Snowden y el llamado a la protección de datos personales

Antes del auge tecnológico, obtener o recabar información de otras personas no era tan sencillo, puesto que incluso se debía buscar al titular para obtener sus datos.

Ahora basta con que las personas tengan acceso a internet para recabar todos sus datos personales disponibles, desde su nombre hasta datos personales sensibles como cuentas bancarias y métodos de acceso. Esta vulnerabilidad ante la tecnología provocó que surgieran leyes que regularan la recaudación y manejo de datos personales, sin embargo, no garantizaban protección, ya que una violación a la privacidad podía quedar impune.

En 2013, Edward Snowden hizo una llamada de atención a la protección de la privacidad, dando a conocer pruebas de que la NSA realizaba labores de espionaje a diversos países, interviniendo llamadas, correos electrónicos y usando software que recaudaba información de manera secreta. La intención de Snowden, como él mismo mencionara, no era ser el centro de atención, sino sacar a la luz lo que el gobierno estaba haciendo.

Efectivamente, después de esta revelación, comenzó la preocupación de poder ser espiado, así como una serie de acciones para tratar de impedirlo, por ejemplo, disminuyó el número de búsquedas en el buscador más conocido, mientras que se incrementó el uso de motores de búsqueda que no almacenan “cookies” ni comparten la IP del usuario.

Además de las acciones individuales para proteger la privacidad, empezó a debatirse la creación de nuevas leyes que realmente protegieran los datos personales, sancionando severamente a quienes violen el derecho a la privacidad que cada individuo posee.

Una de las propuestas que más impacto tuvo a nivel mundial, fue el Reglamento General de Protección de Datos, que fue aceptada en 2016 y que entró en vigor en mayo de 2018. Este reglamento contempla la protección a la privacidad desde el diseño de un sistema, protección a menores, consentimiento explícito del titular y mayor control a los individuos sobre sus datos.

En México también existen leyes para la protección de datos personales, tales como la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

Este caso no solo les concierne a los individuos, sino también a empresas, ya que las organizaciones fueron blanco principal de la NSA, además de que hasta la fecha también han sido víctimas de ataques cibernéticos como Ransomware, por lo que deben estar protegidas y cuidar la información que tienen a su resguardo, así como apegarse a las normas y leyes correspondientes para evitar ser sancionados.

Actualmente, gracias a las diferentes herramientas tecnológicas y la ingeniería social, se ha vuelto más sencillo el robo y filtración de datos personales sensibles que tienen el potencial de afectar de manera negativa los derechos y libertados de las personas, por lo cual creemos que las organizaciones deben tomar medidas para mitigar los riesgos y así cumplir con la regulación establecida en GDPR y otras leyes similares de protección de datos.

 

Atalait propone a las organizaciones:

  • Contar con un plan de continuidad de negocio y un plan de recuperación tecnológica.
  • Definir qué tipos de incidentes pueden presentarse en torno a la seguridad de la información.
  • Escribir un escenario de cómo impactarían estos incidentes.
  • Escribir un escenario de respuesta a posibles incidentes.
  • Tener un buen respaldo actualizado.
  • Realizar una evaluación del impacto de la privacidad (PIA).
  • Asegurarse de proteger los derechos del interesado.
  • Análisis de Impacto al Negocio (BIA).
  • Incluir el impacto en la empresa de perder información privada.

 

Realizar PIAs de los sistemas de privacidad

  • Sistemas con datos personales.

 

Plan de respuesta a brechas

  • Conocer las leyes en protección de datos que debe cumplir tu empresa.
  • Considerar el presupuesto en caso de una infracción.
  • Revisar contratos y saber qué estados (y regulaciones) requieren informes y cuándo.
  • Realizar pruebas y mejoras continuas.

 

Te recomendamos leer nuestro artículo “Riesgos informáticos en una empresa” y te invitamos a conocer más sobre protección de datos personales, descargando nuestro reporte especial sobre la protección de datos personales.

 

Quizás te pueda interesar:

GDPR y la Continuidad de Negocio

El impacto de las normas de protección de datos sobre DR

No Comments

Post A Comment