¿Qué son datos sensibles? La gran preocupación de la era de la información

Publicado el 19 de diciembre de 2019. Actualizado el 14 de octubre de 2021.

El uso masivo de las tecnologías de la información ha creado una nueva sociedad ampliamente conectada con la internet. En este nuevo contexto, hay una gran preocupación con la privacidad y protección de los datos sensibles.

Esto ocurre, dado que la manera en que las personas interactúan, trabajan, buscan información, se divierten y realizan transacciones comerciales ha cambiado.

La realidad digital tiene dos consecuencias importantes: si bien genera muchos beneficios para los usuarios de los recursos tecnológicos disponibles, requiere una atención especial a los datos confidenciales.

Sin embargo, esta preocupación es muy importante y demanda nuevas preguntas:

  • ¿Qué son los datos sensibles?
  • ¿Qué tienen que ver con la navegación web?
  • ¿Por qué necesito estar consciente de su uso?

Esto es precisamente lo que abordaremos en este artículo. Además de explicar en qué consiste este concepto, recomendaremos buenas prácticas para fortalecer la seguridad de la información manejada virtualmente y protegerla del uso indebido o golpes.

¿Te interesa el tema? ¡Sigue leyendo hasta el final!

La importancia de la protección de datos

La creación del Reglamento General de Protección de Datos (RGPD) ha llevado al desarrollo de leyes específicas sobre el uso de datos, tanto dentro como fuera del entorno virtual.

Esto, debido a que las nuevas tecnologías de la información, permiten recolectar y tratar una cantidad masiva de información sobre los usuarios, de manera casi ilimitada.

De hecho, esta es una preocupación global que ha originado que distintos países hayan creado sus propios reglamentos, algunos inspirados por el caso europeo.

La creación de leyes en esta materia tiene como objetivo la protección de los datos personales en posesión de particulares, asegurando los siguientes propósitos:

  • Regular el tratamiento legítimo, controlado e informado de los datos.
  • Garantizar la privacidad y el derecho a la autodeterminación.
  • Garantizar los derechos y permitir su ejercicio, evitando daños a la privacidad e intimidad de los titulares.
  • Evitar actos de discriminación.

Ahora bien, a continuación entendamos qué tipos de datos existen y cuáles son sus principales características.

¿Qué son los datos sensibles?

Ante todo, debemos comprender dos conceptos que se vinculan: los datos sensibles y los datos personales.

Los datos personales permiten identificar, directa o indirectamente, a una persona en particular. Por ejemplo:

  • Nombre
  • Número de documentos, como CURP
  • Licencia de conducir
  • Pasaporte
  • Número de teléfono
  • Dirección
  • Correo electrónico
  • Dirección IP

Los datos personales se pueden organizar según el orden alfabético, numérico, gráfico, fotográfico o sonoro.

Se asocian a los datos sensibles, ya que se relacionan específicamente con las características de un individuo.

Así pues, los datos sensibles son aquellos que involucran la esfera íntima del titular. Estos pueden incluir:

  • Estado de salud
  • Origen racial o étnico
  • Orientación sexual
  • Afiliación a organizaciones sindicales o políticas
  • Creencias religiosas o filosóficas
  • Aspectos biométricos o genéticos

De no protegerse de manera adecuada, pueden identificar y, por lo tanto, discriminar a la persona.

¿Cómo recaban datos las empresas?

Vale referir que la protección de los datos personales tiene que ver con todo el ciclo tanto de recopilación como del tratamiento de la información.

Involucra el uso, divulgación, almacenamiento y transferencia por cualquier medio, de los datos en cuestión.

Entonces, en el caso de las empresas, hay tres actores principales que tienen que ver con el tratamiento de los datos personales:

  • Titular: la persona a la que se refieren los datos.
  • Responsable del tratamiento: es la entidad que ejerce su poder de decisión sobre cómo será el tratamiento de los datos personales.
  • Encargado del tratamiento: es la entidad que solo o en conjunto con otros individuos, trata los datos personales por cuenta del responsable del tratamiento.

En este sentido, la relación entre el responsable del tratamiento y el encargado del mismo debe estar documentada, lo cual ha de asentarse mediante acuerdos.

¿Cómo se hace la recolección de datos?

Algunas organizaciones hacen la toma de datos directamente de los titulares, y un ejemplo de ello es cuando suministras tu nombre y apellidos, así como el correo electrónico para el registro de un servicio en línea.

En otros casos, los datos son facilitados de forma indirecta. Por ejemplo, cuando logras conseguir la información de un médico mediante una base de datos pública, o en el momento en que los datos personales son transferidos a un tercero.

Lo cierto es que las empresas deben priorizar el cumplimiento de sus responsabilidades relacionadas con la forma en que se recaban y tratan los datos de cada individuo.

En otras palabras, todas las organizaciones, desde las PYMES hasta las grandes corporaciones son responsables de cómo se recaban y tratan los datos.

¿Cómo se encuentra regulado el derecho de protección de datos personales en México?

En México, la privacidad y protección de datos están incorporadas en la Constitución Política, además existe la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

Esta ley regula el tratamiento de datos personales por parte de alguna autoridad, órgano, entidad y organismo perteneciente a los poderes Ejecutivo, Legislativo y Judicial, instituciones autónomas, fideicomisos y fondos públicos e incluso partidos políticos.

Vale referir que fue publicada el 26 de enero de 2017, fecha a partir de la cual entró en vigor en todo el país.

No obstante, cada entidad federativa debería contar con una ley específica que guarde detalles en cuanto a las disposiciones mediante las cuales se regulará el tratamiento de los datos personales en el sector público de su jurisdicción.

Eso sí, cada normativa deberá estar en armonía con la ley general, a fin de que no coliden y puedan aplicarse a la par, dependiendo el caso.

¿Cuáles son los principios básicos de la protección de datos?

Existen principios básicos que, complementados con otras medidas y estándares, deben llevar a cabo las empresas o instituciones privadas que tratan datos personales. Estas reglas ayudan a garantizar un manejo adecuado de la información de los clientes.

Estos principios están contenidos en la antes mencionada Ley Federal de Protección de Datos en Posesión de Particulares, y los detallamos a continuación.

1. Licitud

Los datos personales deben recabarse de manera lícita, es decir, siempre de acuerdo a la ley. Deberán obtenerse mediante medios justos y bajo el conocimiento sujeto implicado.

2. Calidad de datos

Este principio implica que los datos personales deberán exactos, completos, correctos y relevantes a los fines de su uso.

3. Finalidad

Se deberá especificar la finalidad del tratamiento de los datos personales en el aviso de privacidad.

El uso de estos datos estará limitado al alcance de las metas que se han planteado u otros que no sean compatibles con el objetivo original, dejando en claro a cada momento el cambio de objetivo.

4. Consentimiento

Debe obtenerse el consentimiento expreso e informado para la recolección y tratamiento de los datos, y este debe darse en relación con los fines establecidos.

5. Información

Debe informarse al titular de los datos cómo será el tratamiento de la información mediante el aviso de privacidad.

6. Responsabilidad

La entidad responsable por el tratamiento debe responder por el tratamiento de los datos bajo su protección.

Garantiza el compromiso del controlador de datos en el cumplimiento de las medidas que hagan posible cada uno de los principios que han sido señalados con anterioridad.

7. Proporcionalidad

Solo se deben tratar y recabar los datos necesarios, adecuados y pertinentes para el cumplimiento de la finalidad.

8. Lealtad

Los responsables del tratamiento de datos deben priorizar el interés del titular de los datos, garantizando que no sean recabados de formas engañosas o fraudulentas.

Seguridad

Para cumplir con estos principios, es necesario que las entidades establezcan garantías en la seguridad de los datos, con el fin de preservar su integridad para evitar el acceso o uso no autorizado.

Vale referir que los aspectos de seguridad y privacidad nunca son idénticos de un proceso a otro. Por lo que las limitaciones de divulgación y uso de los datos deben ser adecuadas a niveles seguridad según lo requerido.

Entre las medidas de protección más destacadas están:

  • Físicas: se basan en el bloqueo de puertas y el uso de tarjetas de identificación.
  • Organizacionales: tienen que ver con el establecimiento de niveles de autoridad para acceder a los datos.
  • Sistemas informáticos: a través del cifrado y seguimiento de amenazas o actividades inusuales, así como las respuestas que a ellas se les da.

Participación individual

Todo individuo tiene derecho a:

  • Ser comunicado sobre los datos relacionados con su persona en un tiempo razonable; a un costo, si fuera el caso, que no fuese desmedido; de manera intangible y razonable.
  • Conocer por parte del controlador de datos y otras fuentes la confirmación de la existencia en su poder de datos en relación con su persona.
  • Recibir explicación de los motivos por los cuales alguna petición suya haya sido rechazada o denegada.
  • Expresar alguna duda en cuanto a los datos que tienen que ver con su persona y, si el reclamo no tiene eco, exigir y lograr que los datos sean eliminados.

¿Cómo protegerse de posibles golpes?

De conformidad con este tipo de legislación, por ejemplo del RGPD, debe existir una base legal para la recopilación y el manejo de los datos del usuario. O sea, la práctica corriente es que todo tipo de recopilación de datos personales debe ser consentida por el usuario.

Por lo tanto, el usuario debe quedarse atento a las solicitudes de consentimiento hechas por las organizaciones con quienes tiene contacto. Es igualmente importante saber cómo se recopilará y manejará las informaciones.

Para protegerte, debes comprender exactamente a qué das tu consentimiento. Cada autorización tiene un propósito específico y se debe aplicar en general.

También es importante que el usuario evalúe la relevancia de los datos solicitados para la operación que se realiza. Observe si, de hecho, tiene sentido transmitir la información, así evitas de compartir datos innecesarios para la actividad virtual.

Por ejemplo, toda esta información puede ser utilizada ilegalmente por hackers en caso de que ocurra una fuga de datos.

Además, la lucha contra el fraude de datos confidenciales solo tiene éxito cuando se realiza transacciones virtuales desde aplicaciones seguras.

No obstante, la Ley de Protección de Datos Personales estipula tres formas específicas de protección y a continuación te las explicamos. ¡Toma apuntes!

1. Seguridad administrativa

Consiste en las políticas y procedimientos destinados al soporte, la gestión, y revisión de la seguridad de la información en el ámbito organizacional. De igual modo, la identificación, borrado y clasificación segura de la información.

Estas medidas implican la sensibilización y capacitación de todo el personal del área de protección de datos personales.

2. Seguridad física

Son un conjunto de acciones y mecanismos orientados a proteger el entorno físico de todos los datos personales.

Asimismo, dichas medidas están encaminadas a la protección de todos los recursos involucrados en el tratamiento de los datos personales de cada individuo.

3. Seguridad técnica

Se trata de un conjunto de acciones y mecanismos que tienen como principal herramienta la tecnología relacionada con los hardware y software.

El propósito es fortalecer el entorno digital de todos los datos personales, así como también de todos los recursos que están estrechamente vinculados con su tratamiento.

¿Cómo ayuda la tecnología a prevenir la fuga de datos?

Cada organización debe tomar responsabilidad por la protección de los datos que recopila, y el consentimiento del usuario es el primero paso.

Por su lado, el usuario también debe estar atento a cuáles son las finalidades de la utilización de sus datos.

Esta acción conjunta debe ser reforzada por el uso combinado de tecnologías que aumentan la seguridad de los datos. Así, vas a evitar que personas no autorizadas puedan acceder a ellos.

Además de incrementar la experiencia del cliente, es importante que las empresas adopten capacidades tecnológicas que brinden confiabilidad a sus operaciones.

Una de las principales alternativas es el uso del cifrado, mediante el cual la información ingresada en una plataforma se codifica, volviéndose confidencial y no disponible para usuarios no autorizados.

El uso de aplicaciones antimalware, DLP (Data Loss Prevention) y firewalls, también es muy efectivo para combatir la fuga de datos. Estas aplicaciones protegen todos los dispositivos conectados contra intrusiones.

Además de estas aplicaciones específicas de seguridad de ambientes y dispositivos, es esencial que las organizaciones y los usuarios consideren que cualquier aplicación que utilizan (ya sea un ERP, un CRM o las firmas electrónicas) tienen cuidado con la seguridad de los datos.

Es muy importante que todos sean conscientes de la seguridad, integridad y confidencialidad de sus procesos de recopilación y tratamiento. Esto es lo que garantiza que la información solo se utilizará para los fines autorizados.

¡Llegamos al final!

Es muy importante que todas las entidades sean conscientes de la seguridad, integridad y confidencialidad de sus procesos de recopilación y tratamiento de datos sensibles. Esto es lo que garantiza que la información solo se utilizará para los fines autorizados.

Si te interesó el tema y quieres saber más acerca de las características de seguridad, te invitamos a descargar el e-book: Cómo cumplir con la privacidad de datos en México.

El derecho a la privacidad

Descubre cómo cumplir con la privacidad de datos en México.

 

Publicado en