Protección de datos: lo que las organizaciones deben saber

ESPECIAL

Protección de datos: lo que las organizaciones deben saber

HomeCiberseguridad
Dirección copiada

Más del 80% de usuarios de Internet en México están preocupados por el robo de sus datos personales y 58% temen por la invasión a su privacidad. Este es el ABC para la protección de datos

Actualizado el 18 abr 2024
proteccion-de-datos-personales
De los 97 millones de usuarios de internet, el 81.50% identifican el robo de datos personales como el principal riesgo de navegación

La protección de datos en internet es vital ante el incremento de amenazas a la ciberseguridad

Todos los datos que compartimos online son parte de nuestra huella digital, miles de archivos que se guardan con información personal y de nuestra actividad en Internet. 

Las organizaciones tienen una gran responsabilidad en el uso y protección de datos y una oportunidad para brindar confianza a los usuarios sobre la seguridad y resguardo de la información.

Índice de temas

Por qué es importante la protección de datos personales

En México, de los 97 millones de usuarios de internet, el 81.50% identifican el robo de datos personales como el principal riesgo de navegación.

Mientras que el 58% de cibernautas menciona la invasión de la privacidad entre las principales vulneraciones de ciberseguridad en México, de acuerdo con la Asociación de Internet MX (AIMX).

Prácticamente el 40% de incidencias reportadas en 2023 lo fue por suplantación de identidad y 13% experimentó fuga de información sensible. Ambas situaciones, relacionadas con los datos personales.

Entre 2019 y 2022 hubo 12 importantes hackeos de ciberseguridad en el sector público y de gobierno en Mexico.

Y se registraron decenas de miles de intentos de ciberataques contra dependencias gubernamentales como el IMSS, la Secretaría de Salud y las Fuerzas Armadas. 

Al cierre de 2023, de acuerdo con informes de consultoras especializadas, México es el país que más ciberataques recibe en Latinoamérica.

¿Qué son los datos personales?

Los datos personales son todos aquellos que permiten identificar de forma directa o indirecta a un individuo, independientemente del soporte en que se encuentren, ya sea físico o digital.

Los datos personales en internet pueden ser:

  • El nombre
  • Domicilio
  • Fotografías
  • Número de teléfono
  • Firma
  • Historia laboral
  • Historia académica —los cuales sirven para la identificación directa—
  • El correo electrónico
  • La dirección IP del dispositivo telefónico
  • El nombre de usuario en redes sociales
  • Datos biométricos —que aportan la identificación indirecta—.

Toda información relacionada con una persona identificable constituye el conjunto de datos personales.

La protección de datos en el contexto de las organizaciones

La protección de datos serán todos aquellos procesos aplicados para salvaguardar la seguridad de la información de personas y organizaciones para que no sean robados o utilizados por agentes externos.

Para salvaguardar los datos se deben aplicar metodologías y procesos enfocados en la prevención de fugas, robo, corrupción o malversación de la información.

Por lo general, la mayoría de los procesos de protección de datos se centran en el uso de copias de seguridad o backups además de protocolos de restauración.

En la protección de datos en las empresas, por lo general debe crearse la figura del agente responsable de los datos.

El agente responsable será quien se encargue de evaluar los datos sensibles y deberá generar protocolos y reglamentos para su salvaguarda al interior de la organización.

Importancia de la protección de datos personales

La enorme cantidad de datos personales que se dejan a manera de huella, hace a un usuario identificable en el entorno digital.

Los datos personales pueden ser usados para acceder a diversos recursos físicos o informáticos, o bien para fines mercadológicos, analíticos o de investigación.

A mayor cantidad de información identificable en el mundo digital, más probabilidad de vulnerabilidades que dejan abierta la puerta para la ciberdelincuencia.

De ahí que diversas voces, tanto en los bufetes jurídicos como en las empresas tecnológicas, insisten en la necesidad de actualizar la Ley Federal de Protección de Datos Personales.

Una actualización a la ley permitiría incorporar mucho de lo que en términos digitales ha sucedido desde 2010.

Leyes y regulación de datos personales

La protección de datos personales, de acuerdo con la Ley, es un conjunto de medidas para garantizar y proteger la información concerniente a personas físicas identificadas o identificables, que la haga susceptible de tratamiento, así como a toda modalidad de uso posterior de estos datos por parte de los sectores público y privado.

México cuenta con una ley que regula el tratamiento de los datos personales en manos de particulares o empresas del sector privado desde 2010.

Se trata de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que rige el manejo de la información personal de colaboradores, clientes o proveedores, entre otros.

Esta ley establece diversas regulaciones para el tratamiento de datos personales, medidas para garantizar la privacidad de la misma, así como el derecho de los titulares para decidir que se hace con su información.

Su complemento es el Reglamento correspondiente, publicado en diciembre de 2011.

La aplicación de ambos instrumentos pretende evitar que los datos personales sean utilizados indebidamente.

Estos instrumentos jurídicos buscan que también se respeten los derechos de los dueños de los datos y que se garantice una expectativa razonable de privacidad.

Protección de datos personales: una historia de más de 20 años en México

En la esfera del sector público, la regulación aplicable para la protección de datos personales viene de más lejos.

La Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP) expedida en 2022, dio lugar a la creación en 2003 del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI).

En 2015, éste se transformó en el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

Riesgos de la falta de protección de datos

Suplantación de identidad

Mediante el robo de información personal que pueden emplear los ladrones de identidad para abrir nuevas cuentas, realizar compras o cometer otros delitos.

Además, puede causar daño legal, financiero y de reputación a las organizaciones, que están obligadas a proteger los datos personales de sus clientes o colaboradores, evitando incidentes de robo.

Hackeo y pérdida de toda nuestra información

Una violación de datos, un hackeo, ocurre cuando personas no autorizadas obtienen acceso a datos confidenciales, como información de clientes, datos financieros o propiedad intelectual.

Esto provoca pérdida total o parcial de información. Puede suceder por medio de piratería, robo o simplemente por descuido.

Pérdida del control sobre documentos en los que hemos invertido gran parte de nuestro tiempo y esfuerzo.

Por ejemplo, documentos de investigaciones académicas en curso, o de investigaciones policiacas.

El daño económico, reputacional y hasta político es enorme.

Uso con fines comerciales de datos personales

Los datos se revisan, se usan para identificar niveles de poder adquisitivo de los usuarios, sus preferencias de compra o necesidades.

Por lo general, tiene como objetivo, poder cobrar el precio más alto de bienes y servicios que estén dispuestos a pagar de acuerdo a sus datos personales.

Pérdida de la privacidad

Que deja de tener sentido, aunada a la pérdida de la confianza.

Información identificable por métodos digitales

En el ámbito digital, toda la información que se pueda recopilar acerca de una persona constituye su identidad digital a partir de dos categorías:

Identidad por atributos digitales

Datos como fecha de nacimiento, correo electrónico, historial médico o datos bancarios.

Identidad por actividades digitales

Estos datos los constituyen información como descargas de aplicaciones, historial de búsquedas, fotos en redes sociales, textos publicados en foros, geolocalización, compras y otras más.

Los roles en la protección de datos personales

En el articulado de la LFPDPPP se definen varios roles de quienes participan activamente en los procesos de protección de datos personales.

Las características y responsabilidades de estos roles hay que entenderlos y delimitarlos bien debido a la responsabilidad jurídica que implican.

El responsable

Es la persona física o jurídica, privada o pública, que decide sobre el tratamiento de los datos, es decir, toma decisiones sobre qué hacer con los mismos, es quien se hace cargo desde que el dato entra a formar parte del sistema de información hasta la eliminación del mismo.

Encargado

Es la persona física o jurídica que trata los datos personales por cuenta del responsable del archivo, como consecuencia de la existencia de una relación jurídica (contrato de prestación de servicios) que le vincula al responsable.

El encargado de tratamiento solo puede acceder a los datos personales recogidos por el responsable del archivo, cuando ese acceso se entiende como necesario para el cumplimiento de un propósito que el responsable de los datos encomienda en virtud de contrato al encargado.

El tratamiento de los datos personales incluye su obtención, uso, divulgación y almacenamiento, en cualquier medio. El uso abarca acceso, manejo, aprovechamiento, transferencia o disposición.

Controlador

Es la persona, autoridad, dependencia u otro organismo que solo, o en conjunto, determina la finalidad y los medios para procesar los datos personales.

Procesador

Se refiere a la persona, autoridad pública, dependencia u otro organismo que procesa datos personales en nombre del controlador.

Una organización se entiende como controlador de datos si regula y es responsable de los datos personales que tiene. De otra manera, si tiene datos personales pero alguna otra organización decide y es responsable de lo que pase con ellos, estamos ante un procesador de datos.

Obligaciones y estándares de la protección de datos

Entre las obligaciones y responsabilidades de las empresas que tratan datos personales está el brindar información suficiente a los titulares de los datos sobre el tratamiento de éstos, así como obtener su consentimiento.

Tener disponible un aviso de privacidad en el sitio web de la empresa es no sólo recomendable sino prácticamente obligado.

En el Aviso de Privacidad se informa a los usuarios acerca de las características principales del tratamiento a que serán sometidos sus datos personales.

Además, es obligación de las empresas permitir que los titulares de los datos ejerzan sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO).

Por otra parte, las empresas que se hacen responsables del tratamiento de datos personales deben apegarse a la aplicación de una serie de estándares o principios básicos incluidos en la Ley de Protección de Datos

Estamos hablando de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.

Sistemas informáticos para seguridad y confidencialidad para protección de datos

La seguridad informática busca preservar la confidencialidad, integridad y disponibilidad de los datos almacenados en un sistema informático.

Antivirus, firewalls, pentesting o software para prevención de pérdida de datos (DLP, por sus siglas en inglés) son algunas de las medidas de seguridad que se integran en un sistema de gestión integral que incluye también la autenticación.

Así como la seguridad física del hardware y de los dispositivos de almacenamiento, y la seguridad lógica de las aplicaciones de software.

En este contexto, las prácticas de seguridad de datos se enfocan en proteger la información digital contra el acceso no autorizado, la destrucción involuntaria, la corrupción/fraude o el robo a lo largo de toda la vida del dato en la empresa.

Medidas de seguridad en tecnología para protección de datos

Para proteger la multitud de cuentas existentes en cada organización, el enfoque se denomina higiene de las contraseñas.

Contraseñas seguras y autenticación de dos factores

Las contraseñas seguras responden a tres características: ser largas, aleatorias y singulares.

Las recomendaciones son:

  • Longitud mayor de 16 caracteres o cinco palabras
  • Aleatoriedad usando conceptos o términos que no puedan relacionarse fácilmente con el usuario
  • Singularidad, una contraseña diferente para cada sitio, servicio o aplicación.

En cuanto a la autenticación de dos factores o 2FA, es una capa adicional de protección que sirve de refuerzo para la seguridad de las cuentas.

Requiere de un segundo dato para concretar el acceso, como un token, un código de autenticación enviado al dispositivo móvil o bien, una llave física.

Encriptación de datos

Es el proceso que convierte una información en ilegible, ya que se transforma su contenido a través de un algoritmo matemático.

Sirve para garantizar que la información viaja segura, no ha sufrido alteración o modificación, se mantiene confidencial, y también para acreditar su origen.

Actualizaciones de software y parches de seguridad

Para mayor claridad, todos los parches son actualizaciones de software, pero no todas las actualizaciones son parches.

Los parches solucionan problemas muy concretos, son ligeros y pequeños.

Las actualizaciones responden a fallas amplias o generales, hacen cambios profundos en el programa o sistema al que se envían. Es factible que causen inconvenientes luego de ser instalados.

Uso de firewalls y antivirus

Son herramientas para combatir malware y virus.

El firewall se encarga de la seguridad externa, escanea el tráfico entrante de internet e impide el acceso de malware o virus al dispositivo de cómputo.

La función del antivirus consiste en escanear todos los archivos que ya están en el equipo de cómputo, para luego eliminar virus y malware.

Privacidad en redes sociales y aplicaciones móviles

Cada red social ofrece opciones para configurar una serie de características que modulan el tipo de información que se comparte.

Sin embargo, los usuarios en general no otorgan importancia a los términos de privacidad; se aceptan sin revisarlos y eventualmente, provocan problemas.

Configuración de privacidad en redes sociales

Aquí algunas recomendaciones sobre la privacidad y protección de datos personales en las redes sociales:

  1. Elegir en cada red social qué se quiere compartir
  2. Seleccionar las casillas que correspondan a ello y guardar los cambios o ajustes, permite establecer un tipo de perfil, es decir, quiero que sea visible la fecha de nacimiento, el correo electrónico o el teléfono de contacto.
  3. ¿Publicaciones abiertas para todo público, o solo para la red de contactos? Se puede definir si cada publicación estará disponible para cualquier persona en la red o solo para aquellos que son tus seguidores.

Permisos de aplicaciones móviles y acceso a datos personales

Para ilustrar, el caso de la geolocalización permanente del dispositivo móvil se puede permitir o no.

Al permitirse la geolocalización, otorga consentimiento para el rastreo del equipo.

¿Esto resulta conveniente para el usuario? ¿Respeta la privacidad? ¿Vulnera sus datos personales?

Lo mismo sucede con los permisos para la activación automática de la cámara frontal de los equipos, o con los aplicables para la identificación de patrones de voz en las llamadas.

Riesgos de compartir información personal en línea

La información que recopilan las redes sociales (preferencias, ubicación, contactos), puede ser usada por terceros con fines comerciales, pero también para robo de identidad.

Fotos y publicaciones pueden ser compartidas sin consentimiento del usuario, afectando reputación, vida familiar y profesional, incluso colocándolos en situaciones de riesgo.

Cómo proteger la privacidad en redes sociales y aplicaciones móviles

Las recomendaciones básicas son:

· En la configuración, establecer quienes pueden ver información y publicaciones.

· Evitar la publicación de información personal sensible (domicilio, datos bancarios).

· Ser conscientes y responsables con lo que se comparte.

· Emplear contraseñas seguras y cambiarlas con regularidad.

· Mantener actualizados dispositivos y aplicaciones

Responsabilidad de las organizaciones y usuarios

La protección de datos personales es una responsabilidad compartida entre organizaciones y usuarios.

Una cultura de ciberresilencia es la que debe prevalecer para hacer un entorno más seguro en internet. 

Derechos con relación a los propios datos personales

La LFPDPPP establece los derechos que cada persona tiene con relación a sus datos personales, al tratamiento del que son objeto e incluso a objetar la legalidad de algunos procesos.

De tales derechos debemos estar bien informados, para ejercerlos.

Se trata del derecho de acceso, de rectificación, de oposición, de supresión o derecho al olvido, de limitación del tratamiento, de la portabilidad y de no ser objeto de decisiones individualizadas/desproporcionadas.

Pero el enfoque más importante desde la perspectiva de los usuarios es el de los derechos ARCO, ya mencionados arriba.

Los derechos ARCO están reconocidos en la Constitución, en la LGPDPPP y en los Lineamientos Generales de Protección de Datos Personales para el Sector Público.

Hay preguntas que los mismos negocios se plantean en cuanto a los límites, en ocasiones imperceptibles, acerca de la legalidad en temas como hacer o no análisis de datos personales.

Obligaciones legales de las empresas en la protección de datos personales

Las organizaciones que operan en México deberán acatar los derechos y obligaciones estipulados en Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

Esta ley rige el manejo de la información personal de colaboradores, clientes o proveedores, entre otros.

Además, deberá consultarse su complemento, que es el Reglamento correspondiente, publicado en diciembre de 2011.

La aplicación de ambos instrumentos son obligatorias para evitar que los datos personales sean utilizados indebidamente.

Es requisito que en todo sitio web y lugar físico de las organizaciones esté visible su Aviso de Privacidad.

En este documento se manifiesta el uso que se dará a los datos personales de los usuarios.

Además, en el Aviso de Privacidad, se debe manifestar la forma en que los usuarios pueden revocar el permiso del uso de sus datos personales y su almacenamiento.

El Aviso de Privacidad también debe contener un correo electrónico y dirección física para que los usuarios puedan manifestar su inconformidad con el uso de sus datos. 

El no contar con Aviso de Privacidad será motivo de multas y sanciones económicas y jurídicas en México.

Educación y concientización de los usuarios sobre la protección de datos

La protección de datos, al ser una responsabilidad compartida, requiere de la presencia de un concepto amplio de cultura de ciberseguridad como parte del entorno organizacional.

Programas de educación o formación brindan a los colaboradores conocimientos para configurar sus equipos, incluso los personales, de acuerdo con esquemas de protección a la privacidad.

Junto con la concientización acerca de buenas prácticas para el manejo de contraseñas seguras, de preservación de archivos o de confidencialidad.

Denuncias y reclamaciones por violaciones de datos

El INAI tiene un rol destacado en la promoción de alternativas para presentar las denuncias y reclamaciones por violaciones de datos:

· Denuncia por mal uso de datos personales contra una institución pública federal.

· Queja por falta de respuesta a una solicitud de derechos ARCO.

· Denuncia en contra de una empresa o ente privado.

· Denuncia en contra de entidades estatales o municipales.

Responsabilidades legales por incumplimiento

Los tipos de responsabilidades legales derivadas del incumplimiento a la LFPDPPP son principalmente sanciones de tipo económico para las organizaciones que hacen mal uso de datos personales.

La legislación contempla 19 conductas en que pueden incurrir las empresas en materia de protección y tratamiento de datos personales, por las cuales pueden ser sancionadas a través de multas que van desde 100 hasta 320,000 días de salario mínimo o su equivalente en UMAS.

Para ilustrar: en 2022 el INAI aplicó multas equivalentes a poco más de $60 millones de pesos por infracciones a la LFPDPPP. En tanto que para 2023 reportó una recaudación de casi $47 millones de pesos por el mismo motivo. 

Publicado originalmente en 13 abr 2023
Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

Si piensas que este post es útil…

¡Síguenos en nuestras redes sociales!

Marcela Padua

Creadora de contenido editorial, fascinada con los temas de innovación, IT, ciencia aplicada y humanismo tecnológico. Con formación en administración, complementada con periodismo especializado en tecnología y telecomunicaciones. La escritura al servicio del conocimiento.

Sígame en

Temas

Canales

Artículos relacionados

  • Whatsapp anuncia nueva función para bloquear chats

    15 May 2023

    por Redacción IT Masters Mag

    Compartir

  • Delitos Informáticos en México. Conozca las leyes y las multas

    01 Dic 2023

    por Maricela Ochoa Serafín

    Compartir

  • Ciberseguridad en México: lo que debe saber

    20 Mar 2024

    por Redacción IT Masters Mag

    Compartir

  • Equipos de seguridad tardan seis días en resolver alerta de seguridad

    20 Abr 2023

    por Redacción IT Masters Mag

    Compartir

Siguiente

Whatsapp anuncia nueva función para bloquear chats

Artículo 1 de 5