La privacidad, en el sentido más amplio, es el derecho de individuos, grupos u organizaciones a controlar quién puede acceder, observar o usar algo que posee, como sus cuerpos, propiedades, ideas, datos o información.
El control se establece a través de límites físicos, sociales o informativos que ayudan a evitar el acceso, la observación o el uso no deseados. Por ejemplo:
- Un límite físico, como una puerta de entrada cerrada con llave, ayuda a evitar que otras personas entren a un edificio sin permiso explícito en forma de llave para abrir la puerta o una persona dentro abriendo la puerta.
- Un límite social, como un club exclusivo para miembros, solo permite a los miembros acceder y usar los recursos del club.
- Un límite informativo, como un acuerdo de confidencialidad, restringe la información que se puede divulgar a otros.
El crecimiento exponencial de una economía de la información global, impulsada por nuevas tecnologías y modelos de negocio disruptivos, significa que se recopila, utiliza, intercambia, analiza, retiene y, a veces, se utiliza con fines comerciales una cantidad cada vez mayor de datos personales. También significa que hay un número cada vez mayor de violaciones de datos accidentales o intencionales, registros de datos incorrectos o perdidos e incidentes de uso indebido de datos.
Como resultado, la demanda de privacidad de los datos — el derecho a controlar cómo se recopila la información personal, con quién se comparte y cómo se usa, conserva o elimina — ha aumentado, al igual que la demanda de seguridad de los datos.
Equilibrar el derecho individual a la privacidad de los datos y el deseo de una organización de usar los datos personales para sus propios fines es desafiante, pero no imposible. Requiere el desarrollo de un marco de privacidad de datos.
Desarrollar un Marco de Privacidad de datos
Aunque no hay una «plantilla única para todos» para un marco, hay varios procesos universales que pueden ayudarlo a desarrollar uno relevante para su negocio:
Descubrir y clasificar datos personales, determinar qué tipos de datos se recopilan (p. ej. datos médicos, financieros o de identificación personal, como números de Seguridad Social), dónde y cómo se recopilan los datos, dónde se almacenan, quién tiene acceso a los datos y dónde se encuentran físicamente, los flujos de datos dentro y entre una unidad de negocio y las transferencias de datos dentro y entre países.
Realización de una Evaluación de Impacto en la privacidad (PIA): determinar cómo y dónde se almacenan, respaldan y desechan los datos, qué medidas de seguridad de los datos se implementan actualmente y dónde los sistemas pueden ser vulnerables a una violación de la privacidad de los datos. Entre los ejemplos de medidas de seguridad de datos se incluyen los siguientes:
- Gestión de cambios: Supervisa, registra e informa sobre los cambios en la estructura de datos. Muestra a los auditores de cumplimiento que los cambios en la base de datos se pueden rastrear hasta los tickets de cambio aceptados.
- Prevención de pérdida de datos: supervisa y protege los datos en movimiento en redes, en reposo en el almacenamiento de datos o en uso en dispositivos terminales. Bloquea ataques, abuso de privilegios, acceso no autorizado, solicitudes web maliciosas y actividad inusual para evitar el robo de datos.
- Enmascaramiento de datos: Anonimiza los datos mediante cifrado / hash, generalización,perturbación, etc. Seudonimiza los datos reemplazando los datos confidenciales con datos ficticios realistas que mantienen la precisión operativa y estadística.
- Protección de datos: Garantiza la integridad y confidencialidad de los datos a través de la conciliación del control de cambios, controles transfronterizos de datos, listas blancas de consultas, etc.
- Muros éticos: Mantiene una separación estricta entre los grupos empresariales para cumplir con los requisitos M& A, la autorización gubernamental, etc.
- Monitoreo de usuarios con privilegios: Monitorea el acceso y las actividades de la base de datos de usuarios con privilegios. Bloquea el acceso o la actividad, si es necesario.
- Archivo seguro de pista de auditoría: protege la pista de auditoría de manipulaciones, modificaciones o eliminaciones, y proporciona visibilidad forense.
- Auditoría de acceso a datos confidenciales: Supervisa el acceso y los cambios de datos protegidos por la ley, las regulaciones de cumplimiento y los acuerdos contractuales. Activa alarmas para accesos o cambios no autorizados. Crea una pista de auditoría para los forenses.
- Administración de derechos de usuario: identifica privilegios excesivos, inapropiados y no utilizados.
- Seguimiento de usuarios: asigna el usuario final de la aplicación web al usuario de la aplicación/base de datos compartida y, a continuación, a los datos finales a los que se accede.
- Privacidad de datos VIP: Mantiene un estricto control de acceso a datos altamente confidenciales, incluidos los datos almacenados en aplicaciones empresariales de varios niveles, como SAP y PeopleSoft.
Comprender los problemas de marketing-Determinar los problemas de marketing transfronterizos (p. ej., ya sea que los productos o servicios se comercialicen directamente a residentes de otros países, el idioma utilizado en un sitio web o una implementación de aplicaciones móviles) y problemas de marketing de terceros (por ejemplo, compartir información con fines de marketing).
Analizar los requisitos de cumplimiento: Determinar los requisitos de cumplimiento aplicables, en función de los resultados recopilados al comprender los datos personales y realizar una PIA.
- Regulaciones legislativas: leyes estatales, nacionales o de agencias gubernamentales que regulan la recopilación, el uso, el almacenamiento, el transporte y la protección de datos personales. Algunos ejemplos son el Reglamento General de Protección de Datos (RGPD — Unión Europea), la Ley de Protección de la Información Personal y Documentos Electrónicos (PIPEDA — Canadá), la Ley de Tecnología de la Información de 2000 (A — India) y la Ley de Privacidad de 1993 (Nueva Zelandia).
- Regulaciones específicas de la industria: Leyes o mandatos que definen cómo una industria, un tipo de negocio o una agencia gubernamental específicos tratarán y protegerán los datos personales. Los ejemplos incluyen la Ley de Portabilidad y Responsabilidad de la Información de Salud (HIPAA), Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH), Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
- Obligaciones de terceros: Acuerdos entre socios comerciales que definen cómo un contratista, proveedor u otra agencia externa tratará y protegerá los datos personales recopilados por la organización «matriz». Por ejemplo, una agencia ubicada en la India que proporciona servicios de tarjeta de crédito para un proveedor con sede en los Estados Unidos debe cumplir con los requisitos de protección de datos PCI DSS.
Desarrollo de políticas de privacidad y controles internos: Creación de declaraciones de privacidad externas (por ejemplo, políticas de privacidad en sitios web, aplicaciones móviles y fuera de línea); políticas y procedimientos de privacidad internos y externos relacionados con el gobierno de los datos, la privacidad de los datos y las violaciones de seguridad; y capacitación en privacidad de los datos.
Descubra cómo las soluciones de seguridad de datos y enmascaramiento de datos de Imperva pueden ayudarlo a desarrollar su Marco de Privacidad de datos.