La protección de datos en internet es vital ante el incremento de amenazas a la ciberseguridad.
Todos los datos que compartimos online son parte de nuestra huella digital, miles de archivos que se guardan con información personal y de nuestra actividad en Internet.
Las organizaciones tienen una gran responsabilidad en el uso y protección de datos, así como una oportunidad para brindar confianza a los usuarios sobre la seguridad y resguardo de la información.
Por qué es importante la protección de datos personales
En México, de los prácticamente 102 millones de usuarios de internet reportados en mayo de 2024, el 82% identifican el robo de datos personales como el principal riesgo de navegación.
Entre las vulneraciones de ciberseguridad en México más destacadas, de acuerdo con la Asociación de Internet MX (AIMX), el 67% de cibernautas está preocupado por ser víctima de fraude y el 63% menciona la invasión de la privacidad como su inquietud primordial. Estos dos índices se incrementaron durante el último año.
En tanto que el 40% de incidencias reportadas en 2023 lo fue por suplantación de identidad y 13% experimentó fuga de información sensible. Ambas situaciones, relacionadas con los datos personales.
Por otra parte, entre 2019 y 2022 hubo 12 importantes hackeos de ciberseguridad en el sector público y de gobierno en México.
También se registraron decenas de miles de intentos de ciberataques contra dependencias gubernamentales como el IMSS, la Secretaría de Salud y las Fuerzas Armadas.
A los que se suma el hackeo o filtración de datos de los periodistas que cubren “la mañanera” del presidente López Obrador, en enero de este año, situación representativa de la vulneración y débil protección de datos personales.
Al cierre de 2023, de acuerdo con informes de consultoras especializadas, México resultó ser el país que más ciberataques recibió en Latinoamérica.
¿Qué son los datos personales?
La legislación en México define a los datos personales como aquella información concerniente a una persona física identificada o identificable.
Una persona es identificable cuando su identidad puede determinarse directa o indirectamente a través de cualquier información.
Con un enfoque más general, los datos personales son cualquier tipo de datos que pueden ser usados para identificar de forma directa o indirecta a un individuo.
Identificación directa o indirecta de datos personales
Ejemplos de datos personales que permiten la identificación directa incluyen: nombre, fotografías, número o clave de identificación emitido por el gobierno (CURP o RFC) historia laboral o académica, domicilio.
Mientras que la identificación indirecta es posible mediante la dirección IP de los dispositivos o el nombre de usuario que se usa en servicios digitales o redes sociales. Los datos biométricos forman parte de las herramientas para la identificación indirecta.
Toda información relacionada con una persona identificable constituye el conjunto de datos personales.
La protección de datos en el contexto de las organizaciones
La protección de datos se refiere a todos aquellos procesos aplicados para salvaguardar la seguridad de la información de personas y organizaciones para que no sean robados o utilizados por agentes externos.
Salvaguardar los datos precisa de metodologías y procesos enfocados en la prevención de fugas, robo, corrupción o malversación de la información.
Comúnmente los procesos de protección de datos se centran en el uso de copias de seguridad o backups además de protocolos de restauración.
Para la protección de datos en las empresas, debe crearse la figura del agente responsable de los datos, quien se encarga de evaluar los datos sensibles, así como de generar protocolos y reglamentos para su salvaguarda al interior de la organización.
Importancia de la protección de datos personales
La enorme cantidad de datos personales que se dejan a manera de huella, convierte a un usuario en identificable en el entorno digital.
Los datos personales pueden ser usados para acceder a diversos recursos físicos o informáticos, o bien para fines mercadológicos, analíticos o de investigación.
A mayor cantidad de información identificable en el mundo digital, más probabilidad de vulnerabilidades que dejan abierta la puerta para la ciberdelincuencia.
De ahí que diversas voces, tanto en los bufetes jurídicos como en las empresas tecnológicas, insisten en la necesidad de actualizar la Ley Federal de Protección de Datos Personales.
Información identificable por métodos digitales
En el ámbito digital, toda la información que se pueda recopilar acerca de una persona constituye su identidad digital a partir de dos categorías:
Identidad por atributos digitales
Datos como fecha de nacimiento, correo electrónico, historial médico o datos bancarios.
Identidad por actividades digitales
Estos datos se generan a partir de información como descargas de aplicaciones, historial de búsquedas, fotos en redes sociales, textos publicados en foros, geolocalización, compras y otras más.
Leyes y regulación de datos personales
La protección de datos personales, de acuerdo con la Ley, es un conjunto de medidas para garantizar y proteger la información concerniente a personas físicas identificadas o identificables, que la haga susceptible de tratamiento, así como a toda modalidad de uso posterior de estos datos por parte de los sectores público y privado.
México cuenta con una ley que regula el tratamiento de los datos personales en manos de particulares o empresas del sector privado desde 2010.
Ley Federal de Protección de Datos Personales
Se trata de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que rige el manejo de la información personal de colaboradores, clientes o proveedores, entre otros.
Esta ley establece diversas regulaciones para el tratamiento de datos personales, medidas para garantizar su privacidad, así como el derecho de los titulares para decidir que se hace con su información.
Su complemento es el Reglamento correspondiente, publicado en diciembre de 2011. La aplicación de ambos instrumentos pretende evitar que los datos personales sean utilizados indebidamente.
Estos instrumentos jurídicos buscan que también se respeten los derechos de los dueños de los datos y que se garantice una expectativa razonable de privacidad.
Por privacidad se entiende, en términos jurídicos: “la facultad de una persona de prevenir la difusión de datos pertenecientes a su vida privada que, sin ser difamatorios ni perjudiciales, esta desea que no sean divulgados”; (Diccionario Panhispánico del Español Jurídico).
De manera más específica, la privacidad de los datos consiste en la protección de los datos personales frente a quienes no deberían tener acceso a los mismos, y la capacidad de los usuarios para determinar quién puede acceder a su información personal.
Protección de datos personales: una historia de más de 20 años en México
En la esfera del sector público, la regulación aplicable para la protección de datos personales viene de más lejos.
La Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP) expedida en 2002, dio lugar a la creación en 2003 del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI).
En 2015, éste se transformó en el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), entidad crucial en la supervisión del cumplimiento de las leyes de protección de datos personales.
Cómo pueden las organizaciones aplicar medidas de protección de datos
Toda organización que maneja datos de empleados, clientes, proveedores o similares, está obligada a cumplir con la LFPDPPP. De igual manera, debe observar buenas prácticas de negocio y lineamientos éticos.
Algunos ejemplos para ilustrar aspectos donde aplicar la protección de datos:
- Asegurarse de que haya consentimiento explícito para el uso que se vaya a dar a los datos
- Evitar el uso de datos para fines no declarados
- Gestionar y actualizar periódicamente la aplicación de medidas de seguridad adecuadas
- Mantener políticas de privacidad transparentes
- Respetar los derechos de acceso y rectificación (ARCO)
- En el caso de traspaso de datos (a terceros), garantizar el consentimiento y ofrecer garantías adecuadas.
Los roles en la protección de datos personales
En el articulado de la LFPDPPP se definen varios roles de quienes participan activamente en los procesos de protección de datos personales.
Las características y responsabilidades de estos roles hay que entenderlos y delimitarlos bien debido a la responsabilidad jurídica que implican.
El responsable
Es la persona física o jurídica, privada o pública, que decide sobre el tratamiento de los datos, es decir, toma decisiones sobre qué hacer con ellos. Es quien se hace cargo desde que el dato entra a formar parte del sistema de información hasta la eliminación de este.
Encargado
Es la persona física o jurídica que trata los datos personales por cuenta del responsable del archivo, como consecuencia de la existencia de una relación jurídica (contrato de prestación de servicios) que le vincula al responsable.
El encargado de tratamiento solo puede acceder a los datos personales recogidos por el responsable del archivo, cuando ese acceso se entiende como necesario para el cumplimiento de un propósito que el responsable de los datos encomienda en virtud de contrato al encargado.
Se entiende por tratamiento de datos personales toda operación que se lleve a cabo con datos de una persona: obtención, almacenamiento, uso, divulgación, cancelación y/o eliminación.
El uso de datos personales abarca acceso, manejo, aprovechamiento, transferencia o disposición.
Controlador
Es la persona, autoridad, dependencia u otro organismo que solo, o en conjunto, determina la finalidad y los medios para procesar los datos personales.
Procesador
Se refiere a la persona, autoridad, dependencia u otro organismo que procesa datos personales en nombre del controlador.
Una organización se entiende como controlador de datos si regula y es responsable de los datos personales que tiene. De otra manera, si tiene datos personales pero alguna otra organización decide y es responsable de lo que pase con ellos, estamos ante un procesador de datos.
Obligaciones y estándares de la protección de datos
Entre las obligaciones y responsabilidades de las empresas que tratan datos personales está el brindar información suficiente a los titulares de los datos sobre el tratamiento de éstos, así como obtener su consentimiento.
Tener disponible un aviso de privacidad en el sitio web de la empresa es no sólo recomendable sino prácticamente obligado.
En el Aviso de Privacidad se informa a los usuarios acerca de las características principales del tratamiento al que serán sometidos sus datos personales.
Además, es obligación de las empresas permitir que los titulares de los datos ejerzan sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO).
Por otra parte, las empresas que se hacen responsables del tratamiento de datos personales deben apegarse a la aplicación de una serie de estándares o principios básicos incluidos en la Ley de Protección de Datos.
Estamos hablando de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
Sistemas informáticos de seguridad y confidencialidad para protección de datos
La seguridad informática busca preservar la confidencialidad, integridad y disponibilidad de los datos almacenados en un sistema informático.
De acuerdo con IBM, seguridad informática es la “práctica de proteger el activo informático de una organización: sistemas informáticos, redes, dispositivos digitales, datos”, ante la posibilidad de accesos no autorizados, filtración de datos, ciberataques y otras actividades maliciosas.
Antivirus, firewalls, pentesting o software para prevención de pérdida de datos (DLP, por sus siglas en inglés) son algunas de las medidas de seguridad que se integran en un sistema de gestión integral que incluye también la autenticación.
Así como la seguridad física del hardware, de los dispositivos de almacenamiento y la seguridad lógica de las aplicaciones de software.
En este contexto, las prácticas de seguridad de datos se enfocan en proteger la información digital contra el acceso no autorizado, la destrucción involuntaria, la corrupción/fraude o el robo a lo largo de toda la vida del dato en la empresa.
Medidas de seguridad en tecnología para protección de datos
Para proteger la multitud de cuentas existentes en cada organización, el enfoque se denomina higiene de las contraseñas.
Contraseñas seguras y autenticación de dos factores
Las contraseñas seguras responden a tres características: ser largas, aleatorias y singulares.
Las recomendaciones son:
- Longitud mayor de 16 caracteres o cinco palabras
- Aleatoriedad usando conceptos o términos que no puedan relacionarse fácilmente con el usuario
- Singularidad, una contraseña diferente para cada sitio, servicio o aplicación.
En cuanto a la autenticación de dos factores o 2FA, es una capa adicional de protección que sirve de refuerzo para la seguridad de las cuentas.
Requiere de un segundo dato para concretar el acceso, como un token, un código de autenticación enviado al dispositivo móvil o bien, una llave física.
Encriptación de datos
Es el proceso que convierte una información en ilegible, ya que se transforma su contenido a través de un algoritmo matemático.
Sirve para garantizar que la información viaja segura, no ha sufrido alteración o modificación, se mantiene confidencial, y también para acreditar su origen.
Actualizaciones de software y parches de seguridad
Para mayor claridad, todos los parches son actualizaciones de software, pero no todas las actualizaciones son parches.
Los parches solucionan problemas muy concretos, son sencillos y pequeños.
En cambio, las actualizaciones responden a fallas amplias o generales, hacen modificaciones profundas en el programa o sistema al que se envían. Es factible que causen inconvenientes luego de ser instaladas.
Uso de firewalls y antivirus
Son herramientas para combatir malware y virus.
El firewall se encarga de la seguridad externa, escanea el tráfico entrante de internet e impide el acceso de malware o virus al dispositivo de cómputo.
La función del antivirus consiste en escanear todos los archivos que ya están en el equipo de cómputo, para luego eliminar virus y malware.
Riesgos de la falta de protección de datos
Suplantación de identidad
Mediante el robo de información personal que los ladrones de identidad pueden emplear para abrir nuevas cuentas, realizar compras o cometer otros delitos.
Además, puede causar daño legal, financiero y de reputación a las organizaciones, que están obligadas a proteger los datos personales de sus clientes o colaboradores, evitando incidentes de robo.
Hackeo y pérdida de información
Una violación de datos, un hackeo, ocurre cuando personas no autorizadas obtienen acceso a datos confidenciales, como información de clientes, datos financieros o propiedad intelectual.
Esto provoca pérdida total o parcial de información. Puede suceder por medio de piratería, robo o simplemente por descuido. Se pierde el control sobre documentos en los que se ha invertido mucho tiempo y esfuerzo.
Por ejemplo, documentos de investigaciones académicas en curso, o de investigaciones policiacas.
El daño económico, reputacional y hasta político es enorme.
Uso con fines comerciales de datos personales
Los datos se revisan, se usan para identificar niveles de poder adquisitivo de los usuarios, sus preferencias de compra o necesidades.
Por lo general, tiene como objetivo, poder cobrar el precio más alto de bienes y servicios que estén dispuestos a pagar de acuerdo con sus datos personales.
Pérdida de la privacidad
Que deja de tener sentido, aunada a la pérdida de la confianza.
Privacidad en redes sociales y aplicaciones móviles
Cada red social ofrece opciones para configurar una serie de características que modulan el tipo de información que se comparte.
Sin embargo, los usuarios en general no otorgan importancia a los términos de privacidad; se aceptan sin revisarlos y eventualmente, provocan problemas.
Configuración de privacidad en redes sociales
Aquí algunas recomendaciones sobre la privacidad y protección de datos personales en las redes sociales:
- Elegir en cada red social qué se quiere compartir
- Seleccionar las casillas que correspondan a ello y guardar los cambios o ajustes, permite establecer un tipo de perfil, es decir, se quiere visible o no la fecha de nacimiento, el correo electrónico o el teléfono de contacto.
- ¿Publicaciones abiertas para todo público, o solo para la red de contactos? Se puede definir si cada publicación estará disponible para cualquier persona en la red o solo para algunos segmentos.
Permisos de aplicaciones móviles y acceso a datos personales
Para ilustrar con un ejemplo, tenemos que la geolocalización permanente del dispositivo móvil se puede permitir o no.
Al permitirse la geolocalización, otorga consentimiento para el rastreo del equipo.
¿Esto resulta conveniente para el usuario? ¿Respeta la privacidad? ¿Vulnera sus datos personales?
Lo mismo sucede con los permisos para la activación automática de la cámara frontal de los equipos, o con los aplicables para la identificación de patrones de voz en las llamadas.
Riesgos de compartir información personal en línea
La información que recopilan las redes sociales (preferencias, ubicación, contactos), puede ser usada por terceros con fines comerciales, pero también para robo de identidad.
Fotos y publicaciones pueden ser compartidas sin consentimiento del usuario, afectando reputación, vida familiar y profesional, incluso colocándolos en situaciones de riesgo.
Cómo proteger la privacidad en redes sociales y aplicaciones móviles
Las recomendaciones básicas son:
- En la configuración, establecer quienes pueden ver información y publicaciones.
- Evitar la publicación de información personal sensible (domicilio, datos bancarios).
- Ser conscientes y responsables con lo que se comparte.
- Emplear contraseñas seguras y cambiarlas con regularidad.
- Mantener actualizados dispositivos y aplicaciones
Responsabilidad de las organizaciones y usuarios
La protección de datos personales es una responsabilidad compartida entre organizaciones y usuarios.
Cuando no es así, se incurre en infracciones legales, daños a la reputación o afectaciones económicas derivadas de los fallos en protección de datos.
Una cultura de resiliencia es la que debe prevalecer para procurar un entorno más seguro en internet.
Caso de estudio de violaciones de datos y sus consecuencias
Vulneraciones o violaciones de datos están estrechamente relacionadas con ciberataques, al menos desde la perspectiva de las organizaciones.
Un ejemplo de ello es el reciente caso de Ticketmaster, tanto en Estados Unidos como en México.
En aquel país se llevan a cabo las acciones legales correspondientes, mientras que, en México, el INAI abrió una investigación de oficio para dar seguimiento a este caso.
Por su parte, la empresa en su sitio web mexicano, cubre el aspecto reputacional y ofrece información a los usuarios (posiblemente afectados), a partir de una declaración “Sabemos lo importante que es su información personal y nos tomamos muy en serio su protección”.
Derechos con relación a los propios datos personales
La LFPDPPP establece los derechos que cada persona tiene con relación a sus datos personales, al tratamiento del que son objeto e incluso a objetar la legalidad de algunos procesos.
De tales derechos debemos estar bien informados, para ejercerlos.
Se trata del derecho de acceso, de rectificación, de oposición, de supresión o derecho al olvido, de limitación del tratamiento, de la portabilidad y de no ser objeto de decisiones individualizadas/desproporcionadas.
Pero el enfoque más importante desde la perspectiva de los usuarios es el de los derechos ARCO, ya mencionados arriba.
Los derechos ARCO están reconocidos en la Constitución, en la LGPDPPP y en los Lineamientos Generales de Protección de Datos Personales para el Sector Público.
Obligaciones legales en la protección de datos personales
Las organizaciones que operan en México deben respetar los derechos y obligaciones estipulados en Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.
La aplicación de ambos instrumentos es obligatoria para evitar la utilización indebida de los datos personales.
Educación y concientización de los usuarios sobre la protección de datos
La protección de datos, al ser una responsabilidad compartida, requiere de la presencia de un concepto amplio de cultura de ciberseguridad como parte del entorno organizacional.
Programas de educación o formación brindan a los colaboradores conocimientos para configurar sus equipos, incluso los personales, de acuerdo con esquemas de protección a la privacidad.
Junto con la concientización acerca de buenas prácticas para el manejo de contraseñas seguras, de preservación de archivos o de confidencialidad.
Denuncias y reclamaciones por violaciones de datos
El INAI tiene un rol destacado en la promoción de alternativas para presentar las denuncias y reclamaciones por violaciones de datos:
- Denuncia por mal uso de datos personales contra una institución pública federal.
- Queja por falta de respuesta a una solicitud de derechos ARCO.
- Denuncia en contra de una empresa o ente privado.
- Denuncia en contra de entidades estatales o municipales.
Responsabilidades legales por incumplimiento
Los tipos de responsabilidades legales derivadas del incumplimiento a la LFPDPPP son principalmente sanciones de tipo económico para las organizaciones que hacen mal uso de datos personales.
La legislación contempla 19 conductas en que pueden incurrir las empresas en materia de protección y tratamiento de datos personales, por las cuales pueden ser sancionadas a través de multas que van desde 100 hasta 320,000 días de salario mínimo o su equivalente en UMAs (Unidad de Medida y Actualización).
Para ilustrar: en 2022 el INAI aplicó multas equivalentes a poco más de $60 millones de pesos por infracciones a la LFPDPPP. En tanto que para 2023 el monto fue de casi $47 millones de pesos por el mismo motivo.
Los sectores más sancionados fueron el financiero y el de seguros.
Tendencias. Innovación tecnológica y protección de datos
Con los datos como insumo diario, su protección debiera evolucionar en paralelo con la innovación tecnológica que alimenta, o por lo menos, eso es lo deseable.
Aunque hay novedades a considerar, en algunas de ellas hay más dudas que certezas (neurodatos o metaversos), en tanto que otras (blockchain o Gen AI) muestran ventajas para la protección de datos.
Neurodatos y Metaverso
En el campo de la ciencia aplicada a usos mercadológicos, están los neurodatos. Se trata de información que se recopila a partir del sistema nervioso, más concretamente, del cerebro de un individuo, sobre el que se hacen inferencias.
Dentro del mundo virtual que es el metaverso, el usuario experimenta eventos como si fueran reales, pero enfrenta riesgos para su privacidad de los que tal vez no es consciente: fraude, vigilancia masiva, suplantación de identidad, discriminación
Procesos de este tipo pueden ser altamente intrusivos en cuanto a los datos personales de los individuos, incluso es posible que requieran de información biométrica para su desarrollo.
La protección de datos queda está en entredicho. Se trata de territorios poco explorados desde la legislación o poco regulados.
Blockchain
Al asegurar el anonimato y la confidencialidad mediante encriptación, mejora significativamente la protección de datos, mucho más allá del sector financiero en el que es tan apreciada.
La tecnología blockchain, gracias a sus características, eleva la capacidad de controlar la privacidad de los datos. Su capacidad para garantizar transacciones seguras (protegiendo lo datos) y su inmutabilidad, la hacen una herramienta clave en el corto y mediano plazo.
Inteligencia Artificial
La inteligencia artificial (AI) sobre todo en su vertiente generativa, es un terreno por el momento lleno de contradicciones, tanto por los beneficios que empieza a reportar, como por los desafíos en términos de la protección de los datos personales.
De acuerdo con la IAPP (International Association of Privacy Professionals) en México, temas como deepfakes (archivos de video, imagen o voz manipulados mediante software de AI, para que parezcan originales, legítimos) y doxing (es un tipo de ciberacoso en el cual se revela información personal de alguien en línea), se perciben como riesgos asociados con la AI para la vulneración de datos personales.
Por lo que se considera a la identificación y mitigación de riesgos potenciales como uno de los mayores retos para dicha información:
- sesgo algorítmico,
- falta de transparencia en los sistemas de AI,
- necesidad de implementar seguridad robusta para proteger datos personales en entornos complejos,
- garantizar el consentimiento informado y
- la anonimización de los datos
Fortalecer la gobernanza y la gestión de datos
Mientras que la IAPP recomienda como esencial para la protección de datos personales “que las empresas y el gobierno trabajen de manera conjunta para crear políticas que mitiguen los riesgos inherentes al uso de IA y garanticen que ésta se utilice de manera ética y responsable”.
La firma consultora KPMG, en su reciente estudio Panorama de la inteligencia artificial en México. Retos y oportunidades para liderar la transformación, enfatiza en la necesidad de fortalecer la gobernanza y la gestión de datos (de calidad) al interior de las organizaciones.
Al igual que “asignar responsables que garanticen la confiabilidad y calidad de la información”, cumplimiento estricto con leyes y regulaciones de datos, así como observar “principios éticos para el uso de la IA (equidad, transparencia, responsabilidad, fiabilidad, privacidad y seguridad).
Todo ello como parte de las acciones necesarias para mejorar la protección de datos.