El peligro latente de compartir nuestros datos personales sin verificar su utilización.
por: Gigi Agassini, CPP*
Si nos detenemos un momento a pensar la cantidad de información que generamos, administramos, compartimos, guardamos y usamos, probablemente coincidirás en que no se compara con la que destruimos. Con el avance de la tecnología hemos incrementado más el uso de aplicaciones, de dispositivos electrónicos como celulares, tabletas, bocinas, asistentes digitales, y la lista solo crece y la noticia es que seguirá en aumento.
Lo hablamos en el artículo anterior, donde te compartía que existe un mundo físico y uno digital que interactúan entre sí, haciendo uno solo, y aunque convergen, se cuidan de manera diferente. Siguiendo este mismo principio hablar de seguridad de la información o privacidad en el mundo digital puede sonar un poco “abstracto”, pues preferimos renunciar a ellos cada que queremos comprar algo por la red, usar una red de wi-fi “gratuita” o pública, instalar alguna aplicación de interés, algún juego novedoso que encontramos, entre muchas acciones que hoy hacemos de manera “normal” sin detenernos un momento a pensar en la seguridad de nuestros datos al momento de compartirlos.
Lo anterior nos lleva a ser mucho más relajados en los procesos de gestión para asegurar la información y no poner los controles adecuados según su tipo; comencemos justo ahí, es verdad que la infinidad de datos y de información es tanta que no sabemos por dónde comenzar o, mejor aún, cómo identificarla, ordenarla y clasificarla.
No perdamos de vista que la información es un activo, de los más importantes, que puede ser tangible o intangible; el medio de transmisión, el lugar de almacenamiento y el acceso a la misma es igualmente importante, por lo que la identificación y clasificación es un buen punto de partida.
ISO2700 en la gestión de seguridad de la información
Para ayudar con esta tarea tenemos el ISO 27001, este estándar es el más conocido para el sistema de gestión de seguridad de la información, sin embargo, no es el único, las mejores prácticas adicionales en protección de datos y resistencia cibernética están cubiertas por varios estándares de la familia ISO 27000. De esta manera las organizaciones de todos los sectores y de cualquier tamaño podrán gestionar la seguridad de los activos de la información como por ejemplo financiera, propiedad intelectual, datos de empleados, información de terceros por mencionar algunos.
Realizar una buena gestión de la información requiere conocer a la perfección qué tipo de información tenemos y el responsable de esta, así como su clasificación en los diferentes formatos y medios en que se tiene, como puede ser documentos electrónicos, bases de datos, documentos en papel, correos electrónicos, medios de almacenamiento o información verbal.
Con lo anterior deberíamos poder clasificarla, esto dependerá principalmente de cada empresa, y es lo que nos indica la ISO 27001: “Que la información deberá ser clasificada de acuerdo con la seguridad de la información de las necesidades de la organización basadas en la confidencialidad, integridad y disponibilidad, así como los requisitos de las partes interesadas”.
Hablemos del sistema típico de clasificación que normalmente incluye cuatro niveles: confidencial, restringido, interno y público. Es importante recalcar que esto depende, sin lugar a duda, de la organización, su estrategia y “governance”, así como del apetito de riesgo, visión, objetivo y misión. No olvidemos que el propietario del activo es quien se encarga de realizar la clasificación de la información.
Es importante “etiquetar” la información una vez que fue clasificada y asignar los accesos correctos a las personas autorizadas, así como los privilegios de cada uno para el manejo de esta. Hacer un manejo y tratamiento seguro de la información clasificada es de suma importancia, ya que con esto podremos gestionar el riesgo de que pierda cualquiera de los atributos con los que debe cumplir la información: confidencialidad, integridad y disponibilidad.
Después de este pequeño análisis sobre cómo podríamos clasificar la información estoy segura de que tienes más bases para mirar dentro de tu empresa u organización y hacer algunas preguntas y los ajustes que el mismo ISO nos marca como mejora continua.
Probablemente algunos de ustedes ya tienen implementado el ISO 27001 y otros de la familia principal, otros probablemente están implementando el estándar y otros están aún pensando en si lo implementan o no. Lo importante es que seamos más conscientes de que tipo de información es la que estamos generando, compartiendo, usando o almacenando y poder gestionar los riesgos que están alrededor de ella.
Los datos personales
Pero aún están “los otros datos”, ¡sí! Aquellos que todos usamos, pero que nadie tiene la precaución de cuidarlos y de protegerlos adecuadamente, pero… ¿cuáles son esos otros datos? Pues nada más y nada menos que “los datos personales”, estos son información que se relacionan con un individuo identificado o identificable, pero ¿qué exactamente son esos datos? Bueno, puede ser tan simple como un nombre, un número, una dirección o puede incluir otros identificadores, otros factores, incluso tu dirección IP es un dato personal. Si es posible identificar a una persona directamente a partir de la información que se está procesando, entonces esa información puede ser información personal.
El artículo cuatro del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) en su párrafo primero define:
“<<datos personales>> toda información sobre una persona física identificada o identificable… directa o indirectamente, en particular mediante un identificador como por ejemplo nombre, datos de localización...”
La protección de datos personales y privacidad requiere por diseño un entendimiento y estructura para poder identificar principalmente el motivo por el cual queremos esos datos y cómo vamos a tratarlos, etc. Lo que nos lleva a identificar los roles con relación al proceso de los datos personales y asegurar el cumplimiento normativo para el tratamiento de estos.
Es importante conocer cuál es la legislación de nuestro país/ciudad que aplica y por supuesto también el giro del negocio no es lo mismo una dependencia que trata datos médicos, que un supermercado o un banco, por eso es importante identificar todas estas variables.
Todo el tiempo estamos de alguna manera proporcionando nuestra información personal, si queremos hacer un trámite en el mundo físico, debemos llenar un sinfín de documentos o formatos, si queremos saber el saldo de nuestra cuenta bancaria en ventanilla, tenemos que proporcionar datos personales y no es diferente en el mundo digital, el punto es que siempre estamos compartiendo nuestros datos, la cantidad de estos dependerá de lo que estamos haciendo pero hasta para recibir un reporte o inscribirte a un medio de comunicación, debes compartir tus datos personales y si lo piensas bien, es abrumador la cantidad de veces que lo hacemos diariamente, pero hoy se ha vuelto una actividad tan común, que la hemos normalizado.
¿Recuerdas que te mencioné que había varios roles en lo que respecta a la protección de datos personales? Es muy importante comprender cuáles son y su función con relación a los datos personales que se están procesando para garantizar el cumplimiento normativo.
Comencemos con el “interesado” que es la persona que proporciona los datos, existe también el controlador y el procesador. Lo más importante aquí es preguntarse: ¿quién determina los fines para los que se procesan los datos y los medios de procesamiento?
Los controladores son los principales responsables en la toma de estas decisiones, ejercen control general sobre los propósitos y medios del procesamiento de datos personales y son los que tienen el mayor peso del cumplimiento normativo. Si dos o más controladores determinan conjuntamente los fines y medios del procesamiento de los mismos datos personales entonces son controladores conjuntos. Mientras que los procesadores son los encargados del tratamiento de los datos y actúan en nombre de y únicamente siguiendo las instrucciones del responsable del tratamiento correspondiente.
Como puedes ver, tus datos personales tienen toda una implicación detrás, por eso es sumamente importante que seamos conscientes en el momento antes de solo hacer un “check” en la política de privacidad, pues es ahí donde nos informan que datos son los que se quedarán, cómo los procesarán y manejarán y si serán compartidos con terceros, por mencionar algunos puntos; cada usuario tiene la responsabilidad de leerla para asegurarse de que no hay alguna violación a nuestra privacidad y si, imagino que es lo que estás pensando, seguramente dirás que “tú no tienes nada que esconder”, pues solo te invito a reflexionar lo siguiente: ¿Qué harías si amaneces con tu correo electrónico o fotografías en la red? O ¿Qué tal si eres una de las víctimas de robo de identidad y te dejan con deudas millonarias impagables y eso mancha tu historial de crédito?
Por supuesto que hay mucho más detrás del tratamiento de los datos personales y el manejo de estos, es importante al menos comprender los básicos y poderlos identificar para desarrollar consciencia en ello, los únicos responsables de cuidar nuestros datos personales, somos nosotros mismos.
No olvides que el derecho a la intimidad es un derecho humano.
¡Hasta la próxima!
* Gigi Agassini, CPP
Consultora Internacional de Seguridad
GA Advisory
[email protected]
Deje su comentario