que se compartirán y recopilarán sus datos a fin de tomar decisiones informadas sobre si desean que una organización concreta tenga o no su información. Algunas normativas de cumplimiento, como el RGPD (Reglamento General de Protección de Datos) obligan a las organizaciones a eliminar los datos de sus sistemas si así lo solicitan los clientes.

La seguridad y la privacidad de los datos actúan de la mano para proteger la información de los clientes. La seguridad que hay detrás de la protección de los datos determina las herramientas y los procedimientos de autorización que permiten el acceso. La privacidad de los datos identifica la información de importancia crítica y por qué estos datos son tan sensibles. Sin privacidad de los datos, las organizaciones podrían vender los datos a terceros para obtener un beneficio sin tener en cuenta la persona que recibe los datos ni el consentimiento de su propietario. Las normativas de cumplimiento ponen la responsabilidad en las organizaciones, de manera que los usuarios tienen el derecho legal respecto a su propia información y tiene una parte del control sobre la forma en la que los utilizan terceras partes.

Aunque la privacidad de los datos y la seguridad de los datos van de la mano, constituyen dos enfoques completamente distintos. Convencer a los clientes para que envíen datos a una organización requiere confianza. Para conservar la confianza de los clientes, las organizaciones deben tomarse en serio la privacidad de los datos y darle la máxima prioridad en el servicio al cliente y la administración de los datos. Después de una fuga de datos, la pérdida de confianza representa uno de los mayores efectos residuales posteriores que puede generar grandes pérdidas de ingresos ya que los clientes buscan a un proveedor distinto o dejan de comprar productos de la empresa.

En la seguridad de los datos intervienen procedimientos, herramientas, software, autorización, auditoría y supervisión de la información de usuarios. La privacidad es conceptual, mientras que la seguridad de los datos requiere llevar a cabo las acciones necesarias para la salvaguarda de los datos. Las organizaciones mantienen la privacidad de sus estrategias de seguridad de los datos, ya que así añaden un nivel de defensa adicional frente a los atacantes, si bien la privacidad de los datos presupone un nivel de transparencia. La privacidad de los datos requiere seguridad de los datos, pero esto no siempre significa que la privacidad de los datos sea una preocupación para la organización.

Otro elemento común de la privacidad y la seguridad de los datos es el cumplimiento. Las normativas de cumplimiento a menudo determinan la forma en la que las organizaciones despliegan la seguridad de los datos. Por ejemplo, normativas como la ley Health Insurance Portability and Accountability Act (HIPAA) exigen pistas de auditoría en cada solicitud de acceso a datos de usuarios privados. Si las organizaciones no son capaces de controlar el acceso, podría enfrentarse a severas sanciones por incumplimiento. El RGPD exige a las organizaciones que dispongan de herramientas para eliminar los datos de sus sistemas si se les solicita.

Los derechos de los usuarios sobre la protección de datos vienen determinados por su país de residencia. Por ejemplo, el Reglamento General de Protección de Datos (RGPD) es una normativa de la Unión Europea (UE) que entró en vigor en 2018. Ley de Privacidad del Consumidor de California (California Consumer Privacy Act, CCPA) es similar al RGPD, pero es específica para las empresas que almacenan y comparten datos de los residentes de California. La definición de normativas de cumplimiento que vigilan a las empresas es fundamental para comprender los derechos sobre protección datos. Algunas normativas de cumplimiento son específicas para el tipo de datos almacenados. Por ejemplo, la ley HIPAA define los derechos sobre protección datos de los pacientes y proporciona directrices y estándares de ciberseguridad para la atención sanitaria a proveedores, hospitales y cualquier otra organización que almacene y recopile información de pacientes.

Aunque los derechos sobre protección de datos difieren en función de la ubicación y de las normativas de cumplimiento que controlan la seguridad, todas las leyes de protección de datos persiguen los mismos objetivos. Incluimos algunos:

• Consentimiento: los usuarios deben dar su consentimiento antes de que las organizaciones puedan distribuir, dar el consentimiento a un tercero o compartir su información.
• Obligaciones legales: las reglas y normativas definen las repercusiones legales y los requisitos de las organizaciones que procesan datos, definidas mediante leyes regionales o específicas de países.
• Ejercicio de derechos: los usuarios tienen formas establecidas para ejercer sus derechos. Por ejemplo, deben tener la opción de eliminar los datos personas mediante canales de comunicación concretos.
• Intereses: La principal prioridad de la privacidad de los datos es el interés del consumidor, que la organización tiene la obligación de preservar.

No hay legislación alguna que supervise la privacidad de los datos. En su lugar, una serie de leyes y marcos en función del tipo de datos almacenados (en algunos casos) y la ubicación de la organización son factores determinantes de las leyes relacionadas con la privacidad de los datos. A continuación se incluyen las leyes sobre privacidad de los datos más destacadas:

• Ley California Consumer Privacy Act (CCPA): la CCPA entró en vigor el 1 de enero de 2020, y se regula la forma en la que se gestionan los datos de los residentes en California. Los residentes de California tienen derecho a saber las formas en las que las empresas recopilan sus datos, y la norma les permiten acceder y eliminar los datos de sistemas corporativos.
• Ley Health Insurance Portability and Accountability Act (HIPAA): HIPAA es una ley a ámbito federal que define la forma en la que las organizaciones almacenan, protegen, comparten, transfieren y auditan la información de los pacientes. Afecta principalmente a proveedores de servicios de atención sanitaria y hospitales, pero también los comercios electrónicos y otras empresas que almacenen información de pacientes deben aplicar las normativas de la HIPAA a los controles de seguridad.
• Ley Children’s Online Privacy Protection Act (COPPA): COPPA es una ley más antigua que entró en vigor en 2000 y que definía la forma en la que las empresas recopilan y comparten información de menores. Las organizaciones que gestionan datos de menores de doce años deben proteger sus nombres en pantalla, direcciones de correo electrónico, nombres de chat, fotografías, archivos de audio y coordenadas de geolocalización.
• PCI-DSS: todos los comercios minoristas y organizaciones que almacenen datos financieros y de tarjetas de crédito de los consumidores deben cumplir las normativas de la PCI-DSS. Este estándar de cumplimiento de centra en proteger la información de pago de los usuarios para impedir el fraude y el robo de identidad. Tanto grandes como pequeñas organizaciones, incluidas las tiendas online, deben cumplir con lo que establece la norma PCI-DSS en cuanto a almacenamiento de datos financieros de los consumidores.

Además de la CCPA, las leyes sobre la privacidad de los datos mencionadas cubren normativas federales, pero otras las establecen determinados estados. Varios estados de EE. UU. cuentan con sus propias normativas, que se encargan de vigilar la forma en la que las empresas estadounidenses almacenan la información de los residentes en dichos estados. California, Nueva York, Maryland, Massachusetts, Hawaii, y Dakota del Norte cuentan con leyes que regulan la forma de compartir y almacenar los datos de sus consumidores. Por ejemplo, la New York SHIELD Act, tiene como objetivo mejorar la seguridad de los datos a través del refuerzo de los requisitos de ciberseguridad de las empresas que almacenan datos de residentes en Nueva York.

Las organizaciones que trabajan con datos de usuarios a nivel internacional tienen la carga adicional de cumplir con leyes que afectan a los residentes de Europa. Si bien son principalmente dos las leyes de privacidad que afectan a las empresas estadounidenses, las dos normativas de privacidad que se indican a continuación afectan a los datos de los residentes de EE. UU.:

• La ley de las cookies de la UE: las cookies son pequeños archivos que se almacenan en el dispositivo de un usuario para guardar información de los sitios web. Esta información podría enviarse a terceras partes o divulgarse en caso de robo del dispositivo. La ley de las cookies requiere el consentimiento del usuario para que un sitio web pueda almacenar una cookie en el dispositivo del usuario.
• Reglamento General de Protección de Datos (RGPD): el RGPD es una de las normativas de privacidad de los datos más estrictas que regulan el uso de los datos de los residentes en la UE. Las organizaciones que infrinjan el RGPD se enfrentan a sanciones que pueden llegar a ser de millones de euros. El RGPD supervisa la privacidad de los datos, la seguridad de los datos, la responsabilidad de las organizaciones y las sanciones por incumplimiento. Las organizaciones que almacenan datos de consumidores de la UE deben asegurarse hacer pública la manera en que almacenan, comparten y recopilan los datos, y ofrecer una forma sencilla para que los usuarios puedan eliminar sus datos de los sistemas corporativos.