feature image

Privacidad de datos en 2022: Lo que debe saber

En una era de mayor riesgo e incertidumbre, mano de obra remota y tecnologías complejas, tener políticas y procedimientos efectivos que sean fáciles de entender y precisos se ha vuelto fundamental para mantener el ritmo en el panorama regulatorio global en desarrollo.

Privacidad y protección de datos: ¿por qué es importante?

La privacidad de datos es el conjunto de estrategias y procesos que se centran en cómo se recopilan, procesan, almacenan, comparten, retienen y destruyen los datos personales, mientras que la protección de datos se centra en asegurar la disponibilidad e integridad de los datos y proteger los activos del acceso no autorizado. Una estrategia de privacidad y protección es crucial para cualquier organización porque tiene como objetivo brindar a las personas transparencia, control sobre sus datos y cómo se utilizan, y proteger los datos personales del acceso y uso no intencionado. Sin una estrategia de privacidad y protección de datos, su organización puede ser más vulnerable a las quejas de los consumidores, las investigaciones y multas reglamentarias y las actividades fraudulentas como el robo de identidad, el phishing y la piratería.

Componentes de una estrategia de privacidad y protección de datos

 

 

Al desarrollar una estrategia, debe comprender:

El negocio
Comprender el negocio es clave para un programa de privacidad y protección de datos. Cuanto más sepa sobre el negocio, más comprenderá sobre los tipos de datos que procesa y el nivel de protección requerido, y así sucesivamente.

Los datos
Muchas organizaciones recopilan datos personales de fuentes internas y externas. Por ejemplo, un banco recopila información financiera de los clientes. Una organización de atención médica recopila información de salud. Todas las organizaciones recopilan y procesan los datos personales de sus empleados. Es importante identificar las categorías de datos personales, ya que esto informará varios avisos, políticas y procedimientos de privacidad.

Privacidad y protección de datos: 5 pasos para comenzar

Identificar los datos, cómo se utilizan esos datos, clasificarlos y describir qué acciones tomar con cada tipo de datos es clave para la privacidad de los datos. Aquí hay cinco cosas que todas las organizaciones pueden hacer para comenzar o mejorar su estrategia de privacidad de datos:

1. Identifique dónde se encuentran sus datos
Puede ser una tarea desafiante, pero identificar dónde están sus datos debería ser el primer paso para protegerlos. ¿Dónde residen todos sus datos y adónde van? ¿Qué tipos de datos existen? ¿Dónde está alojado físicamente? Descubrir sus datos es una tarea fundamental porque informa el resto de su estrategia de privacidad y protección de datos.

2. Identifica cuáles son tus datos
No puede proteger sus datos sin primero comprender lo que tiene. Después de identificar dónde están los datos, el siguiente paso es crear un inventario de datos personales y registrar lo que hace con esos datos. En esta etapa, también puede etiquetar los datos por clasificación. La clasificación de datos ayuda a organizar los datos en grupos, generalmente según el nivel de sensibilidad, para permitir una protección eficiente.

También es importante tener en cuenta que la protección de datos y el descubrimiento electrónico tienen una cierta superposición funcional y que vemos un aumento en los programas de privacidad que aprovechan las soluciones de descubrimiento electrónico como parte de su estrategia y conjuntos de herramientas de privacidad. La investigación de datos también es menos onerosa cuando sus datos están clasificados; por lo tanto, los dos pueden ser interdependientes.

3. Determinar quién tiene acceso a los datos
¿Quién tiene acceso actualmente a cada tipo de datos? Esto incluye a las partes interesadas internas, así como a los destinatarios de terceros, como proveedores de servicios o socios. Saber quién está recibiendo o accediendo a los datos y dónde están ubicados afecta las reglas que está estableciendo en torno a los datos y las transferencias. Ciertas leyes de privacidad también pueden requerir la localización de datos o garantías técnicas, organizativas y contractuales adicionales para transferir datos a través de las fronteras.

4. Defina cómo implementará los controles de privacidad
Una vez que comprenda sus datos, podrá personalizar mejor las políticas y los procedimientos de privacidad. Por ejemplo, puede usar su inventario de datos personales para guiar dónde y cómo ejecutar una solicitud de derechos del sujeto de datos/consumidor. Comprender su negocio, tecnologías y perfil de riesgo también puede ayudarlo a crear privacidad personalizada mediante el diseño de un programa y una metodología que incorpore controles de privacidad durante las primeras etapas de un proyecto o ciclo de vida de desarrollo.

5. Implementar controles técnicos y organizacionales
Una estrategia de privacidad de datos se basa en la implementación de fuertes controles de seguridad. Esto incluye controles organizacionales o programáticos como políticas, capacitación y concientización, planes de respuesta a incidentes y políticas de contraseñas, así como controles técnicos como cifrado, anonimización, registro, autenticación multi-factor y detección de vulnerabilidades. Una salvaguardia importante para la protección de datos es la prevención de pérdida de datos (DLP), que evita la fuga no autorizada de datos fuera de la organización. Una vez que se clasifican los datos, la implementación técnica de DLP puede establecer políticas para cada capa de clasificación para evitar el intercambio no deseado. Una vez implementadas, supervise y mantenga continuamente las políticas para mantenerse al día con las necesidades comerciales y los requisitos reglamentarios.

 

Escrito por Taryn Crane, Mark Antalik y Steve Combs. Copyright © 2022 BDO USA, LLP. Todos los derechos reservados. www.bdo.com 

Sobre el autor
H&CO