¿Sabes dónde están tus datos personales, qué tan seguros se encuentran y qué están haciendo las organizaciones que los tienen para protegerlos?
Con las frecuentes situaciones que se han venido presentando relacionadas con violaciones y faltas contra la seguridad de la información personal y la privacidad de los datos, las personas, las organizaciones y los países han aumentado su preocupación por contar con medidas de seguridad asistidos por buenas prácticas y desarrollos tecnológicos.
Los países y sus organismos de control están generando normativas que buscan proteger la privacidad, la información personal, la intimidad y el buen nombre de las personas, tanto a nivel interno, como en lo que tiene que ver con la transferencia de información, incluso en el flujo transfronterizo. Las organizaciones, a su vez, deben dar cumplimiento a esta normatividad y a los estándares internacionales que exigen controles como requisitos para las certificaciones. Pero más allá de ello, se vuelve una necesidad de negocio proteger esta información por todos los impactos que se pueden derivar: económicos, de imagen, fraudes, suplantación, seguridad personal y otros que detallaremos más adelante.
Por ello, ha cobrado valor la realización de evaluaciones del impacto en la privacidad (PIA, por sus siglas en inglés), como parte de las medidas de protección preventivas contra posibles situaciones que lleven a enfrentar posibles demandas, sanciones y afectación de sus clientes, por ejemplo, en su imagen y reputación.
Buenas prácticas sobre la privacidad y protección de datos personales
Se han desarrollado iniciativas que tratan de manera específica el asunto:
- ISO/IEC 27001: en su nueva versión de la ISO/IEC 27001 se incluye la exigencia de controles sobre la privacidad.
- ISO/IEC 27701: está basada y complementa la Norma ISO 27001 con requisitos para la implantación de un Sistema de Gestión de la Información sobre Privacidad (PIMS). Esta norma internacional proporciona a las organizaciones orientación sobre la protección de la privacidad, incluida la gestión de la información de identificación personal, y ayuda al cumplimiento de normativas clave como el GDPR de la UE.
- ISO/IEC 27018: es un código de buenas prácticas para la protección de la información de identidad personal (IIP) en ambientes cloud.
- ISO/IEC 29134: es una norma de directrices y guías para la evaluación del impacto de la privacidad (PIA).
¿Qué es un PIA?
El PIA es un instrumento para identificar, analizar y evaluar los impactos a la privacidad y los riesgos relacionados con el procesamiento de datos e información de identificación personal (IIP), para su tratamiento efectivo.
Esta evaluación identifica que IIP se recopila, trata, almacena, mantiene, protege y comparte dentro de la operación normal de las organizaciones, pero también ante posibles filtraciones de datos y ataques cibernéticos. Funciona como un sistema de detección de riesgos y generación de alertas tempranas a potenciales faltas a la privacidad.
Objetivo principal de un PIA
Su objetivo es garantizar que las prácticas de manejo de datos personales cumplan con los estándares de privacidad establecidos por las leyes y regulaciones aplicables, así como con las políticas internas de la organización.
¿Qué tipos de impactos se pueden presentar?
Si bien se presentan los impactos típicos de violaciones a la seguridad de la información, destacamos algunos de los impactos más frecuentes:
- Impactos financieros por fraudes y robos de identidad, y los derivados indirectamente de otros impactos.
- Sanciones por parte de reguladores y organismos de control.
- Pérdida de confianza, imagen y reputación.
- Pérdida de mercado.
- Demandas por daños económicos, emocionales y psicológicos.
- Impacto en la seguridad personal de las personas y sus propios efectos.
- Impacto en la libertad y derechos civiles, discriminación y estigmatización de las personas y sus efectos.
Beneficios de realizar un PIA
- Identificar impactos, riesgos y responsabilidades sobre la privacidad.
- Proporcionar aportes al diseño para la protección de la privacidad de manera anticipada.
- Puede ayudar a una organización a ganarse la confianza del público por haber incorporado la privacidad en la prestación de un servicio.
- Revisar los riesgos de privacidad de un proceso. sistema de información o proyecto y evaluar su impacto y probabilidad.
- Proveer las bases para el suministro de IIP y generar recomendaciones de acción de mitigación de riesgos a la privacidad.
- Mantener actualizaciones posteriores o mejoras con funcionalidad adicional que probablemente afecten la IIP que se esté manejando.
- Compartir y mitigar los riesgos de privacidad con las partes interesadas, y proporcionar evidencia relacionada con el cumplimiento a la seguridad y protección.
¿Cuándo hacer un PIA?
La realización de un PIA debe decidirse:
- Si no se ha hecho aún una en tu organización y en ella se maneja información de identificación personal de las partes interesadas.
- Si existe alguna exigencia normativa o cláusula contractual que lo demande de manera directa o indirecta.
- Cuando se inicia el diseño de un nuevo proceso, proyecto o sistema de información que implique gestionar IIP.
¿Cómo realizar un PIA en 10 pasos?
En esta secuencia de 10 pasos se puede efectuar el PIA de conformidad con la normatividad, estándares y buenas prácticas.
Figura 10. Pasos para realizar un PIA
- Identificar los procesos, proyectos y/o sistemas de información que sean susceptibles de riesgos con IIP.
- Definir el propósito, objetivos y alcance del PIA.
- Obtener la aprobación de la autoridad respectiva de la organización para realizar el PIA.
- Establecer un equipo de PIA para recopilar datos y realizar la evaluación.
- Recopilar información relevante para el análisis: datos, estadísticas, históricos de eventos, tipos de datos almacenados y cómo se garantiza la privacidad de la información personal.
- Identificar amenazas, vulnerabilidades y controles de privacidad a evaluar.
- Determinar las herramientas de evaluación a aplicar: plantillas, software especializado, etcétera.
- Llevar a cabo la evaluación siguiendo buenas prácticas.
- Gestionar los riesgos de la privacidad y emprender planes de tratamiento.
- Generar reporte final de “Declaración de Impacto de la Privacidad” y realizar presentación de resultados para toma de decisiones y generación de acciones.
Deja tu comentario