No hay duda de que la t\u00edpica empresa moderna genera grandes cantidades de datos que deben ser trasladados, analizados y almacenados de forma segura. Dado que gran parte de estos datos tienen que ver con la privacidad de los usuarios y clientes, se han creado varias leyes y reglamentos para impulsar pr\u00e1cticas de protecci\u00f3n s\u00f3lidas. Aunque estas normativas var\u00edan mucho de un pa\u00eds a otro, el concepto subyacente sigue siendo el mismo: mantener los datos a salvo y ponerlos a disposici\u00f3n de los usuarios autorizados cuando los necesiten.<\/p>\n
De qu\u00e9 va a tratar este art\u00edculo:<\/strong><\/p>\n Laprotecci\u00f3n de datos<\/a> es el concepto de salvaguardar los datos importantes de la corrupci\u00f3n, el compromiso o la p\u00e9rdida. No se trata s\u00f3lo de una protecci\u00f3n pasiva, sino que se apoya en gran medida en los procesos de restauraci\u00f3n y recuperaci\u00f3n de los datos en caso de que algo ocurra que los haga inaccesibles o inutilizables. La protecci\u00f3n de datos tambi\u00e9n abarca cuestiones de cumplimiento de los requisitos legales o reglamentarios aplicables.<\/p>\n Adem\u00e1s de la seguridad, la protecci\u00f3n de datos se refiere al acceso autorizado a los datos. Obviamente, uno no puede simplemente borrar los datos importantes o encerrarlos en una b\u00f3veda impenetrable. Los datos est\u00e1n pensados para ser utilizados, y los datos protegidos deben estar a disposici\u00f3n de los usuarios autorizados cuando se necesiten para su finalidad.<\/p>\n A grandes rasgos, la idea moderna de la protecci\u00f3n de datos abarca tres grandes categor\u00edas:\u00a0la protecci\u00f3n de datos tradicional, como las copias de seguridad<\/a>; la seguridad de los datos y la defensa contra las infracciones; y la privacidad de los datos.<\/p>\n NinjaOne SaaS Backup te ayuda a cumplir con los requisitos regulatorios de protecci\u00f3n de datos.<\/p>\n \ud83d\udcdd Prueba NinjaOne SaaS Backup.<\/a><\/span><\/p>\n<\/div>\n El principio primordial de la protecci\u00f3n de datos es emplear metodolog\u00edas y tecnolog\u00edas para proteger los datos y, al mismo tiempo, ponerlos a disposici\u00f3n de los usuarios autorizados en cualquier circunstancia.<\/p>\n M\u00e1s all\u00e1 de esta m\u00e1xima b\u00e1sica, la protecci\u00f3n de datos se vuelve muy granular dependiendo de la regi\u00f3n en cuesti\u00f3n. Varias leyes y reglamentos gubernamentales a\u00f1aden capas y detalles a este objetivo de amplio nivel, teniendo en cuenta innumerables preocupaciones de ciberseguridad y cuestiones de privacidad personal.<\/p>\n A continuaci\u00f3n, exploraremos la protecci\u00f3n de datos tal y como se define en las distintas regiones.<\/p>\n A diferencia de algunas regiones, especialmente la Uni\u00f3n Europea, Estados Unidos no cuenta con una ley federal completa que regule la privacidad y el manejo de datos o informaci\u00f3n personal. En su lugar, las organizaciones de Estados Unidos deben navegar por una amalgama de leyes federales y estatales que regulan la recogida, el tratamiento, la divulgaci\u00f3n y la seguridad de la informaci\u00f3n personal.<\/p>\n Adem\u00e1s, algunos sectores, como la sanidad y las finanzas, est\u00e1n regulados de forma exclusiva.<\/p>\n Debido a la naturaleza descentralizada de las leyes de protecci\u00f3n de datos de EE.UU., los controladores de datos tienen que mantenerse al d\u00eda con estas leyes variadas y prepararse para la probable evoluci\u00f3n de la regulaci\u00f3n de datos de EE.UU..<\/p>\n Echemos un r\u00e1pido vistazo a las principales leyes de protecci\u00f3n de datos actualmente en vigor:<\/p>\n La Ley de Portabilidad y Responsabilidad del Seguro M\u00e9dico de 1996 (HIPAA)<\/a> es una ley federal que establece normas a la hora de salvaguardar cierta informaci\u00f3n personal relacionada con la salud para que no se divulgue sin el consentimiento o el conocimiento del paciente.<\/p>\n La Norma de Privacidad de la HIPAA, elaborada por el Departamento de Salud y Servicios Humanos de EE.UU.<\/a>, entr\u00f3 en vigor en 2003 y regula el uso y la divulgaci\u00f3n de informaci\u00f3n personal protegida en el tratamiento, el pago y las operaciones de atenci\u00f3n sanitaria.<\/p>\n En 2003 tambi\u00e9n entr\u00f3 en vigor otra norma de seguridad de la HIPAA que trata espec\u00edficamente de los historiales m\u00e9dicos electr\u00f3nicos. Esta norma especifica las salvaguardias administrativas, f\u00edsicas y tecnol\u00f3gicas necesarias para su cumplimiento.<\/p>\n La Ley de Informes de Cr\u00e9dito Justos (FCRA)<\/a> es una ley federal que regula las agencias de informes de los consumidores y sus procedimientos en relaci\u00f3n con la confidencialidad, la exactitud, la pertinencia y el uso adecuado de los datos personales.<\/p>\n La informaci\u00f3n personal regulada por la FCRA es espec\u00edfica de los informes de cr\u00e9dito y de los informes de los consumidores vendidos con el fin de determinar la elegibilidad para el empleo, para la suscripci\u00f3n de cr\u00e9ditos o seguros, y para algunos otros fines descritos en la FCRA.<\/p>\n La FCRA tambi\u00e9n incluye varias protecciones para los consumidores, entre ellas el derecho a obtener su propia puntuaci\u00f3n de cr\u00e9dito y el derecho a saber lo que hay en el archivo que una agencia de informes de consumidores mantiene sobre el consumidor.<\/p>\n La Ley Gramm-Leach-Bliley de 2002<\/a> (GLBA) es una ley federal que regula principalmente la recopilaci\u00f3n, el uso, la divulgaci\u00f3n y la protecci\u00f3n de la informaci\u00f3n personal no p\u00fablica recogida por las instituciones financieras.<\/p>\n La Ley de Protecci\u00f3n de la Privacidad de los Ni\u00f1os en Internet (COPPA)<\/a> es una ley federal que impone requisitos a los sitios web dirigidos a ni\u00f1os menores de 13 a\u00f1os y a los operadores de sitios web o servicios en l\u00ednea que recogen a sabiendas informaci\u00f3n personal de ni\u00f1os menores de 13 a\u00f1os. Los operadores cubiertos por la COPPA deben revelar cierta informaci\u00f3n en su pol\u00edtica de privacidad y obtener el consentimiento de los padres antes de recoger ciertos tipos de informaci\u00f3n de ni\u00f1os menores de trece a\u00f1os.<\/p>\n La Ley de Derechos Educativos y Privacidad de la Familia (FERPA)<\/a> es una ley federal que cubre la protecci\u00f3n de los registros educativos de los estudiantes. La FERPA se aplica a cualquier escuela p\u00fablica o privada de ense\u00f1anza primaria, secundaria o postsecundaria, as\u00ed como a los organismos educativos estatales o locales que reciben fondos en el marco de determinados programas del Departamento de Educaci\u00f3n de los Estados Unidos.<\/a><\/p>\n La FERPA otorga a los padres y a los estudiantes elegibles un mayor control sobre sus registros educativos, adem\u00e1s de prohibir a las instituciones educativas la divulgaci\u00f3n de informaci\u00f3n personal identificable en los registros educativos sin el consentimiento escrito de una persona autorizada<\/p>\n La Ley de Protecci\u00f3n del Consumidor Telef\u00f3nico (TCPA)<\/a> es una ley federal que regula las llamadas de telemarketing, las llamadas de marcaci\u00f3n autom\u00e1tica, las llamadas grabadas y los mensajes de texto automatizados, as\u00ed como los faxes no solicitados. La TCPA tambi\u00e9n establece requisitos t\u00e9cnicos para los aparatos de fax, los marcadores autom\u00e1ticos y los sistemas de mensajer\u00eda de voz, as\u00ed como la forma de identificar a los usuarios de estos equipos.<\/p>\n La Ley de Privacidad de 1974<\/a> es una ley federal que se aplica en gran medida a las agencias, contratistas y empleados del gobierno federal. La Ley de Privacidad restringe la divulgaci\u00f3n de la informaci\u00f3n personal que mantienen los organismos p\u00fablicos y otorga a los individuos mayores derechos de acceso a los registros de los organismos que se mantienen sobre ellos mismos. Esta ley tambi\u00e9n establece un c\u00f3digo de pr\u00e1cticas de informaci\u00f3n justas con requisitos legales para la recopilaci\u00f3n, seguridad y difusi\u00f3n de registros personales.<\/p>\n Las leyes de protecci\u00f3n de datos en Canad\u00e1 son similares a las de Estados Unidos, ya que consisten en un complejo conjunto de leyes federales y provinciales. Al igual que en Estados Unidos, algunas de estas leyes imponen normas a sectores espec\u00edficos. Algunas leyes incluyen requisitos obligatorios de notificaci\u00f3n e informaci\u00f3n en caso de violaci\u00f3n de la informaci\u00f3n personal.<\/p>\n Las principales leyes de protecci\u00f3n de datos en Canad\u00e1 son:<\/p>\n Canad\u00e1 tambi\u00e9n ha promulgado una ley antispam, la Legislaci\u00f3n Antispam de Canad\u00e1 (CASL)<\/a>, que afecta a las actividades de marketing electr\u00f3nico, como la recopilaci\u00f3n de datos y el env\u00edo masivo de correos electr\u00f3nicos.<\/p>\n La Uni\u00f3n Europea cuenta actualmente con el marco de protecci\u00f3n de datos m\u00e1s completo del mundo. El Reglamento General de Protecci\u00f3n de Datos (RGPD)<\/a> promulgado en 2018 sirve como marco legal para la protecci\u00f3n de datos y la privacidad para cada estado miembro.<\/p>\n Esta compleja legislaci\u00f3n tambi\u00e9n afecta a cualquier empresa que comercie con la UE y conlleva fuertes multas y sanciones para garantizar su cumplimiento. El RGPD est\u00e1 dise\u00f1ado para proteger los datos sensibles de los ciudadanos de la UE y darles m\u00e1s control sobre c\u00f3mo se accede a ellos y se utilizan. Los requisitos incluyen el control de las transferencias internacionales de datos y el derecho de los ciudadanos a la supresi\u00f3n de datos.<\/p>\n Exploraremos el GDPR con m\u00e1s detalle en la siguiente secci\u00f3n.<\/p>\n Art\u00edculo 5(1)(a) del GDPR:<\/a> \u00abLos datos personales se tratar\u00e1n de forma l\u00edcita, leal y transparente en relaci\u00f3n con el interesado (\u00ablicitud, lealtad, transparencia\u00bb)\u00bb<\/p>\n Especifica que las organizaciones deben garantizar que sus m\u00e9todos de recopilaci\u00f3n de datos no comprometen la ley y que el uso que hacen de los datos es transparente para las personas cuyos datos se recopilan.<\/p>\n Art\u00edculo 5(1)(b) del GDPR: \u00abLos datos personales se recoger\u00e1n con fines determinados, expl\u00edcitos y leg\u00edtimos y no se tratar\u00e1n posteriormente de forma incompatible con dichos fines; el tratamiento posterior con fines de archivo en inter\u00e9s p\u00fablico, fines de investigaci\u00f3n cient\u00edfica o hist\u00f3rica o fines estad\u00edsticos no se considerar\u00e1 incompatible con los fines iniciales\u00bb<\/p>\n Establece que las organizaciones s\u00f3lo deben recoger datos personales para un prop\u00f3sito definido y declarado. Deben definir cu\u00e1l es el prop\u00f3sito y el objetivo, y s\u00f3lo recoger los datos durante el tiempo que necesiten para lograr estos fines.<\/p>\n La recopilaci\u00f3n y el tratamiento de datos que se realizan con fines de investigaci\u00f3n hist\u00f3rica, cient\u00edfica o estad\u00edstica, o por razones de inter\u00e9s p\u00fablico, gozan de mayor libertad.<\/p>\n Art\u00edculo 5(1)(c): \u00abLos datos personales ser\u00e1n adecuados, pertinentes y limitados a lo necesario en relaci\u00f3n con los fines para los que se tratan (minimizaci\u00f3n de datos).\u00bb<\/p>\n Las organizaciones s\u00f3lo deben conservar la menor cantidad de datos necesaria para sus necesidades. No est\u00e1 permitido recopilar datos \u00abextra\u00bb con la esperanza de que sean \u00fatiles m\u00e1s adelante.<\/p>\n Art\u00edculo 5(1)(d): \u00abLos datos personales ser\u00e1n exactos y, en caso necesario, se mantendr\u00e1n actualizados; se adoptar\u00e1n todas las medidas razonables para garantizar que los datos personales que sean inexactos, habida cuenta de los fines para los que se tratan, se supriman o rectifiquen sin demora (\u00abexactitud\u00bb)\u00bb<\/p>\n Los datos personales recogidos deben ser adecuados para la finalidad declarada, as\u00ed como precisos y actualizados. La informaci\u00f3n personal identificable debe ser revisada regularmente, y la informaci\u00f3n inexacta debe ser corregida o eliminada.<\/p>\n Art\u00edculo 5(1)(e): \u00abLos datos personales se conservar\u00e1n en una forma que permita la identificaci\u00f3n de los interesados durante un per\u00edodo no superior al necesario para los fines para los que se tratan los datos personales; los datos personales podr\u00e1n conservarse durante per\u00edodos m\u00e1s largos en la medida en que los datos personales se traten \u00fanicamente con fines de archivo en inter\u00e9s p\u00fablico, fines de investigaci\u00f3n cient\u00edfica o hist\u00f3rica o fines estad\u00edsticos, siempre que se apliquen las medidas t\u00e9cnicas y organizativas adecuadas exigidas por el RGPD para salvaguardar los derechos y las libertades de las personas (\u00ablimitaci\u00f3n del almacenamiento\u00bb)\u00bb<\/p>\n Una vez cumplido el objetivo de la recogida de datos, \u00e9stos deben ser eliminados. Si hay una raz\u00f3n aceptable para conservar la informaci\u00f3n, por ejemplo que pueda utilizarse para el inter\u00e9s p\u00fablico o la investigaci\u00f3n hist\u00f3rica, la organizaci\u00f3n debe establecer y justificar un periodo de conservaci\u00f3n.<\/p>\n Art\u00edculo 5(1)(f): \u00abLos datos personales se tratar\u00e1n de forma que se garantice una seguridad adecuada de los mismos, incluida la protecci\u00f3n contra el tratamiento no autorizado o il\u00edcito y contra la p\u00e9rdida, destrucci\u00f3n o da\u00f1o accidentales, utilizando las medidas t\u00e9cnicas u organizativas adecuadas (\u00abintegridad y confidencialidad\u00bb).\u00bb<\/p>\n Toda la informaci\u00f3n que se conserve debe guardarse de forma segura. Tu organizaci\u00f3n debe asegurarse de que se establecen las medidas de protecci\u00f3n de datos adecuadas para salvaguardar la informaci\u00f3n personal. El compromiso con la ciberseguridad es esencial.<\/p>\n Art\u00edculo 5(2): \u00abEl controlador ser\u00e1 responsable y podr\u00e1 demostrar el cumplimiento de [the other data protection principles]\u00bb<\/p>\n Esto significa que las organizaciones deben responsabilizarse de los datos que conservan y demostrar el cumplimiento de todos los dem\u00e1s principios. Las organizaciones deben ser capaces de documentar y demostrar su adhesi\u00f3n a estas pr\u00e1cticas.<\/p>\n Esto puede implicar:<\/p>\n Mantenerse al d\u00eda sobre las pr\u00e1cticas de protecci\u00f3n de datos<\/p>\n Creaci\u00f3n de un puesto de responsable<\/a> de la protecci\u00f3n de datos (DPO) o de un responsable del cumplimiento de la normativa<\/p>\n Establecer un inventario de datos personales<\/p>\n Realizaci\u00f3n de evaluaciones de impacto de la protecci\u00f3n de datos y auditor\u00edas de ciberseguridad<\/p>\n Funciones como Ninja Data Protection<\/a> est\u00e1n dise\u00f1adas para ayudar a las organizaciones y a los proveedores de TI a abordar las complejidades de la normativa de protecci\u00f3n de datos.<\/p>\n\n
\u00bfQu\u00e9 es la protecci\u00f3n de datos?<\/h2>\n
El primer principio de la protecci\u00f3n de datos<\/strong><\/h3>\n
Principios de protecci\u00f3n de datos en Estados Unidos<\/strong><\/h2>\n
HIPAA<\/strong><\/h3>\n
FCRA<\/strong><\/h3>\n
GLBA<\/strong><\/h3>\n
COPPA<\/strong><\/h3>\n
FERPA<\/strong><\/h3>\n
TCPA<\/strong><\/h3>\n
Ley de privacidad<\/strong><\/h3>\n
Principios de protecci\u00f3n de datos en Canad\u00e1<\/strong><\/h2>\n
\n
Principios de protecci\u00f3n de datos en la Uni\u00f3n Europea<\/strong><\/h2>\n
Los 7 principios de la protecci\u00f3n de datos (GDPR)<\/strong><\/h2>\n
\n
Legalidad, equidad y transparencia<\/h3>\n<\/li>\n<\/ol>\n
\n
Limitaci\u00f3n de la finalidad<\/h3>\n<\/li>\n<\/ol>\n
\n
Minimizaci\u00f3n de datos<\/h3>\n<\/li>\n<\/ol>\n
\n
Precisi\u00f3n<\/h3>\n<\/li>\n<\/ol>\n
\n
Limitaciones de almacenamiento<\/h3>\n<\/li>\n<\/ol>\n
\n
Integridad y confidencialidad<\/h3>\n<\/li>\n<\/ol>\n
\n
Rendici\u00f3n de cuentas<\/h3>\n<\/li>\n<\/ol>\n
NinjaOne y la protecci\u00f3n de datos<\/strong><\/h2>\n
\n