La privacidad de los datos es una vía de seguridad de los datos que se relaciona con garantizar que únicamente las personas autorizadas utilicen los datos para su fin previsto.
Nuestra capacidad para crear, recopilar, compartir y analizar datos está creciendo exponencialmente. De hecho, se estima que los humanos producimos hasta 2,5 trillones de bytes de datos cada día. Además, cada minuto de cada día, las organizaciones recopilan cantidades masivas de esos datos en busca de tendencias, oportunidades y perspectivas sobre cómo piensan sus clientes.
Lamentablemente, la recopilación de datos suele realizarse de forma masiva y, a veces, se recopilan ilegalmente datos privados y confidenciales de los usuarios junto con datos de dominio público, lo que crea problemas tanto para los consumidores como para las empresas. Al mismo tiempo, incluso los datos personales que los clientes comparten voluntariamente pueden dar lugar a problemas graves si no están protegidos contra el acceso no autorizado. Por todos estos motivos, el problema de la privacidad de los datos es una preocupación relevante para todos los mercados y sectores.
Gracias a las mejoras en el alcance y la eficacia de la digitalización de los datos, desarrollar perfiles personales basados en los datos recopilados de las personas es una cuestión sencilla para las organizaciones de todo tipo. Esto trasciende la información básica, como el nombre, la edad y la dirección; hoy día, casi todas las formas de información personal existen digitalmente, desde los datos aparentemente inofensivos (como intereses y aficiones, preferencias de compra, relaciones, etc.) hasta los extremadamente privados (como el número de la seguridad social, la información crediticia, el historial médico, la ubicación, información sobre desplazamientos, etc.).
En muchos casos, la información que compartimos en línea, ya sea a sabiendas o de otro modo, la emplean las máquinas para aumentar su inteligencia; por ejemplo, la foto de un cachorrito que publicamos en redes sociales ayuda a entrenar algoritmos semiinteligentes para que reconozcan un cachorro cuando vean uno. Las búsquedas que realizamos en Internet enseñan a las máquinas a entender y replicar mejor el lenguaje humano.
Sin embargo, independientemente de cómo se utilicen los datos, el hecho de que existan y estén disponibles para usuarios desconocidos se está convirtiendo en un motivo importante de alarma. Los clientes (por no mencionar a los legisladores) de todo el mundo están empezando a exigir que las empresas otorguen a los propietarios originales de los datos la capacidad de decidir sobre su recopilación y uso.
Por tanto, las organizaciones que establecen y siguen políticas sólidas en materia de privacidad de datos son más capaces de establecer relaciones de confianza con sus clientes. Al mismo tiempo, eliminan los riesgos legales asociados con el incumplimiento de leyes, normas y reglamentos en materia de privacidad de datos, ya sean actuales o futuros. La reciente multa de 5000 millones de USD impuesta a Facebook por parte de la FTC es solo un ejemplo de lo cuantiosas que pueden ser las sanciones por infringir estas normativas.
Los 5000 millones de USD pagados por Facebook es la mayor sanción recibida por una empresa a consecuencia de la violación de la privacidad del consumidor, pero sin duda no será la última de este tipo. Las autoridades gubernamentales de EE. UU., la Unión Europea, Sudamérica y el resto del mundo se están defendiendo firmemente contra la recopilación y el uso de datos no autorizados. Las organizaciones que no actualizan sus políticas de privacidad de datos corren el riesgo de perder algo más que la confianza de sus clientes.
Por otro lado, existen varios beneficios que pueden disfrutar las empresas que modernizan activamente sus estrategias de protección de datos e incorporan tecnología automatizada, integrada y en tiempo real para garantizar que los datos se utilicen ética y legalmente, sin infringir los derechos de sus propietarios.
Algunas de estas ventajas son las siguientes:
Como ya se ha mencionado, uno de los beneficios empresariales más relevantes de la privacidad de los datos es evitar multas y sanciones. El castigo por infringir las leyes en materia de privacidad cada vez es mayor, por no mencionar las indemnizaciones a los clientes afectados si sus datos sensibles se publican ilícitamente.
Es más, los grupos gubernamentales se afanan en proteger los datos de los usuarios, promulgando nuevas legislaciones y aumentando sus actividades de supervisión para garantizar que las empresas no pongan en riesgo los datos de sus clientes. Solo las organizaciones que crean y siguen políticas adecuadas de privacidad de los datos no tienen que preocuparse por enfrentarse a posibles cargos penales.
La relación entre el consumidor y la empresa va mucho más allá de las transacciones de compraventa; cuando un cliente decide hacer negocios con una organización, confía en que esta respete y proteja cualquier dato personal que pueda intercambiarse en el proceso. Cuando esa confianza se traiciona, es difícil recuperarla.
Las infracciones en materia de privacidad causan graves daños a la reputación y a la marca. Los clientes actuales cuentan con múltiples opciones y, en muchos casos, un solo error en términos de seguridad de datos es suficiente para que opten por la competencia. Por el contrario, las empresas que demuestran claramente su compromiso con la privacidad de los datos, que proporcionan a sus clientes un control ilimitado sobre su uso y recopilación, y que actúan de forma transparente en sus prácticas de datos se ven recompensadas con una mayor lealtad por parte del cliente. Esto se traduce en un valor de marca mejorado y en un mayor valor de vida útil del cliente.
La gestión de la privacidad de los datos obliga a las organizaciones a examinar más detalladamente sus datos y cómo la empresa los comparte. Para empezar, con una auditoría detallada (y un seguimiento mediante auditorías regulares) que determine cómo se recopilan y utilizan los datos, las empresas pueden identificar y resolver fácilmente las ineficiencias en la gestión de datos. De este modo, se crea una cultura centrada en los datos y se ayuda a optimizar los procesos de negocio, lo que beneficia a cada uno de los departamentos en todos los sentidos.
Las iniciativas en materia de privacidad también pueden alentar a las empresas a consolidar sus plataformas de datos y a trasladar todos los datos relevantes y las herramientas de gestión de datos a una única ubicación centralizada. Con ello, se reducen los riesgos asociados al aislamiento de datos y se abre la puerta a mejores análisis y a una mayor integridad de la información, además de facilitarse una toma de decisiones empresariales más fundamentadas.
A fin de brindar un mejor servicio a los clientes, evitar el daño reputacional y cumplir con la legislación, ya sea nueva o antigua, muchos desarrolladores de software están adoptando ahora la privacidad desde el diseño (PbD).
La PbD es un nuevo método más deliberado para garantizar la privacidad de los datos. La PbD alienta a los ingenieros de sistemas a incorporar comprobaciones y soluciones de privacidad en todos los productos, los servicios, las infraestructuras y las prácticas empresariales. Estas consideraciones deben integrarse a partir de las primeras etapas de desarrollo y aplicarse como un enfoque continuo durante la producción, el lanzamiento y el soporte posterior a su implantación.
La PbD garantiza que la privacidad de los datos se mantenga como un aspecto prioritario durante todo el ciclo de vida del desarrollo, en lugar de incluirse como una reflexión posterior directamente antes del lanzamiento.
Lamentablemente, la privacidad eficaz de los datos no es tan simple como tomar la decisión de gestionar los datos de los clientes de forma responsable. Las empresas modernas se enfrentan a una variedad de obstáculos que deben superar o evitar para lograr una gestión exitosa de la privacidad de los datos:
Los avances en inteligencia artificial (IA) permiten a las organizaciones analizar con mayor facilidad y precisión grandes cantidades de datos de los usuarios. Sin embargo, con estas nuevas competencias, surgen ciertos problemas éticos que deben abordarse. ¿En qué medida debe permitirse el análisis de datos? La IA tiene la capacidad de extraer información extremadamente personal, valiosa y sensible basada en datos que, de otra manera, resultan inocuos. Las empresas deben ser plenamente conscientes de las implicaciones de la recopilación de este tipo de datos antes de emplear tales tácticas.
Una parte importante de la responsabilidad de la privacidad de los datos corresponde a los empleados que trabajan con ellos. Si los empleados no cuentan con la formación adecuada, pueden extraviar, exponer o utilizar indebidamente los datos, poner a los clientes en peligro y provocar la imposición de sanciones a su empresa. Del mismo modo, los empleados poco fiables pueden intentar robar activamente datos confidenciales. Debe investigarse a todo el personal antes de permitir el acceso a cualquier información del cliente; además, todos los empleados deben estar formados y conocer las políticas y normas aplicables en materia de privacidad de datos.
Muchas empresas se centran en recopilar y analizar datos, pero no logran cumplir plenamente su responsabilidad en relación con dichos datos una vez que finaliza la relación empresarial. Los datos personales solo deben conservarse conforme a los estándares establecidos y únicamente durante el tiempo que el cliente (o empleado) se halle vinculado a la empresa. Conservar los datos personales durante más tiempo del necesario puede acarrear multas y sanciones, al tiempo que las posibles infracciones de datos pueden resultar más perjudiciales.
El software alojado en la web y en la nube puede crear un punto de acceso de datos no seguro en una organización desprevenida. La seguridad de los datos exige que cada nueva aplicación se inspeccione por completo y se apruebe como segura antes de que se pueda desplegar su uso dentro de la organización.
La protección de datos es esencial, pero si una amenaza de datos encuentra la forma de superar los controles de seguridad o si un evento emergente pone en riesgo la integridad de los datos, las empresas necesitan contar con un plan eficaz de respuesta a incidentes. Crear un plan, compartirlo y mejorarlo e impartir formaciones al respecto, es esencial para que pueda desplegarse ante el primer signo de una filtración de datos, lo que contribuirá a mitigar los posibles daños que representen tales amenazas.
Las nuevas leyes exigen que los clientes faciliten su permiso explícito para que las organizaciones utilicen sus datos, y hacen hincapié en la libertad de poder elegir qué tipo de datos se comparten. Las empresas que no limitan sus prácticas de recopilación de datos a lo estrictamente necesario para la transacción podrían verse envueltas en problemas legales.
Atrás quedaron los días en que las organizaciones sin escrúpulos podían ocultar sus verdaderas intenciones tras la jerga jurídica y políticas difíciles de entender. Ahora, los términos y condiciones de privacidad de los datos deben presentarse de forma que cada cliente o parte interesada pueda entenderlos fácilmente. Si el usuario puede demostrar que no estaba claro lo que aceptaba, es la empresa la que debe asumir su responsabilidad.
Cuando los clientes “abandonan” formularios en línea que contienen información personal, se abre la
puerta a que otros usuarios obtengan acceso a esos datos. Las características de seguridad de vencimiento de la sesión están
diseñadas para limitar el acceso a formularios confidenciales y otra información si el usuario no ha realizado
ninguna acción en el sitio en un tiempo asignado. La inclusión de estas medidas de seguridad en todas
las aplicaciones y los sistemas informáticos puede proteger aún más los datos frente a posibles exposiciones.
Tendemos a pensar que los datos digitales viajan directamente del punto A hasta el punto B, pero mientras están
en tránsito, pueden sufrir paradas inesperadas, lo que podría exponer información confidencial
a usuarios no autorizados. Los canales no seguros son un problema importante en lo que respecta a la privacidad de los datos; las empresas
solo deben usar canales seguros (como SFTP o TLS).
Está claro que, en el panorama empresarial actual, la privacidad de los datos es un gran problema, pero ¿cómo pueden
las organizaciones superar los desafíos y crear una cultura de privacidad de los datos? Aquí, describimos
varias prácticas recomendadas para ayudar a las empresas a dar el primer paso:
La privacidad de los datos es un problema y una responsabilidad que incumbe a toda la empresa; no debe limitarse al departamento de TI. Se ha de adoptar un enfoque integral e involucrar a todos los departamentos de la organización en la implementación y la supervisión de las políticas de privacidad de los datos.
La gestión eficaz de la privacidad de los datos depende de que las organizaciones tengan una idea clara de dónde están los datos, qué información incluyen, quién puede acceder a ellos y cuándo se han actualizado. El mapeo de los datos crea una imagen detallada de la situación actual de los datos de una empresa.
Contar con políticas y términos y condiciones viables es solo la mitad del trabajo. Una empresa que no cumple con sus políticas, que incumple sus promesas y desatiende sus obligaciones podría afrontar una situación de responsabilidad legal y provocar descontento entre sus clientes.
La recopilación de datos no es un proceso estático; el tipo de datos que las organizaciones consideran relevantes y útiles puede cambiar trimestralmente o incluso con mayor frecuencia. Dicho esto, si esas organizaciones deciden actualizar sus prácticas de recopilación y uso de datos, también deben hacer lo propio con sus políticas para reflejar tales cambios.
Ninguna empresa es ajena a la realidad que la rodea; es posible que los proveedores y contratistas externos deban acceder a datos confidenciales de los clientes, por lo que es fundamental que las organizaciones investiguen a fondo a sus socios para asegurarse de que cuenten con prácticas de seguridad fiables. De lo contrario, las entidades de terceros podrían convertirse en debilidades a través de las cuales podrían filtrarse datos.
Cada año, los Gobiernos se reafirman en su postura contra las violaciones de la privacidad de los datos. Esta es una lista de varias legislaciones recientes orientadas a fortalecer la privacidad de los datos en distintas partes del mundo:
Unión Europea: garantiza un mayor control para los ciudadanos de la UE sobre sus datos personales, simplifica y establece las normativas de datos para las empresas y aborda la recopilación y transferencia de datos personales fuera de las áreas de la UE y el EEE.
California: mejora los derechos de privacidad de los datos y la protección al consumidor para los ciudadanos de California, regulando cómo pueden las empresas gestionar y utilizar los datos personales.
California: amplía lo dispuesto en la CCPA, fortaleciendo los derechos de datos de los residentes de California, estableciendo normativas empresariales más estrictas y ampliando el requisito del consentimiento para una mayor diversidad de situaciones.
Virginia: brinda a los ciudadanos de Virginia un mayor control de la privacidad de sus datos personales, lo que les permite acceder, modificar y eliminar la información personal que recopilan las organizaciones. Asimismo, establece normas y reglamentos de recopilación de datos para empresas de todos los tamaños.
Brasil: incluye disposiciones y regulaciones similares al RGPD de la UE. También establece que las empresas brasileñas deben nombrar a delegados de protección de datos para garantizar una adecuada aplicación de las políticas.
ServiceNow permite gestionar la privacidad con Gobernanza, riesgo y cumplimiento. Respalda la privacidad desde el diseño. Mantente al tanto de los riesgos y el cumplimiento en tiempo real y genera confianza con Privacy Management