Skip to main content

Obtenga información sobre las leyes y las normativas de privacidad de datos

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Explicar la importancia de la privacidad de datos.
  • Describir cómo las leyes de privacidad se aplican a su organización.
  • Determinar las expectativas de los clientes con respecto a la privacidad.

Introducción a la privacidad

Como profesional de la seguridad, es importante mantenerse informado acerca de las leyes de privacidad más recientes que se aplican a su organización, en especial si su organización gestiona datos personales de clientes. ¿Por qué es tan importante? Asegurarse de que los datos de los clientes y los empleados estén protegidos es fundamental para ganar y conservar la confianza. En este módulo, revisaremos las herramientas para la implementación de un programa de privacidad eficaz.

Si su organización almacena y procesa datos de clientes, los clientes confían en que protegerá sus datos, y los utilizará y procesará de manera segura y en función de las leyes aplicables. Estos datos pueden incluir datos personales, como la información de contacto, atención sanitaria o financiera, o información relacionada con el negocio, como los datos de gastos, marketing y análisis de datos.

Independientemente del tipo de datos que procese o almacene, es importante protegerlos. Además de procesar o almacenar datos de clientes, su organización es responsable de sus propios datos, incluido el conocimiento sobre los clientes potenciales, la información de los empleados y los datos financieros, entre otros.

¿Cómo puede garantizar que estos datos estén protegidos? Para empezar, deber conocer y respetar las leyes de privacidad aplicables. Explicamos estas leyes de privacidad de forma detallada aquí. Para documentar el cumplimiento de las leyes de privacidad aplicables y protegerse a usted y a sus clientes, es buena idea contar con acuerdos cuando recopile datos de clientes. En estos acuerdos, se debe detallar la forma en que su organización mantendrá los datos de clientes seguros y confidenciales. Por ejemplo, la mayoría de las aerolíneas internacionales tienen la obligación de demostrar en sus sitios web públicos la forma en que protegen la privacidad de los clientes, qué datos recopilan, y por qué y cómo se los recopila, utiliza, evalúa, protege y almacena.

¿Por qué es importante la privacidad?

Retrocedamos para revisar el concepto de privacidad y lo que significa. La privacidad se relaciona con cómo una determinada información (o datos) se debe gestionar y proteger en función de su importancia relativa.

La privacidad de datos se volvió un tema central en los últimos tiempos debido a fallas en la seguridad e inquietudes sobre la forma en que las compañías utilizan los datos de clientes que recopilan. Las inquietudes de privacidad de datos son importantes en especial para las compañías de ciertos sectores, como finanzas y atención médica. Estos sectores contienen información confidencial y, por lo general, se los regula en gran medida. Además, cada vez más a menudo son el objetivo de ciberataques, que si resultan exitosos podrían provocar la pérdida de los datos y la confianza de los consumidores. 

Observemos un ejemplo. Cuando solicita una tarjeta de crédito, por lo general, se le pide que proporcione su nombre legal, fecha de nacimiento, dirección, número de identificación emitido por el gobierno e ingresos anuales. Es demasiada información. Además de utilizarse para verificar su identidad, esta información permite que la compañía de la tarjeta de crédito verifique su historial de crédito. Esta información es considerada como sus datos personales, y la compañía de la tarjeta de crédito tiene la obligación de implementar medidas de seguridad para protegerla.

En este ejemplo, privacidad significa que la compañía de la tarjeta de crédito es responsable de proteger su información personal de la divulgación no autorizada, que utilizan sus datos personales de manera transparente, que los utilizan de conformidad con las leyes aplicables y que usted está de acuerdo con el uso de sus datos para una finalidad determinada.

Una computadora portátil en la que se muestra una persona que solicita una tarjeta de crédito en línea, con una carpeta de archivos repleta de signos de dólar y tarjetas de crédito con un escudo superpuesto.

Terminología de privacidad

Antes de analizar con mayor detalle las leyes de privacidad, revisemos algunas definiciones básicas.

Datos de clientes: Es la información que un cliente proporciona mientras interactúa con un negocio a través de un sitio web, una aplicación móvil, redes sociales y mucho más.

Titulares de datos: Es una persona cuyos datos personales se recopilan, almacenan o procesan.

Datos personales: Son los datos que se pueden atribuir de forma directa a un titular de datos y que pueden identificar a una persona, por ejemplo, el nombre, la dirección de su hogar o un identificador personal como su número de pasaporte.

Datos personales confidenciales: Algunos tipos de datos personales se consideran confidenciales y están sujetos a una regulación más estricta. Se trata, por ejemplo, de datos sobre raza, origen étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o datos sobre la vida sexual o la orientación sexual de una persona.

Procesamiento: Es cualquier operación o conjunto de operaciones sobre los datos (por ejemplo, el acceso, la recopilación, el registro, la recuperación, la copia, el almacenamiento, la divulgación, la difusión y demás).

Controlador: Es una persona o entidad que determina la finalidad y los medios del procesamiento de los datos personales.

Procesador: Es una persona o entidad que procesa datos personales en nombre de un controlador.

Custodio (o controlador): Es la persona responsable de custodiar, transportar y almacenar los datos, y de implementar reglas de negocio. 

Autoridad de Protección de Datos (APD): Autoridades nacionales encargadas de la protección de los datos y la privacidad, así como de la supervisión y aplicación de la normativa de protección de datos en la Unión.

Su organización puede actuar como procesador y controlador, según la situación y los datos involucrados. Resulta útil pensar en las funciones de procesador y controlador en relación a la asignación de responsabilidades entre partes. Sus clientes pueden ser controladores y procesadores. Sin embargo, su organización siempre actúa como procesador cuando un cliente le envía datos y como controlador cuando determina los medios y la finalidad del procesamiento de los datos.

Leyes de privacidad

Según dónde opere su organización, puede que necesite respetar leyes de privacidad específicas de la ubicación. Si su organización opera en todo el mundo, es importante implementar requisitos de políticas que se apliquen al país de operación. Por ejemplo, si su organización opera en Japón, usted está sujeto a la Ley de Protección de la Información Personal.

Las leyes de privacidad existen para proteger los datos personales. También regulan en qué formas se pueden utilizar los datos y en qué formas no. Examinemos de forma más detallada lo que abordan las leyes de privacidad.

  • Si los datos personales se pueden recopilar y procesar
  • Qué información se debe proporcionar con respecto a las prácticas de procesamiento de datos y cómo
  • Quién puede acceder a los datos personales y utilizarlos
  • Cómo se pueden procesar los datos personales
  • Cómo se deben proteger los datos
  • Cuándo eliminar o corregir los datos
  • Quién tiene permiso de transportar o custodiar los datos
  • En qué ubicaciones se pueden transferir los datos a otros países y cómo
  • Cómo se gestionan los incidentes de seguridad
  • Qué derechos tienen los titulares de datos con respecto a sus datos personales

En todo el mundo, existen dos tipos de leyes de privacidad: integrales (que se pueden aplicar a todos los países y sectores) y sectoriales (que se pueden aplicar a industrias o sectores en específico). En Estados Unidos, el gobierno federal adoptó históricamente un enfoque sectorial. Por ejemplo, existe la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), que es la ley de privacidad de la salud en Estados Unidos que protege los datos que revelan el estado de salud de una persona (conocida como información de salud protegida o PHI). 

La única ley de privacidad nacional que existe en Estados Unidos es la Ley de Protección de la Privacidad Infantil en Línea (COPPA), que regula la forma en que las compañías en línea recopilan y utilizan datos de niños menores a 13 años. 

A falta de una ley nacional integral sobre privacidad, varios estados han tomado la iniciativa de promulgar su propia legislación sobre privacidad, entre ellos:

  • California: Ley de Derechos de Privacidad de California (CPRA)
  • Virginia: Ley de Protección de Datos de los Consumidores de Virginia (VCDPA)
  • Connecticut: Ley de Privacidad de Datos de Connecticut (CTDPA)
  • Utah: Ley de Privacidad del Consumidor de Utah (UCPA)
  • Colorado: Ley de Privacidad de Colorado (CPA)

Estos estados han aprobado recientemente su propia legislación sobre privacidad o están en proceso de hacerlo. Muchos otros estados también están considerando hacer esto. Al aprobar sus propias leyes de privacidad, estos estados brindan su propia protección a sus integrantes.

Por el contrario, la Unión Europea (UE) y el Espacio Económico Europeo (EEE) adoptan un enfoque más integral mediante el Reglamento General de Protección de Datos (RGPD). El RGPD es la ley de privacidad de la UE y el EEE, y se aplica a todos los controladores y procesadores, sin importar su industria o sector. Sin embargo, también hay leyes específicas de sectores en Europa, como las leyes del sector de telecomunicaciones.

Si bien no es una lista extensa, muchos otros países del mundo (incluidos Japón, Australia, China, Canadá, Brasil, Argentina, India y Sudáfrica, entre otros) rigen sus propias leyes de privacidad, o las están formulando. Si bien cada país puede contar con su propia ley, la mayoría de las leyes de privacidad de todo el mundo se basan en los mismos principios centrales.

  • Equidad y transparencia
  • Limitación de la finalidad
  • Minimización de los datos
  • Precisión
  • Eliminación y retención de datos
  • Seguridad
  • Responsabilidad
  • Derechos de las personas
  • Transferencias internacionales
  • Evaluaciones del impacto sobre la privacidad de datos

Analizaremos estos principios con mayor detalle en la siguiente unidad.

Contratos con los clientes y acuerdos de nivel de servicio

Además de cumplir con las leyes de privacidad, las organizaciones incluyen compromisos de privacidad en los contratos con los clientes o en los acuerdos de nivel de servicio (SLA). Estos compromisos determinan de manera detallada las formas en que su organización puede utilizar los datos personales, incluidos los que requiere la ley aplicable.

Estándares y certificaciones de privacidad internacionales

Además de las leyes de privacidad, puede que su organización también deba cumplir con ciertos estándares y certificaciones que imponen requisitos de privacidad integrales. Si bien estos estándares y certificaciones pueden variar según la industria, pueden incluir los siguientes:

  • La Organización Internacional de Normalización y la Comisión Electrotécnica Internacional (ISO/IEC) 27001/27018, que disponen requisitos para los sistemas de gestión de la seguridad de la información y para la protección de la información de identificación personal (PII) en nubes públicas que funcionan como procesadores de PII
  • Los informes del Control de Organizaciones de Servicio (SOC), que ayudan a las compañías a establecer la confianza en sus procesos y controles de prestación de servicios
  • La certificación de TRUSTe, que permite a las organizaciones demostrar prácticas responsables que son coherentes con los estándares de responsabilidad en la privacidad
  • Organización Internacional de Normalización y Comisión Electrotécnica Internacional (ISO/IEC) 27701, que es una ampliación de ISO/IEC 27001 e ISO/IEC 27002 para la administración de información sobre privacidad. Proporciona directrices para el tratamiento de la IIP y ayuda a las organizaciones a establecer, implantar, mantener y mejorar continuamente su Sistema de Gestión de la Información sobre Privacidad (PIMS).

Políticas de privacidad

Su organización debe cumplir con los compromisos que asumió con los clientes cuando recopile datos personales. Además, su organización debe conservar una declaración de privacidad en su sitio web público en la que se describan los tipos de datos que recopila de los usuarios de sus sitios web y la forma en que utiliza y comparte estos datos. Los compromisos que asuma en dicha declaración de privacidad deben ser similares a los que asume en los contratos que firma con sus clientes. Lo mismo se aplica a las políticas de privacidad internas y los avisos para empleados en los que se detalla cómo recopila, utiliza, comparte y procesa los datos de los empleados.

Resumen

Ahora comprende mejor los conceptos de la privacidad, las leyes y las expectativas de los clientes. En la siguiente unidad, analizaremos los principios de privacidad y cómo puede aplicarlos para proteger su organización.

Recursos

Comparta sus comentarios de Trailhead en la Ayuda de Salesforce.

Nos encantaría saber más sobre su experiencia con Trailhead. Ahora puede acceder al nuevo formulario de comentarios en cualquier momento en el sitio de Ayuda de Salesforce.

Más información Continuar a Compartir comentarios