Guía de Protección de Datos y Privacidad de la Información

Mejore la postura de seguridad de su organización

Reserve una demostración

oficina,edificio.,rascacielos.,exterior,de,edificio

¿Qué es la protección de datos y la privacidad de la información?

La protección de datos salvaguarda la privacidad, disponibilidad e integridad de sus datos mediante la adopción de diversas estrategias y procesos de protección de datos.

La privacidad es crucial para establecer una buena relación entre personas y organizaciones, pero en realidad se trata de salvaguardar los derechos fundamentales. Una buena estrategia puede ayudar a prevenir la pérdida, el robo o la corrupción de datos y minimizar los daños si se produce una filtración o un desastre. Una organización que maneja, almacena o recopila datos confidenciales debe desarrollar una estrategia de protección de datos.

La protección de datos debe considerarse en la fase de diseño de cualquier sistema, servicio, producto o proceso y durante toda su vida útil.

Diferentes tipos de información

La información personal se puede dividir en varias categorías, todas las cuales pueden generar problemas de privacidad. Estos son:

  • Televisión

    • Se refiere a controlar quién puede ver y recopilar la información personal. Por ejemplo, un tercero puede averiguar qué programas de TV IP ve alguien mediante el seguimiento de su uso de Internet.
  • Viaje

    • Información como las calificaciones educativas de una persona cuenta como información personal que podría afectar su situación laboral.
  • Finanzas

    • Las cuentas financieras, como los saldos de cuentas, las tenencias de acciones o fondos, las deudas pendientes y las compras, pueden ser información confidencial sobre una persona. Los delincuentes pueden obtener acceso a esta información y utilizarlo para cometer robo de identidad o fraude.
  • Internet

    • Hay dos cuestiones destacadas con respecto a la privacidad en Internet: si terceros pueden acceder y leer el correo electrónico de alguien sin su consentimiento o si pueden continuar rastreando los sitios web que alguien ha visitado.
  • Localización

    • El seguimiento de la movilidad de una persona puede revelar una amplia gama de información profesional y personal, incluido si la persona es un paciente médico, se ha sometido recientemente a una cirugía, tiene una discapacidad, utiliza una silla de ruedas o ha visitado recientemente un consultorio o entorno profesional, entre muchos más. .
  • Atención Médica

    • La información contenida en los registros médicos de una persona puede ser sensible y confidencial, y es posible que las personas deseen mantenerla en privado. Por ejemplo, les puede preocupar que la información afecte su seguro médico o su capacidad para encontrar empleo.
  • Político

    • Información como las creencias políticas de una persona cuentan como información personal que podría afectar su situación laboral si está disponible.
Saltar al tema
Simple. Seguro. Sostenible.

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

Principios de Protección de Datos

Fundamentalmente, los principios de protección de datos ayudan a las organizaciones a proteger los datos y a ponerlos a disposición del individuo bajo cualquier circunstancia. La protección de datos se refiere tanto a las operaciones de respaldo de datos como a la continuidad del negocio/recuperación ante desastres (BCDR), como por ejemplo:

  • Gestión del ciclo de vida de los datos – Esto implica mover datos críticos al almacenamiento en línea y fuera de línea a través de un proceso de automatización.
  • Gestión del ciclo de vida de la información – Los ataques de malware y virus, las fallas de las máquinas o las interrupciones de las instalaciones y los errores de los usuarios y las aplicaciones son amenazas a los activos de información de una organización. Estos Los activos pueden ser protegidos. a través de la gestión del ciclo de vida de la información, una estrategia integral que incluye valorar, catalogar y salvaguardar la información.

¿Qué son los datos personales?

Se hace referencia a datos personales como cualquier información que pueda relacionarse con un individuo vivo identificable o identificado. Se puede identificar a una persona reuniendo varios fragmentos de información que, una vez recopilados en conjunto, constituyen datos personales.

Algunos ejemplos de datos personales incluyen; nombres y apellidos, direcciones, una dirección de correo electrónico identificable (esto podría ser nombre.apellido@empresa.com), datos de ubicación e IP (protocolo de Internet) habla a.

Las organizaciones suelen depender de datos personales para las actividades diarias.

El ICO afirma que:

“Por sí solo, el nombre John Smith puede no ser siempre un dato personal porque hay muchas personas con ese nombre. Sin embargo, cuando el nombre se combina con otra información (como una dirección, un lugar de trabajo o un número de teléfono), esto normalmente será suficiente para identificar claramente a una persona”.

La ICO también señala que los nombres no son necesariamente la única información necesaria para identificar a un individuo:

“El simple hecho de que no sepas el nombre de una persona no significa que no puedas identificarla. Muchos de nosotros no sabemos los nombres de todos nuestros vecinos, pero aun así podemos identificarlos”.

¿Qué es la privacidad de datos?

La privacidad de los datos se refiere a cómo se deben recopilar o manejar los datos sensibles e importantes. Información de salud personal (PHI) y Información de identificación personal (PII) son dos ejemplos de datos sujetos a leyes de privacidad de datos. Esta categoría incluye información financiera, registros médicos, números de seguro social o de identificación, nombres, fechas de nacimiento e información de contacto.

Los datos confidenciales solo deben ser accesibles para partes autorizadas, por lo que la privacidad de los datos ayuda a garantizar que los delincuentes no puedan utilizar los datos de forma maliciosa y garantiza que las organizaciones cumplan con los requisitos reglamentarios.

La mayoría de los usuarios en línea quieren controlar o impedir ciertos tipos de recopilación de datos personales, del mismo modo que alguien podría querer excluir a personas de una conversación privada.

Las empresas deben hacer de la privacidad de los datos una máxima prioridad. El incumplimiento de las normas de privacidad de datos puede provocar pérdidas importantes. Piense en demandas, sanciones financieras importantes y daños a la marca.

Ver ISMS.online
en acción

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Con la confianza de empresas de todo el mundo
  • Simple y fácil de usar
  • Diseñado para el éxito de ISO 27001
  • Te ahorra tiempo y dinero
Reserva tu demostración
img

¿Qué es el procesamiento de datos?

Todo lo que hagas con datos se considera procesamiento; recogerlo, almacenarlo, registrarlo, analizarlo, combinarlo, divulgarlo o eliminarlo, entre otras cosas.

Cualquier operación sobre datos se denomina procesamiento de datos. Dado que los datos sin procesar no están listos para análisis, inteligencia empresarial, informes o aprendizaje automático, deben agregarse, modificarse, enriquecerse, filtrarse y limpiarse.

Las organizaciones necesitan procesar datos para crear mejores estrategias comerciales y mejorar su ventaja competitiva.

¿Qué es un controlador de datos?

El "por qué" y el "cómo" se procesan los datos personales está determinado por el controlador de datos. En última instancia, los responsables del tratamiento de datos son quienes toman las decisiones clave para determinar el motivo y el propósito de la recopilación de datos y el método y medio para cualquier procesamiento de datos.

Los responsables del tratamiento de datos podrían ser:

  • Se incluye cualquier empresa privada u otra entidad jurídica, incluida una asociación constituida, una sociedad constituida o una autoridad pública.

  • Una persona que trabaja por su cuenta, como un socio de una empresa no constituida en sociedad, un empresario solitario o cualquier profesional independiente.

¿Qué es un procesador de datos?

Un procesador de datos es una persona, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador.

A procesador de datos actúa en nombre del responsable del tratamiento y bajo su autoridad. Al hacerlo, sirven a los intereses del controlador y no a los suyos propios.

En determinadas situaciones, una entidad puede ser un controlador de datos, un procesador de datos o ambos.

Se consideran procesadores de datos las máquinas que procesan datos, como calculadoras u ordenadores. Los proveedores de servicios en la nube ahora también se clasifican como procesadores de datos. Un procesador de datos externo no posee ni controla los datos que procesa. Los datos no pueden modificarse para cambiar la finalidad para la que se utilizan. Si estás procesando datos personales, serás un procesador de datos.

¿Qué es un interesado?

Una persona que es objeto de determinados datos personales se denomina interesado o interesados.

¿Qué necesita hacer su organización?

No hay Solución única que funciona para todas las empresas.. Las normas de protección de datos no establecen muchas reglas estrictas; en cambio, adoptan un enfoque basado en el riesgo y se adhieren a algunos principios clave. Es versátil y puede utilizarse en una variedad de organizaciones y situaciones; por lo tanto, no inhibe los enfoques innovadores.

Sin embargo, esta flexibilidad significa que usted debe considerar (y ser responsable) cómo utiliza la información personal. A menudo existen múltiples enfoques para cumplir con sus obligaciones, dependiendo exactamente de por qué y cómo utiliza los datos.

Puede determinar qué respuestas son mejores para su organización, pero debe poder justificarlas. El principio de responsabilidad de la ley de protección de datos es un aspecto crítico.

Descubre nuestra plataforma

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Somos rentables y rápidos

Descubra cómo eso aumentará su ROI
Obtenga su cotización

¿Qué es la Ley de Protección de Datos de 2018?

Las organizaciones, las empresas y el gobierno deben cumplir con los Ley de Protección de Datos 2018 al manejar información personal. La Ley de Protección de Datos de 2018 reemplazó y actualizó la Ley de Protección de Datos de 1998 y entró en vigor el 25 de mayo de 2018.

La DPA es la consagración por parte del Reino Unido del Reglamento general de protección de datos (más información sobre el RGPD en el artículo siguiente) en la legislación del Reino Unido. En pocas palabras:

  • La Ley de Protección de Datos es ley.

  • GDPR es una regulación que cada país interpreta y consagra dentro de sus propias leyes.

Reglas estrictas llamadas 'los principios de protección de datos' rigen cómo se utiliza la información personal. Quienes participan en la recopilación y el uso de datos deben cumplir con las siguientes reglas estrictas:

  • Utilizado de manera justa, legal y transparente.

  • Se utiliza para fines especificados y explícitos.

  • Utilizado de manera adecuada, pertinente y limitado a los requeridos.

  • Es vital mantener la información precisa y actualizada, cuando sea necesario.

  • Se conserva no más tiempo del necesario.

  • Protegido contra procesamiento, destrucción, acceso, pérdida o daño ilegal o no autorizado, y procesado de una manera que garantice la seguridad adecuada.

Cuanto más sensible es la información, más protección legal hay. Esta información será; raza, etnia, creencias políticas, creencias religiosas, afiliación a un sindicato, genética, biometría para identificación, estado de salud y orientación sexual.

¿Qué es el Reglamento General de Protección de Datos?

La Reglamento General de Protección de Datos (GDPR) es la regulación de privacidad y seguridad de datos más estricta del mundo. Aunque fue desarrollado y aprobado por la Unión Europea (UE), las organizaciones de todo el mundo deben cumplirlo si recopilan o utilizan datos sobre residentes de la UE.

El RGPD entró en vigor el 25 de mayo de 2018. Aquellos que no cumplan con los estándares de privacidad y seguridad establecidos por el RGPD podrían enfrentar multas importantes.

El GDPR reemplaza la Directiva de Protección de Datos de la UE de 1995. Según la nueva directiva, las empresas deben ser más transparentes y brindar a los interesados ​​mayores protecciones de privacidad. Cuando se haya producido una filtración de datos grave, la empresa deberá notificarlo a todas las partes afectadas y a la autoridad de control en el plazo de 72 horas.

¿Qué es el RGPD del Reino Unido?

Aunque el RGPD está consagrado en la legislación del Reino Unido como DPA desde que se separó de la UE, el RGPD del Reino Unido y el RGPD de la UE son regulaciones separadas y distintas. Si bien las regulaciones son actualmente idénticas, desde el Brexit, el Reino Unido es libre de modificar la regulación UK-GDPR según lo considere necesario el Parlamento.

Un controlador o procesador con sede fuera del Reino Unido debe cumplir con el RGPD del Reino Unido si su procesamiento se relaciona con personas en el Reino Unido.

ISO 27701 y RGPD

ISO 27701 es una extensión de ISO 27001 (más sobre esto a continuación), la última actualización de los estándares internacionales de privacidad y gestión de la información.

El propósito tanto del GDPR como de la ISO 27701 es establecer estándares éticos de privacidad de datos para proteger a los consumidores. Trabajan juntos y se complementan para lograr los mismos objetivos.

A continuación se muestra un resumen de lo que tienen en común:

Mira cómo podemos ayudarte

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

No se nos ocurre ninguna empresa cuyo servicio pueda compararse con ISMS.online.
Vivian Corona
Implementador líder de ISO 27001, 27701 y GDPR Aperian Global
El 100% de nuestros usuarios aprueban la certificación a la primera
Reserva tu demostración

Otras leyes y leyes de protección de datos y ley de privacidad de la información

En la siguiente tabla se encuentran varias leyes de protección de datos y datos de todo el mundo.

leyesÁrea de Jurisdicción
Ley General de Protección de Datos Personales (También conocida como LGPD y Lei Geral de Proteção de Dados Pessoais)Brasil
Ley de Privacidad del Consumidor de California (CCPA)California.
Acto privadoUbicación: Canadá
Ley de privacidad 1988Australia
Proyecto de Ley de Protección de Datos Personales 2019India
Ley de seguridad cibernética de China (CCSL)China
Ley de Protección de Datos Personales (PIPL)China
Ley de protección de datos, 2012Ghana
Ley de protección de datos personales de 2012Singapur
Ley de la República No. 10173: Ley de privacidad de datos de 2012Filipinas
La Ley Federal Rusa sobre Datos Personales (Nº 152-FZ)Rusia
Ley de Protección de Datos Personales (PDPL)Baréin

¿Cómo funcionan la protección de datos y la privacidad de la información junto con la seguridad de la información?

El artículo 32 del RGPD establece lo que se requiere cuando se trata de garantizar la seguridad de datos personales procesar.

El reglamento exige que usted tome "medidas técnicas y organizativas apropiadas para abordar los riesgos que enfrenta". También describe algunas de las medidas típicas a este respecto, entre ellas:

  • Seudonimización y cifrado de datos personales

    • Si los datos caen en manos equivocadas, no podrán explotarse.
  • Confidencialidad, integridad, disponibilidad y resiliencia

    • Dirigido a sus sistemas y servicios.
  • Restauración de datos

    • Incluiría el desarrollo de herramientas y procedimientos para restaurar datos personales si se produce una violación de la seguridad (la copia de seguridad de los sistemas sería un aspecto de esto).

ISO 27001 y Protección de Datos

ISO 27001 también cubre estos aspectos. debes realizar evaluaciones de riesgos exhaustivas para identificar los peligros que enfrenta su empresa. Eso es exactamente lo que necesita considerar como medidas de seguridad "apropiadas" según el RGPD.

Establece estándares sobre cuándo y cómo poner en funcionamiento el cifrado de datos, así como para garantizar la confidencialidad y disponibilidad de sus datos. También define lo que se requiere en términos de “Gestión de la continuidad del negocio” cubriendo así el requisito del RGPD de implementar medidas de restauración y disponibilidad de datos.

Si cumplir y mantener el cumplimiento de la norma ISO 27001, tendrá cubiertos de manera efectiva los requisitos de seguridad del procesamiento de datos del RGPD, gracias a las pruebas de estrés y a la capacitación del personal.

Cómo ayuda ISMS.online con la protección de datos

Ya sea que recién esté comenzando a analizar la privacidad de los datos o sea un experto que busque combinar múltiples regulaciones y estándares, nuestras funciones son fáciles de utilizar. Llegarás a donde quieres estar de inmediato.

NUESTRO solución PIMS simplifica el mapeo de datos. Es sencillo registrarlo y revisarlo todo y agregar los detalles de su organización a nuestra herramienta dinámica preconfigurada de Registros de actividad de procesamiento.

Una efectiva PIMS requiere gestionar el riesgo. Para ayudar en cada fase de evaluación y gestión de riesgos, hemos creado un banco de riesgos integrado y otras herramientas prácticas.

Ya sea que esté trabajando en estándares o regulaciones de privacidad de datos, debe demostrar su capacidad para manejar las solicitudes de derechos de los interesados ​​(RRD). Nuestro espacio seguro de RRD mantiene todo en un solo lugar, ayudándole a informar y obtener información automáticamente.

Descubre más por reservar una demostración práctica.

Vea nuestra plataforma
en acción

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Método de resultados asegurados
100% de éxito en ISO 27001

Su camino sencillo, práctico y que le ahorrará tiempo para lograr por primera vez el cumplimiento o la certificación ISO 27001

Reserva tu demostración

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más