Privacidad de datos en el 2022: Lo que necesita saber

Millones de personas desconocen cómo se recopilan, utilizan o comparten sus datos personales en nuestra sociedad cada vez más digital. Como empresa, es más importante que nunca tener una estrategia de privacidad de datos para proteger a los clientes y empleados y cumplir con las regulaciones aplicables. 

En una era de mayor riesgo e incertidumbre, mano de obra remota y tecnologías complejas, tener políticas y procedimientos efectivos que sean fáciles de entender y precisos se ha vuelto fundamental para mantener el ritmo en el panorama regulatorio global en desarrollo.

Privacidad y Protección de Datos: ¿Por qué es importante? 

La privacidad de datos es el conjunto de estrategias y procesos que se centran en cómo se recopilan, procesan, almacenan, comparten, retienen y destruyen los datos personales, mientras que la protección de datos se centra en asegurar la disponibilidad e integridad de los datos y proteger los activos del acceso no autorizado. Una estrategia de privacidad y protección de datos es crucial para cualquier organización porque tiene como objetivo brindar a las personas transparencia, control sobre sus datos y cómo se utilizan, y proteger los datos personales del acceso y uso no intencionado. Sin una estrategia de privacidad y protección de datos, su organización puede ser más vulnerable a las quejas de los consumidores, las investigaciones y multas reglamentarias y las actividades fraudulentas como el robo de identidad, el phishing y la piratería. 

Componentes de una estrategia de Privacidad y Protección de Datos 

Al desarrollar una estrategia, debe comprender: 

El negocio 

Comprender el negocio es clave para un programa de privacidad y protección de datos. Cuanto más sepa sobre el negocio, más comprenderá sobre los tipos de datos que procesa y el nivel de protección requerido, y así sucesivamente. 

Los datos 

Muchas organizaciones recopilan datos personales de fuentes internas y externas. Por ejemplo, un banco recopila información financiera de los clientes. Una organización de atención médica recopila información de salud. Todas las organizaciones recopilan y procesan datos personales de sus empleados. Es importante identificar las categorías de datos personales, ya que esto informará varios avisos, políticas y procedimientos de privacidad. 

El propósito 

Una cosa es identificar datos, pero comprender qué son los datos y cómo cumplen un propósito en su organización es una tarea completamente diferente. Esto es importante al crear una estrategia de privacidad y protección de datos porque lo ayuda a completar sus inventarios de datos personales y registros de procesamiento (cuando corresponda o se requiera legalmente), identificar oportunidades para la minimización de datos, confirmar que los datos recopilados son proporcionales al propósito e implementar las salvaguardas apropiadas. 

Privacidad y Protección de datos: 5 pasos para comenzar 

Identificar los datos, cómo se utilizan esos datos, clasificarlos y describir qué acciones tomar con cada tipo de datos es clave para la privacidad de los datos. Aquí hay cinco cosas que todas las organizaciones pueden hacer para comenzar o mejorar su estrategia de privacidad de datos: 

1. Identifique dónde se encuentran sus datos 

Puede ser una tarea desafiante, pero identificar dónde están sus datos debe ser el primer paso para protegerlos. ¿Dónde residen todos sus datos y adónde van? ¿Qué tipos de datos existen? ¿Dónde está alojado físicamente? Descubrir sus datos es una tarea fundamental porque informa el resto de su estrategia de privacidad y protección de datos. 

2. Identifique cuáles son sus datos 

No puede proteger sus datos sin primero comprender lo que tiene. Después de identificar dónde están los datos, el siguiente paso es crear un inventario de datos personales y registrar lo que hace con esos datos. En esta etapa también puede etiquetar los datos por clasificación. La clasificación de datos ayuda a organizar los datos en grupos, generalmente según el nivel de sensibilidad, para permitir una protección de datos eficiente. 

También es importante tener en cuenta que la protección de datos y el descubrimiento electrónico tienen cierta superposición funcional y que vemos un aumento en los programas de privacidad que aprovechan las soluciones de descubrimiento electrónico como parte de su estrategia de privacidad y conjuntos de herramientas. La investigación de datos también es menos onerosa cuando sus datos están clasificados; por lo tanto, los dos pueden ser interdependientes. 

3. Determinar quién tiene acceso a los datos 

¿Quién tiene acceso actualmente a cada tipo de datos? Esto incluye a las partes interesadas internas, así como a los destinatarios de terceros, como proveedores de servicios o socios. Saber quién está recibiendo o accediendo a los datos y dónde están ubicados afecta las reglas que está estableciendo en torno a los datos y las transferencias. Ciertas leyes de privacidad también pueden requerir la localización de datos o garantías técnicas, organizativas y contractuales adicionales para transferir datos a través de las fronteras. 

4. Defina cómo implementará los controles de privacidad 

Una vez que comprenda sus datos, podrá personalizar mejor las políticas y los procedimientos de privacidad. Por ejemplo, puede usar su inventario de datos personales para guiar dónde y cómo ejecutar una solicitud de derechos del sujeto de datos/consumidor. Comprender su negocio, tecnologías y perfil de riesgo también puede ayudarlo a crear un programa y una metodología personalizados de privacidad por diseño que incorporen controles de privacidad durante las primeras etapas de un proyecto o ciclo de vida de desarrollo. 

5. Implementar controles técnicos y organizacionales 

Una estrategia de privacidad de datos se basa en la implementación de fuertes controles de seguridad. Esto incluye controles organizacionales o programáticos como políticas, capacitación y concientización, planes de respuesta a incidentes y políticas de contraseñas, así como controles técnicos como cifrado, anonimización, registro, autenticación multifactor y detección de vulnerabilidades. Una salvaguardia importante para la protección de datos es la Prevención de Pérdida de Datos (DLP), que evita la fuga no autorizada de datos fuera de la organización. Una vez que se clasifican los datos, la implementación técnica de DLP puede establecer políticas para cada capa de clasificación para evitar el intercambio no deseado. Una vez implementadas, supervise y mantenga continuamente las políticas para mantenerse al día con las necesidades comerciales y los requisitos reglamentarios. 

Cómo puede ayudar BDO

La privacidad de datos puede ser un concepto complicado si aún no lo ha abordado dentro de su organización. Los especialistas en privacidad de datos de BDO Perú pueden ayudarlo a comprender los riesgos y la madurez de su entorno comercial actual y descubrir si su programa cumple con los requisitos reglamentarios aplicables y las prácticas líderes. Para obtener más información, contáctenos ahora.

CONTÁCTANOS


Adaptado por BDO Perú de ‘Data Privacy in 2022: What you need to know’, BDO USA, Enero 2022.