Skip to main content

Aplicar los principios de la privacidad de datos

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Enumerar los 10 principios clave de privacidad.
  • Explicar cómo se pueden implementar los principios en su organización.

Principios de privacidad

Ahora que comprende bien los aspectos básicos de la privacidad de datos, exploremos de forma detallada algunos principios y cómo se aplican a su organización. Si bien los requisitos legales varían en todo el mundo, existen algunos principios comunes que aportan la base de muchas leyes de privacidad. Ahondemos en estos principios que presentamos en la unidad anterior.

Equidad y transparencia

Las organizaciones deben procesar los datos de manera legítima, justa y transparente.

Su organización puede implementar este principio mediante el procesamiento de datos personales en función de las leyes aplicables y de los acuerdos de nivel de servicios (SLA) o los compromisos de privacidad realizados con sus clientes y usuarios finales. Como se mencionó antes, también es buena idea publicar una declaración de privacidad en su sitio web, en la que se detalle qué datos personales se recopilan en su función como controlador de datos y por qué, incluida la información recopilada mediante cookies y análisis de datos. En su declaración de privacidad, es importante indicar los tipos de información que no recopilará. En última instancia, sin importar cómo reciba los datos de privacidad, debería obtener un consentimiento antes de procesarlos. 

Limitación de la finalidad

Las organizaciones solo deben procesar datos personales con finalidades especificadas, explícitas y legítimas. 

En su organización, esto significa que en cualquier momento en que recopile datos personales, debe comunicarlo de forma clara y ser específico con respecto a cómo se utilizarán estos. En la mayoría de los casos, si desea utilizar los datos para otras finalidades que no sean las que se comunicaron, debe presentar una razón legal válida y obtener permiso antes de procesarlos.

Minimización de los datos

Las organizaciones solo deben recopilar la cantidad mínima de datos necesaria para la finalidad de procesamiento en cuestión. 

Su organización no debe recopilar datos personales a menos que sea necesario para suministrar los servicios ofrecidos. Según el Reglamento General de Protección de Datos (RGPD), los datos personales deben ser “adecuados, relevantes y limitados a lo necesario en relación con la finalidad para la que se procesan”, mientras que la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) denomina esto como la regla del “mínimo necesario”.

¿Cómo funciona entonces la minimización de los datos? Supongamos que desarrolla una aplicación interna para celulares para el autobús de cortesía que se ofrece a los empleados de su empresa. Entre los datos que la aplicación debe recopilar y procesar se incluyen datos personales de los empleados, como las direcciones de su hogar y su oficina, y otra información básica (es decir, nombre y número de teléfono). Sin embargo, la aplicación no necesita la fecha de nacimiento, el origen étnico ni la información financiera o de salud de los empleados. Debido a que esta información adicional no es necesaria, no debería recopilarla.

Precisión

Los datos personales deben ser precisos y mantenerse actualizados.

Como proveedor de servicios para sus clientes, su organización necesita asegurarse de que los sistemas cuenten con registros precisos y que reflejen los cambios en los datos cuando estos se produzcan. Debe contar con mecanismos que eliminen o corrijan de forma inmediata cualquier dato que se considere impreciso.

Eliminación y retención de datos

Las organizaciones solo deben almacenar datos personales mientras estos sean necesarios y solo para la finalidad destinada originalmente.

Su organización no debe conservar datos durante un periodo indefinido, incluso si puede que estos se utilicen en el futuro. Se deben establecer periodos claros para cuándo se eliminan los datos, con una lógica sobre por qué los datos se conservan durante ese periodo. Por ejemplo, puede que necesite conservar archivos de registro de seguridad durante ciertos periodos para identificar comportamientos maliciosos de adversarios y realizar un seguimiento de estos. Sin embargo, el periodo debe ser finito y debe contar con una lógica que lo respalde. También debe estar informado acerca de las leyes de retención de los tipos específicos de datos, como documentos legales, dentro del país en el que su organización ofrece dicho servicio.

Seguridad

Las organizaciones deben utilizar medidas adecuadas de seguridad técnica y organizacional para proteger los datos personales del procesamiento sin autorización, la divulgación accidental, la pérdida, la destrucción y la modificación. 

Su organización debe garantizar que los sistemas de seguridad protejan los datos de forma adecuada. También puede proteger y asegurar los datos que almacenó mediante técnicas para mejorar la privacidad. Veamos algunas.

  • La segregación de datos es la división de datos en varias categorías de datos con el fin de dividir o restringir el acceso a distintas clases de datos. Utilizar esta técnica le permite a su organización crear reglas de acceso individuales para distintos grupos de usuarios o conjuntos de datos, lo que asegura que solo las personas autorizadas cuenten con acceso.
  • El cifrado es un método de seguridad en el que la información se codifica en un formato que no se puede leer, al que solo un usuario con la clave correcta puede acceder o descifrarlo. El cifrado protege la confidencialidad de los datos.
  • La seudonimización reemplaza por seudónimos o identificadores la información que pueda identificar a una persona. Reduce la posibilidad de que los registros e identificadores de datos personales puedan identificar a una persona.
  • La anonimización es el proceso de proteger la información privada o sensible mediante su eliminación, ofuscación (encubrimiento) o cifrado. Elimina todos los identificadores asociados con una persona.

Pueden existir otras medidas de seguridad en su organización para respaldar la protección de datos. Se recomienda que todos los empleados que cuenten con acceso a los sistemas informáticos reciban capacitación en privacidad, independientemente de su posición, y que lean y acepten las políticas de uso aceptable para empleados.

Responsabilidad

Su organización debe crear políticas e implementar procesos que demuestren que cumple con las leyes, las normativas y los principios de privacidad de datos.

Debe tomar medidas para mejorar la privacidad mediante los conceptos de privacidad a través del diseño y de la privacidad predeterminada.

  • Privacidad a través del diseño: La privacidad a través del diseño se produce cuando una organización comienza a planificar una actividad o un proceso nuevo o mejorado, o cuando desarrolla una función, un producto o un servicio nuevo.

Cuando su organización desarrolla un producto nuevo, debe tener en cuenta las políticas y los principios de privacidad durante las fases de planificación y diseño. Es importante incluir a todos los equipos legales y las partes interesadas relevantes en el proceso de planificación y diseño para asegurar que la privacidad sea una prioridad y que su organización cumpla con las leyes.

  • Privacidad predeterminada: Las organizaciones deben seleccionar la configuración predeterminada más adecuada para la privacidad cuando recopilen, procesen o almacenen datos personales. Por ejemplo, si registrara una cuenta en una red social en línea y planeara utilizar uno de sus servicios, puede que esta afirme que cumple con el principio de privacidad predeterminada y que solo requiere su nombre y dirección de email para funcionar. Sin embargo, si la cuenta de la red social comienza a compartir de inmediato su ubicación u otros datos aparte del nombre y la dirección de email, esta no cumple con el principio de privacidad predeterminada.

Derechos de las personas

Las leyes de privacidad también detallan los derechos de un titular de datos con respecto a sus datos personales. Estos derechos incluyen los siguientes:

  • Solicitud de acceso del titular de datos: Los titulares de datos tienen derecho a acceder a una copia de los datos personales que un controlador conserve sobre ellos y a recibir una confirmación de que un controlador procesa sus datos personales. También tienen derecho a conocer los detalles de la finalidad del procesamiento, las categorías que se procesan, cuánto tiempo se almacenan los datos y con quiénes se compartieron los datos personales.
  • Derecho a objeción: En ciertos casos, los titulares de datos pueden oponerse a la forma en que se utilizan sus datos personales.
  • Corrección de datos: Los titulares de datos pueden solicitar que se corrijan o completen sus datos personales si estos son imprecisos o se encuentran incompletos.
  • Restricción: Los titulares de datos pueden solicitar que una compañía deje de procesar sus datos personales en circunstancias limitadas.
  • Derecho a la eliminación: También se lo conoce como el “derecho a ser olvidado” o, según el RGPD, el derecho a la eliminación. Les brinda a los titulares de datos la capacidad de solicitar que un controlador elimine sus datos personales en determinadas condiciones. Debido a que Estados Unidos es sectorial con respecto a la privacidad, la mayoría de las leyes de privacidad de este país no otorgan este derecho. Una excepción es la Ley de Protección de la Privacidad Infantil en Línea (COPPA).
  • Portabilidad de datos: Cuando corresponda para el tipo de procesamiento, los titulares de datos tienen el derecho a solicitarle a un controlador que le proporcione sus datos personales en un formato exportable para que puedan transmitírselos a otro controlador.

Asistir a sus clientes para gestionar estas solicitudes es obligación de su organización como proveedor de servicios. Como controlador, es responsable de acatar las solicitudes de titulares de datos, y los sistemas que utilice para gestionar los datos personales deben cumplir con estas solicitudes, incluidos el acceso, la corrección, la eliminación y la portabilidad.

Transferencias internacionales

En ciertos países y regiones, como la Unión Europea (UE), se prohíbe la transferencia de datos personales por fuera del país o la región de origen, a menos que en el destino se hayan implementado suficientes medidas de seguridad que garanticen que los datos están protegidos. Si su organización opera a nivel internacional, debe implementar medidas que garanticen que pueda transferir datos personales de forma legal entre estos límites.

Un globo terráqueo con flechas que van de un país a otro, lo cual simboliza las transferencias internacionales de datos

Evaluación del impacto sobre la protección de datos 

Cuando su organización recopila, almacena o utiliza datos personales, las personas cuyos datos procesa se exponen a riesgos. Estos riesgos varían desde el robo con intenciones de suplantación de identidad hasta la divulgación accidental. En función del RGPD, su organización se ve obligada a realizar una Evaluación del impacto sobre la protección de datos (DPIA). Según la Comisión Nacional de Informática y de las Libertades (CNIL), una DPIA está diseñada para evaluar los datos que es probable que generen un nivel alto de riesgos para los derechos y las libertades de las personas, además de para identificar y minimizar estos riesgos tan pronto como sea posible. Puede que su organización quiera considerar realizar una DPIA antes de iniciar actividades de recopilación o procesamiento de datos que impliquen riesgos elevados para los titulares de datos.  

Resumen

Ahora comprende mejor los principios de privacidad y cómo aplicarlos a su organización. En la siguiente unidad, aprenderá sobre los datos de clientes y la función de los guardianes de datos en la protección de estos.

Recursos

Comparta sus comentarios de Trailhead en la Ayuda de Salesforce.

Nos encantaría saber más sobre su experiencia con Trailhead. Ahora puede acceder al nuevo formulario de comentarios en cualquier momento en el sitio de Ayuda de Salesforce.

Más información Continuar a Compartir comentarios