Para las organizaciones que recopilan o administran datos—y las personas que los poseen, los datos privados y la seguridad de esos datos no deben tomarse a la ligera. Son las principales preocupaciones al emprender el proceso de proteger información fundamentalmente sensible, como identidades, finanzas y registros de salud. Sin ellos, los ciberdelincuentes y otros actores maliciosos tendrían acceso a cantidades asombrosas de datos potencialmente dañinos. Sin embargo, no todos reconocen o entienden la diferencia entre la privacidad de los datos y la seguridad. Como resultado, los términos a menudo se usan incorrectamente o se confunden como la misma cosa.
Entonces, ¿qué son la privacidad y la seguridad de los datos?
Privacidad vs.Seguridad
La diferencia entre privacidad y seguridad radica en qué datos se protegen, cómo se protegen, de quién se protegen y quién es responsable de esa protección. La seguridad consiste en proteger los datos de amenazas maliciosas, mientras que la privacidad consiste en usar los datos de manera responsable.
Obviamente, la seguridad de los datos se ocupa de proteger los datos confidenciales. Donde la privacidad y la seguridad de los datos comienzan a diferir es en quién o de qué están protegiendo los datos. La seguridad de los datos se centra principalmente en prevenir el acceso no autorizado a los datos, a través de filtraciones o filtraciones, independientemente de quién sea la parte no autorizada. Para lograr esto, las organizaciones utilizan herramientas y tecnología como firewalls, autenticación de usuarios, limitaciones de red y prácticas de seguridad interna para impedir dicho acceso. Esto también incluye tecnologías de seguridad como la tokenización y el cifrado para proteger aún más los datos al hacerlos ilegibles, lo que, en el caso de que se produzca una violación, puede impedir que los ciberdelincuentes expongan potencialmente volúmenes masivos de datos confidenciales.
Privacidad, sin embargo, es garantizar que los datos sensibles de una organización procesa, almacena o transmite es ingerido dócilmente y con el consentimiento del titular de los datos confidenciales. Esto significa informar a las personas por adelantado de qué tipos de datos se recopilarán, con qué propósito y con quién se compartirán. Una vez que se proporciona esta transparencia, un individuo debe aceptar los términos de uso, permitiendo que la organización que ingiere datos los use de acuerdo con sus fines declarados.
Por lo tanto, la privacidad no se trata tanto de proteger los datos de amenazas maliciosas como de usarlos de forma responsable y de acuerdo con los deseos de los clientes y usuarios, para evitar que caigan en manos equivocadas. Pero eso no significa que no pueda incluir también medidas de tipo de seguridad para garantizar que la privacidad esté protegida. Por ejemplo, los esfuerzos para evitar la vinculación de datos sensibles a su sujeto de datos o persona física, como la desidentificación de datos personales, la ofuscación de los mismos o su almacenamiento en diferentes lugares para reducir la probabilidad de reidentificación, son otras disposiciones comunes en materia de privacidad.
Con demasiada frecuencia, los términos seguridad y privacidad se usan indistintamente, pero se puede ver que, de hecho, son diferentes, aunque a veces es difícil distinguirlos. Mientras que los controles de seguridad se pueden cumplir sin satisfacer también las consideraciones de privacidad, las preocupaciones de privacidad son imposibles de abordar sin emplear primero prácticas de seguridad efectivas. En otras palabras, la privacidad limita el acceso, mientras que la seguridad es el proceso o la aplicación para limitar ese acceso. Dicho de otra manera, la seguridad protege los datos y la privacidad protege la identidad.
Privacidad y seguridad de datos en la práctica
Veamos un ejemplo hipotético de estos conceptos. Cuando descarga una aplicación móvil en su teléfono inteligente, es probable que se le solicite un acuerdo de privacidad al que debe dar su consentimiento antes de que comience la instalación. A partir de ahí, la aplicación también puede solicitar acceso a cierta información almacenada en su teléfono, como sus contactos, datos de ubicación o fotos. Una vez que haya decidido otorgar a la aplicación estos permisos, es responsable de proteger sus datos y la privacidad de esos datos, lo que no siempre sucede.Si, por ejemplo, el desarrollador de esa aplicación se da la vuelta y vende la información que usted le dio a un tercero o a una empresa de marketing sin su permiso, eso constituiría una violación de su privacidad. Si el creador de la aplicación sufriera una violación, exponiendo su información a delincuentes cibernéticos, esa sería otra violación de su privacidad, pero también sería una falla de seguridad. En ambos casos, el desarrollador no pudo proteger su privacidad.
Privacidad y Seguridad de Datos vs Cumplimiento
Ahora que tiene una comprensión básica de la diferencia entre la privacidad de los datos y la seguridad, veamos algunas regulaciones comunes diseñadas para ayudar a proporcionar pautas para mantener cada una y cómo forman el panorama de protección de datos.
El Estándar de Seguridad de Datos de la Industria de tarjetas de pago (PCI DSS) es un conjunto de reglas para proteger la información confidencial de la tarjeta de pago y los datos del titular de la tarjeta. Aunque se ocupa principalmente de estandarizar los controles de seguridad para el procesamiento, almacenamiento y transmisión de datos de pago, también incluye medidas para la información personal a menudo asociada con los pagos, como nombres y direcciones. Se aplica a bancos, comerciantes, terceros y todas las demás entidades que manejan datos de titulares de tarjetas de las principales marcas de tarjetas de pago.
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea es un estándar internacional para proteger la privacidad de los ciudadanos de la UE. Esta ley establece términos y definiciones importantes para quiénes deben protegerse los datos (interesados), qué tipos de datos implican (datos personales) y cómo deben gestionarse y protegerse esos datos. Cualquier entidad que recopile datos de ciudadanos de la UE está sujeta al presente reglamento.
La Ley de Privacidad del Consumidor de California (CCPA) es la ley de referencia de los Estados Unidos que regula cómo se permite a las organizaciones procesar los datos de los ciudadanos de California y sus hogares. Al igual que el RGPD, documenta qué datos están protegidos y detalla los requisitos para protegerlos. Todas las organizaciones que manejan datos de californianos deben adherirse a este estatuto.
La Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA, por sus siglas en inglés) se ocupa de proteger la información médica confidencial de los pacientes en todo Estados Unidos.Esta regulación es particularmente compleja debido a la gran cantidad y variedad de datos de atención médica disponibles, desde la fecha de nacimiento de un paciente hasta sus medicamentos recetados y radiografías. También existe en formas físicas y digitales que deben protegerse de manera diferente, lo que hace imposible asegurar la información de salud privada con un enfoque de «talla única».
Aunque es importante cumplir con los requisitos de cada reglamento relevante para su organización para evitar multas y otras sanciones costosas, también vale la pena señalar que el cumplimiento de las obligaciones mínimas de cumplimiento no siempre resulta en medidas de seguridad o privacidad adecuadas. Al priorizar la implementación de controles de seguridad y privacidad de datos efectivos, en lugar de simplemente cumplir con los requisitos reglamentarios mínimos, las organizaciones a menudo superarán esas mismas obligaciones, al tiempo que mejorarán su situación de seguridad y se posicionarán mejor para anticipar futuras regulaciones. La tokenización proporciona un método eficaz para hacer precisamente eso.
Tokenización para la Privacidad y Seguridad de los datos
Una de las cosas únicas de la tokenización, y una de sus mayores fortalezas, es su potencial para satisfacer las preocupaciones de privacidad y seguridad de los datos. A través de su capacidad para pseudonimizar la información, la tokenización puede actuar como un mecanismo de seguridad a prueba de fallos para proteger los datos confidenciales en caso de violación, haciendo que los datos almacenados en el sistema violado sean ilegibles para los ciberdelincuentes. En efecto, la seudonimización desensibiliza los datos al desidentificarlos y evitar que se devuelvan a su forma sensible original.
Debido a que la tokenización elimina los datos confidenciales de los sistemas internos, puede eliminar virtualmente el riesgo de robo de datos, lo que la convierte en una herramienta particularmente útil para la reducción de riesgos y el cumplimiento en términos de privacidad de los datos y consideraciones de seguridad. Por lo tanto, incluso si los sistemas de seguridad establecidos para proteger la privacidad de los datos se ven comprometidos, la privacidad de esa información sensible no lo hace.
Para obtener más información sobre la tokenización y cómo satisface las preocupaciones de seguridad y privacidad, consulte nuestro libro electrónico «Cómo elegir una solución de tokenización» a continuación.