Políticas de protección de datos: ¿Está haciendo lo suficiente para garantizar el cumplimiento?
El cumplimiento de la normativa mundial sobre protección de datos sigue siendo un reto para las empresas de todos los tamaños. Proteger los datos personales no es tarea fácil, desde navegar por el complicado lenguaje normativo hasta implantar las salvaguardias adecuadas.
Los medios de comunicación se hacen eco periódicamente de las filtraciones de datos, y las grandes empresas suelen aparecer en las noticias por infracciones de la legislación sobre privacidad acompañadas de enormes multas. La pregunta que toda organización debe plantearse es si está haciendo lo suficiente para cumplir la legislación sobre privacidad de datos. Este artículo ofrece algunos consejos para responder a esa pregunta, así como sugerencias para mejorar.
Legislación sobre protección de datos: Un breve repaso
La primera parte del reto a la hora de desarrollar una política de protección de datos adecuada para su empresa es saber qué normativas debe cumplir. Las leyes de protección de datos que debe cumplir dependen en gran medida de la naturaleza de su empresa, las zonas geográficas en las que opera y el tipo de datos de su organización. Cada una de las siguientes leyes tiene sus propias normas y medidas de seguridad necesarias para su cumplimiento.
- Reglamento General de Protección de Datos (RGPD o GDPR): El reglamento de cumplimiento más estricto protege los datos de los ciudadanos y residentes de la Unión Europea. La GDPR tiene un ámbito de aplicación extraterritorial, lo que significa que las organizaciones de fuera de la UE corren el riesgo de incumplir la normativa si tratan datos de ciudadanos o residentes en Europa y no la respetan.
- Ley de Privacidad del Consumidor de California (CCPA) & Ley de Derechos de Privacidad de California (CPRA): Ambas normativas protegen los datos de los consumidores residentes en California. La CPRA introdujo normas más sólidas que refuerzan las medidas de protección de la intimidad en relación con el tratamiento de datos personales. Estas leyes marcan la pauta para que otros estados similares sigan el ejemplo con sus propias leyes de privacidad integrales similares, entre ellos Virginia, Connecticut, Colorado y Utah. La Ley de Privacidad de Nueva York se aplica ahora también a las empresas que controlan datos personales.
- Ley Gramm-Leach-Bliley (GLBA): Este marco sirve para que las instituciones financieras protejan la información financiera de los consumidores a través de lo que se conoce como la «Regla de Privacidad» y la «Regla de Salvaguardias». La Comisión Federal de Comercio (FTC) estableció estas dos importantes normas.
- Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA): La información sanitaria (incluidos los datos biométricos), uno de los tipos de datos más delicados que se enfrentan a amenazas de ciberseguridad, requiere una protección estricta en Estados Unidos a través de los requisitos de la HIPAA.
- La Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS): Este conjunto de normas de seguridad pretende garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.
- Ley de Protección de la Privacidad Infantil en Internet (COPPA): Esta ley recibe relativamente poca publicidad, pero es importante conocerla. La COPPA protege la intimidad de los niños menores de 13 años en Estados Unidos exigiendo el consentimiento paterno para la recogida o uso de cualquier información personal de menores.
Parte del reto es que cada una de estas leyes puede tener sus propias normas específicas sobre conservación de datos, portabilidad de datos, transferencia de datos, intercambio de datos, supresión, elaboración de perfiles, etc. También hay que entender perfectamente las definiciones de información de identificación personal, datos sanitarios y otros tipos de datos antes de procesar los datos personales de acuerdo con las normas que los protegen. Además, en un mundo cada vez más consciente de la privacidad, sin duda surgirán nuevas leyes y actos de protección de datos para reforzar aún más la privacidad de los datos de los consumidores.
Ejemplos reales de fallos de conformidad
Para hacerse una idea de las formas en que las empresas no hacen lo suficiente para garantizar el cumplimiento, he aquí algunos ejemplos reales de fallos de cumplimiento en los últimos años:
- Meta, propietaria de Facebook, recibió una multa de 1200 millones de euros en 2023 tras gestionar incorrectamente los datos de los usuarios conforme a los requisitos del GDPR. Las infracciones estaban relacionadas con una protección insuficiente de los datos transferidos de la UE a Estados Unidos.
- En 2021, Amazon fue multada con 746 millones de euros en virtud del RGPD por no aplicar el consentimiento adecuado en sus campañas de publicidad dirigida.
- WhatsApp fue multada con 228 millones de euros en 2021 por no ser transparente con los usuarios sobre la información recopilada sobre ellos. Se trata de infracciones de los artículos 12 a 14 del RGPD.
Estos ejemplos del mundo real demuestran que ni siquiera las empresas más grandes hacen lo suficiente para garantizar el cumplimiento de la normativa. Los fallos técnicos y organizativos pueden afectar a cualquier empresa y es vital esforzarse continuamente por mejorar el cumplimiento.
Consejos para mejorar el cumplimiento
He aquí algunos consejos para mejorar su política y estrategia de protección de datos y garantizar su cumplimiento:
- Actualice periódicamente las políticas de privacidad. Asegúrese de que su política de privacidad está actualizada y se ajusta a las leyes y normativas vigentes en función de los datos que puede recopilar. Además, haz que esta política sea fácilmente accesible y esté redactada en un lenguaje claro y preciso.
- Minimización de datos. Recopile y procese únicamente los datos que sean absolutamente necesarios para las operaciones de su empresa. La recopilación innecesaria de datos aumenta el riesgo de que se produzcan violaciones de datos e incumplimientos legales.
- Asegure el almacenamiento y la transmisión de datos. Utilice un cifrado potente tanto para el almacenamiento como para la transmisión de datos, a fin de evitar accesos no autorizados. Refuerce la autenticación para no depender únicamente de las contraseñas para verificar la identidad de los usuarios. Pruebe y actualice periódicamente los sistemas de seguridad y las políticas de seguridad para adaptarse a las nuevas amenazas.
- Auditorías periódicas de conformidad. Realice auditorías periódicas para verificar el cumplimiento de las leyes y normativas sobre privacidad de datos. Esto podría implicar auditorías internas, así como evaluaciones por terceros de los proveedores de servicios que tienen acceso a sus sistemas o datos sensibles. En particular, identifique todos sus activos de datos para poder señalar cualquier información sensible que no esté debidamente protegida de acuerdo con la legislación pertinente.
- Formación de los empleados. Forme regularmente a los empleados sobre las mejores prácticas de seguridad de datos y las leyes específicas que debe cumplir su empresa. Una formación eficaz ayuda a prevenir las infracciones involuntarias causadas por los miembros del personal, que es una de las causas más comunes de los incumplimientos de la normativa.
- Plan de respuesta a la violación de datos. Elabore un plan integral de respuesta a la violación de datos. Esto incluye las medidas inmediatas que deben tomarse tras una violación, con quién debe contactarse, cómo identificar lo que se ha violado y cómo comunicarse con las partes afectadas. Un plan de respuesta eficaz es una de las prácticas de protección de la intimidad más importantes que hay que aplicar, ya que muchos incumplimientos suelen implicar retrasos en la notificación de la violación a las autoridades competentes.
- Gestión de proveedores. Asegúrese de que los proveedores externos que tienen acceso a sus datos también cumplen la legislación necesaria en materia de protección de datos. Incluye cláusulas en los contratos que les responsabilicen de cualquier infracción por su parte.
- Nombre a un responsable de la protección de datos (DPO). Dependiendo del tamaño de su empresa y de la naturaleza de los datos que maneje, suele ser beneficioso nombrar a un RPD. El RPD asume la responsabilidad de supervisar la estrategia de protección de datos y su aplicación para garantizar el cumplimiento de la legislación vigente.
- Evaluación del impacto sobre la privacidad. Al lanzar nuevos productos, servicios o iniciativas, realice una evaluación del impacto sobre la privacidad para identificar posibles riesgos para la privacidad y formas de mitigarlos.
- Derechos del interesado. Garantice la existencia de procesos para atender las solicitudes de los clientes en relación con sus datos, como acceder a ellos, rectificar la información incorrecta o suprimirlos cuando se solicite.
Opte por una Prevención de Pérdida de Datos dedicada
Las herramientas de Prevención de Pérdida de Datos (DLP) desempeñan un papel importante a la hora de ayudarle a cumplir la legislación sobre protección de datos, impidiendo el acceso no autorizado y la divulgación de datos confidenciales. Estas herramientas funcionan de tres maneras principales:
- Identificación de datos: Las herramientas de DLP pueden identificar datos confidenciales, como información de identificación personal (PII), información financiera o historiales médicos, en la red, el servidor y los terminales de una organización. Al saber dónde residen los datos confidenciales, las organizaciones pueden asegurarse de que se aplican las protecciones adecuadas.
- Aplicación de políticas: Las herramientas de DLP permiten a las organizaciones establecer y aplicar políticas que controlan cómo se manejan los datos sensibles. Por ejemplo, una herramienta de DLP puede impedir el envío de información confidencial a destinatarios no autorizados, o bloquear la copia de esos datos en una ubicación no segura.
- Respuesta a incidentes e informes: Las herramientas de DLP pueden proporcionar informes detallados sobre posibles incidentes de pérdida de datos y, en algunos casos, pueden tomar medidas automáticas para remediar los riesgos, como alertar a los administradores o cifrar los datos sobre la marcha. Esta visibilidad y capacidad de respuesta son cruciales para demostrar el cumplimiento de la legislación sobre protección de datos.
Al identificar y controlar de forma proactiva la información sensible, la DLP ayuda a las organizaciones a gestionar sus datos de acuerdo con las leyes de privacidad y a reducir el riesgo de incumplimiento y las cuantiosas sanciones que a menudo conlleva.
Endpoint Protector de CoSoSys proporciona a su empresa DLP líder en la industria que funciona en múltiples sistemas operativos. Desde la protección de datos hasta el tratamiento de los riesgos del trabajo remoto, las amenazas internas y la prevención de infracciones por errores de los empleados, el control de dispositivos de Endpoint Protector, Content Aware Protection, Enforced Encryption y eDiscovery ayudan a garantizar que su empresa hace lo suficiente para garantizar el cumplimiento.