9 Problemas de privacidad de datos que hay que evitar: Ejemplos y soluciones

Las empresas que recopilan y procesan información personal de los usuarios deben tomar precauciones para evitar algunos problemas comunes relacionados con la privacidad de los datos.

Estos problemas se dan en todos los sectores y representan retos operativos que pueden afectar a sus departamentos jurídico, de seguridad y de marketing.

A continuación, le enseño a identificar estos problemas de privacidad de datos y le presento soluciones que puede integrar en la estrategia de gobierno de datos de su empresa para ayudarle a evitarlos, y hablamos con dos expertos en privacidad para escuchar lo que tienen que decir sobre el tema.

Los 9 problemas y preocupaciones más comunes en materia de privacidad de datos

He aquí los nueve problemas más comunes a los que suelen enfrentarse las empresas en relación con la privacidad de los datos, y mis consejos para prevenirlos, evitarlos y resolverlos.

1. No estar al tanto de las leyes de protección de datos

El primer paso para convertirse en una empresa concienciada con la privacidad de los datos es saber a qué leyes está sometida.

Entender qué leyes debe cumplir puede llevarle tiempo y esfuerzo, pero merece la pena.

Muchas empresas no tienen medios para mantenerse al día de la legislación sobre privacidad de datos (que cambia a menudo, sobre todo hoy en día).

Algunos de los factores que influyen en su alcance legal incluyen detalles específicos como:

• La ubicación de su empresa
• Localización de sus usuarios
• Su sector de actividad
• Cuántos ingresos obtiene al año
• Cuántos datos recopila, procesa y utiliza

Las leyes de protección de datos pueden aplicarse a su empresa aunque no se encuentre físicamente en el país o estado que aprobó la ley.

En términos generales, las leyes de protección de datos establecen un ámbito material y territorial que define qué organizaciones deben cumplirlas.

El ámbito material suele incluir:

• El tipo de organizaciones que deben seguir la normativa, es decir, una empresa privada o un organismo público.
• Un umbral de cumplimiento, es decir, empresas que alcanzan un determinado nivel de ingresos anuales o empresas que procesan los datos personales de un determinado número de individuos.
• La naturaleza del tratamiento, es decir, tratamiento de datos personales en general o tratamiento de un tipo específico de datos personales

El ámbito territorial define dónde es aplicable la normativa. Normalmente se aplica a una empresa que procesa datos personales en el país de origen del reglamento.

Pero también se aplica fuera del país si la empresa procesa los datos personales de individuos establecidos en ese país.

¿Cómo se puede evitar este problema?

Tiene varias opciones para evitar malentendidos sobre qué leyes de privacidad se aplican a su empresa:

• Consulte a un abogado: La forma más fácil de saber que estás cumpliendo todas las obligaciones legales es consultar a un abogado, como un abogado especializado en privacidad de datos, que pueda ayudarte a hacer un seguimiento de las leyes por ti. Aunque puede ser una opción costosa, no lo es tanto como recibir una multa por infringir accidentalmente una ley.
• Desarrolle un equipo interno de privacidad de datos: Tanto si necesita contratar consultores expertos en privacidad como formar a los empleados que ya tiene, es importante contar con un equipo de privacidad dedicado a garantizar que cumple adecuadamente todas las leyes aplicables. Recuerde que el proceso es continuo, así que prevea adaptarse a medida que lo hagan las leyes y normativas.
• Haga su propia investigación: Si sólo recopila pequeñas cantidades de información personal básica, es posible que pueda hacer su propia investigación para determinar qué leyes afectan a su negocio. Sin embargo, estas leyes siguen haciéndole financieramente responsable si pasa algo por alto. Asegúrese de sopesar los riesgos.

2. No presupuestar el adecuado cumplimiento de la privacidad

Uno de los problemas más importantes que afectan a la privacidad de los datos en las empresas es la necesidad de aumentar el presupuesto para hacer frente a las necesidades tecnológicas, de seguridad y de formación de los empleados.

Cuando hablé con Anokhy Desai, profesional de la protección de datos, sobre los problemas más comunes a los que se enfrentan las empresas en este ámbito, el presupuesto ocupó un lugar destacado.

"Siempre es bueno mantener al día la formación interna y asegurarse de que se está elaborando un plan para cumplir las distintas leyes aplicables a la empresa en la fecha de su entrada en vigor, pero la gente ya lo sabe", afirma Desai.

"Un problema real al que se enfrentan y que es difícil de abordar es el presupuesto". - Anokhy Desai, CIPP/US, CIPT, CIPM

Desai añade: "A menudo, los equipos de TI, ciberseguridad, privacidad y, a veces, cumplimiento de normativas acaban compartiendo presupuesto porque los responsables no son conscientes de la diferencia entre los fines de los grupos y los niveles de prioridad que tiene el trabajo de cada uno."

"Debido a esto, algunas organizaciones que no asignaron suficiente presupuesto al equipo de privacidad desde el principio se estresarán por cumplir los plazos de aplicación de la ley de privacidad a medida que el reloj avanza y terminarán por no cumplir ese plazo, lo que, para todas las nuevas leyes estatales de privacidad que se han aprobado este año, pone a la organización en riesgo de multas monetarias por parte de varios fiscales generales estatales."

"Pero la solución fácil a esto (asignar suficiente tiempo y dinero al equipo de privacidad por separado) es difícil de predicar cuando es difícil saber desde fuera lo que la organización está pasando por dentro".

A todos los propietarios de empresas que procesan datos les interesa plantearse ya su presupuesto para privacidad y seguridad.

No asignar suficientes recursos podría costarle mucho más caro más adelante, sobre todo si es víctima de un ciberdelito o se ve en litigio con una ley de privacidad de datos.

¿Cómo se puede evitar este problema?

Las empresas son de todos los tamaños y formas, por lo que el presupuesto para la privacidad y seguridad de los datos no es un enfoque único.

Si es posible, evite combinar su presupuesto de ciberseguridad con otras necesidades esenciales, como la privacidad de los datos y las TI en general.

Tómese en serio todas las facetas del cumplimiento y deje espacio para cosas como la formación de sus empleados, la contratación de expertos en privacidad de datos y el refuerzo de su equipo de ciberseguridad.

Algunas empresas podrían incluso plantearse invertir en un seguro de ciberseguridad.

Además, el uso de una solución gestionada de cumplimiento de la privacidad, como la suscripción al plan Pro+ deTermly, puede ayudar a simplificar muchas necesidades de cumplimiento legal sin que cueste tanto como un abogado.

3. No tener visibilidad sobre la recogida, uso y compartición de datos personales

Aunque disponga de un presupuesto adecuado y conozca todas las leyes que debe cumplir, debe asegurarse de informar adecuadamente a sus usuarios sobre los datos que recopila, utiliza y comparte.

Sin embargo, pueden surgir algunos problemas en relación con la visibilidad de sus actividades de datos.

En primer lugar, es un reto operativo.

A medida que las empresas recopilan cada vez más datos personales de un número creciente de fuentes, se hace difícil comprender las prácticas de tratamiento de datos de cada uno de sus departamentos.

Además, la mayoría de las leyes otorgan a los consumidores el derecho a controlar algunos de los datos que has recopilado sobre ellos. Debes proporcionarles métodos para que puedan ejercer fácilmente sus derechos de privacidad.

También es un reto técnico.

Debe permitir que los usuarios ejerzan sus derechos de forma segura y protegida presentando solicitudes verificables, a las que su empresa debe responder y dar curso siempre que sea posible.

¿Cómo se puede evitar este problema?

Para evitar que se produzcan problemas de visibilidad de los datos, su empresa debe realizar algo llamado mapeo de datos.

El mapeo de datos es la práctica de crear un registro de los datos personales que posee y por qué.

Es esencial para cumplir con la mayoría de los programas de gobierno de datos y es un requisito bajo ciertas leyes de protección de datos como el Reglamento General de Protección de Datos (rgpd).

Normalmente es necesario registrar todo lo siguiente:

• Tipos de datos personales que recopila
• Las fuentes de los datos (es decir, recopilados directa o indirectamente, de quién).
• Finalidad de la recogida de datos
• Los terceros a los que revele los datos

La aplicación de estrategias de mapeo de datos ayuda a su empresa a satisfacer las peticiones de los clientes relacionadas con sus derechos de privacidad, garantizando que pueda localizar sus datos personales y disponer de los procesos adecuados para actuar en consecuencia.

Numerosos recursos en línea le ayudarán a aprender a realizar técnicas eficaces de mapeo de datos, una tarea que rápidamente se vuelve bastante compleja.

Por ejemplo:

• El artículo 30 dergpddetalla los requisitos específicos de la correspondencia de datos
• La Oficina del Comisario de Información del Reino Unido (ICO) proporciona plantillas para que las entidades las utilicen.
• Además, algunos proveedores ofrecen software de mapeo de datos automatizado de extremo a extremo.

4. No existen relaciones de colaboración entre las empresas y los profesionales de la protección de datos

Es esencial establecer una relación de trabajo con todos los profesionales de la privacidad que su empresa contrate o con los que se asocie. De lo contrario, podría parecer que el profesional de la privacidad no está en el mismo equipo que el resto de la empresa.

Pero, en realidad, son sus aliados y podrían contribuir a reforzar las relaciones con los clientes.

Esto es lo que el profesional de la privacidad de datos Tainá Baylão, Especialista Senior en Protección de Datos de Infineon Technologies, mencionó inmediatamente cuando se le preguntó sobre los problemas más comunes de privacidad de datos a los que suelen enfrentarse las empresas.

Uno de los retos más comunes a los que se enfrentan las empresas a la hora de proteger los datos personales es establecer una relación de colaboración entre el equipo de privacidad y los responsables de los procesos. - Tainá Baylão, LL.M, CIPP/E, CIPM, CDPO/BR, ECPC-B

Según Baylão, "los profesionales de la privacidad desempeñan un papel clave en el cumplimiento de las normas de privacidad, ya que verifican si existen controles de privacidad. Sin embargo, estos profesionales no pueden conocer todos los detalles de cada proyecto de la empresa".

"Para hacer bien su trabajo, los responsables de los procesos deben notificarles los proyectos nuevos o actualizados. Esta iniciativa tiene que venir de la empresa".

Ella subraya aquí el quid del problema: "Sin embargo, si ese profesional adopta el enfoque de decir "no" a todo, se convertirá en un bloqueador de negocios. En ese contexto, ningún colega querrá ponerse en contacto con ellos, ya que esto provocaría que su proyecto se retrasara considerablemente o incluso se cerrara por completo."

Como profesional de la privacidad de fellow , estoy totalmente de acuerdo. Los empresarios y los profesionales de la privacidad están del mismo lado.

Todos queremos que Internet sea un lugar seguro para que prosperen los consumidores y las empresas.

¿Cómo se puede evitar este problema?

Para evitar que la relación entre la empresa y el profesional de la protección de datos se tambalee, los propietarios de las empresas deben integrar la formación sobre protección de datos en todos los aspectos de su proceso.

Baylão sugiere adoptar el siguiente enfoque: "El profesional de la privacidad debe construir una relación de colaboración con sus homólogos y esforzarse siempre por ofrecer a los responsables de los procesos soluciones alternativas o incluso trabajar con ellos como sparrings para construir una estrategia mejor y más respetuosa con la privacidad."

"Utilizando este enfoque de habilitador empresarial, es seguro que la empresa será más consciente de la privacidad y verá la privacidad como un activo valioso, no como un obstáculo adicional que superar o una casilla más que marcar."

Cuando determine objetivos futuros o desarrolle medios para utilizar la información personal, hágalo de forma que se tome en serio la privacidad de los datos.

En lugar de recopilar cantidades ingentes de información innecesaria, considere los detalles más importantes necesarios para alcanzar sus objetivos de forma eficaz.

Como ventaja añadida, esto le ayudará a racionalizar sus protocolos y actividades de procesamiento de datos.

La privacidad de los datos no pretende impedir que las empresas utilicen información personal.

Se supone que ayuda a mejorar el uso de sus datos al tiempo que protege a sus clientes.

Comuníquese eficazmente con los profesionales de la privacidad de su equipo para que todos estén de acuerdo.

5. No controlar adecuadamente el acceso a los datos personales

Otra cuestión importante a la hora de aplicar protocolos de privacidad de datos es controlar quién tiene acceso a los datos.

Si su empresa no aplica los controles adecuados, los datos de sus clientes y empleados corren el riesgo de sufrir accesos no autorizados, como una violación de datos personales, lo que conlleva pérdidas financieras y de reputación.

Hoy en día, las personas suelen utilizar dispositivos conectados, como ordenadores portátiles y teléfonos inteligentes, o integrar software externo con los sistemas de una empresa.

Además, cada vez más hogares dependen de dispositivos conectados al Internet de las Cosas (IoT), como frigoríficos inteligentes, Alexa y dispositivos Google Home.

Esta tecnología hace más difícil establecer controles de acceso eficaces que garanticen la privacidad.

¿Cómo se puede evitar este problema?

Para aumentar sus controles sobre el acceso a los datos personales que recopila su empresa, determine quién está autorizado internamente a acceder a los datos e identifique las herramientas que utiliza para almacenarlos.

Acuérdate también de tener en cuenta las ubicaciones físicas de almacenamiento, como los archivadores.

Establezca controles de acceso que impliquen la autenticación y autorización de los usuarios, independientemente de que sean sus empleados o terceros externos.

Asegúrese de conceder el nivel de acceso adecuado en función del contexto de cada función, ubicación, dispositivo, etc.

6. No gestionar adecuadamente la creciente disponibilidad de datos

La cantidad total de datos creados, capturados, copiados y consumidos en todo el mundo alcanzará los 64,2 zettabytes en 2020, según un estudio de Statista.

A medida que se abarata el almacenamiento en la nube y aumenta la potencia de cálculo, las empresas pueden confiar más en los datos. Sin embargo, esta dependencia crea la necesidad de una cuidadosa planificación informática, especialmente a medida que evoluciona el panorama informático con cambios como el modelo de licencias de VMware, que obligará a las empresas a reevaluar sus estrategias de infraestructura y gestión de datos.

A primera vista, podría pensarse que la creciente disponibilidad de datos es sólo algo bueno, pero la gestión de grandes cantidades de información personal puede causar graves problemas de privacidad.

Por ejemplo, la mayoría de las leyes de privacidad de datos estipulan que las entidades no pueden recopilar datos personales porque sí. Deben tener una finalidad y una base legal para recoger y utilizar la información.

Quienes acaparen datos corren el riesgo de enfrentarse a severas sanciones por su incumplimiento.

Además, un mayor volumen de datos implica mayores riesgos de seguridad. 

Las empresas que gestionan un océano de datos pueden tener dificultades para protegerlos de accesos ilícitos porque hay más en la superficie que los ciberdelincuentes pueden atacar.

¿Cómo se puede evitar este problema?

Las empresas deben basarse en sólidas prácticas de seguridad, la concienciación de los empleados y la preparación para afrontar el reto del creciente acceso a los datos.

Esto significa recopilar únicamente los datos necesarios para sus fines generales y no acaparar datos.

Pero también debe dedicar tiempo a formar a todo su equipo para que todos estén de acuerdo en cuáles son sus actividades de tratamiento de datos y qué está (y qué no está) permitido.

Es recomendable que todas las personas de su empresa reciban formación, tanto sobre ciberseguridad como sobre riesgos para la privacidad de los datos.

Formar a sus empleados en las mejores prácticas de privacidad y seguridad puede contribuir en gran medida a crear una cultura de datos que podría evitar incidentes.

Además, como paso adicional para mantener la salud de su sitio web bajo control, las herramientas le ayudan a comprender los riesgos de seguridad y datos en su sitio web.

7. No seguir el ritmo de la proliferación de dispositivos conectados

Dado que el trabajo a distancia se ha convertido en la norma en los últimos años, la seguridad de los datos en un número cada vez mayor de dispositivos es cada vez más difícil.

Las empresas no sólo deben tener en cuenta el número de dispositivos de trabajo (portátiles, teléfonos inteligentes, tabletas), sino que ahora también deben incluir en sus planes los dispositivos propios de sus empleados.

La IO también desempeña un papel esencial en el creciente número de dispositivos que pueden acceder, enviar y recibir datos. A medida que crece la IO, la cantidad de datos que generan estos dispositivos aumenta el riesgo de problemas de privacidad de los datos.

Los datos recogidos por los dispositivos IoT suelen proceder de sensores, como micrófonos, cámaras o termómetros.

En ocasiones, estos datos pueden ser muy personales, lo que plantea a las empresas el reto operativo de protegerlos.

¿Cómo se puede evitar este problema?

La única forma de prevenir los riesgos cibernéticos es formar a su equipo y hacer un hueco en su presupuesto para dar prioridad a la ciberseguridad.

Dado que los elementos conectados al IoT no pueden ejecutar software antivirus ni generar registros de datos para supervisar y detectar comportamientos anómalos, son objetivos privilegiados de los ciberataques.

Sin embargo, las limitaciones de seguridad de estos dispositivos hacen que, por desgracia, no se apliquen las técnicas típicas de ciberseguridad.

Una opción que puede ayudarle a combatir las limitaciones de seguridad de IoT incluye el uso de herramientas de visibilidad para identificar las credenciales expuestas, lo que puede ayudar a mitigar los riesgos de un ataque de superficie y evitar las escaladas de privilegios de Active Directory (AD).

La aplicación de estas medidas de seguridad podría ayudar a desenmascarar a un atacante que intente utilizar credenciales falsas en un señuelo que aparezca como otro sistema.

Asegúrese de contar con un equipo o recurso que ayude a su empresa a abordar estos riesgos de seguridad de IoT.

8. No seguir el ritmo de la rápida evolución de la tecnología

En los últimos años, nuevas tecnologías como la Inteligencia Artificial, el Internet de las Cosas (IoT) y el seguimiento en línea como Pixels y las técnicas de huellas dactilares han hecho que sea cada vez más complejo para las empresas entender cómo proteger los datos personales.

Aunque estas tecnologías pueden proporcionar más información a las empresas, comprender cómo funcionan es todo un reto, especialmente para las empresas que intentan proteger los datos personales.

Las integraciones con los sistemas internos de una empresa son muy habituales.

Proporcionar acceso, a veces sin el total conocimiento de la empresa, a terceros puede convertirse en una verdadera amenaza.

Por ejemplo, en 2022, se descubrió que algunos sitios web de declaración de impuestos de Estados Unidos transmitían información personal de los contribuyentes a Facebook a través del Meta Pixel, supuestamente sin su conocimiento.

El desarrollo de protocolos de seguridad adecuados debe ir a la par de la velocidad de evolución de la tecnología. De lo contrario, los riesgos para la privacidad seguirán aumentando.

¿Cómo se puede evitar este problema?

Para seguir el ritmo de la tecnología cambiante, asegúrese de que sólo utiliza una nueva función o recurso después de haber realizado las diligencias debidas.

Tómese su tiempo para investigar a fondo los sistemas con los que podría querer integrarse y pida a su equipo de privacidad o a un abogado que verifique si todo cumple la legislación vigente.

No olvide considerar los riesgos que conlleva sopesando los posibles beneficios y perjuicios para la privacidad de los usuarios.

Tenga en cuenta los tipos de datos que recopila, su volumen y cómo las medidas de seguridad que aplica pueden mitigar los riesgos potenciales.

9. Errores humanos y empleados poco formados

Otro problema habitual de las empresas en relación con la privacidad de los datos son los errores humanos, normalmente debidos a la falta de formación de sus empleados.

Los riesgos de seguridad que aumentan las posibilidades de que su empresa sea víctima de la ciberdelincuencia son:

1. Los empleados poco preparados pueden no entender los matices de la legislación sobre privacidad de datos, lo que puede dar lugar a un acceso, uso o eliminación de datos inadecuados.
2. Alguien en su organización utiliza contraseñas débiles, cae en una estafa de phishing o no sabe cómo reconocer enlaces inseguros en los correos electrónicos.

¿Cómo se puede evitar este problema?

Forme a todos los miembros del equipo en cuestiones de privacidad de datos y ciberseguridad para evitar errores humanos.

Desde plataformas de formación en línea hasta consultores de privacidad, existen muchas opciones que se adaptan a cualquier presupuesto empresarial y a sus necesidades específicas.

También es una buena práctica crear planes de copia de seguridad y recuperación, para disponer de sistemas eficaces que permitan hacer frente a los errores humanos en caso de que se produzcan.

¿Qué es la protección de datos?

Una definición sencilla de privacidad de datos se refiere a la recogida y tratamiento de datos personales de las personas de forma que se respeten sus derechos y se mantengan sus datos seguros.

Es un acto de equilibrio.

Muchas empresas dependen de la recopilación y el uso de información digital, pero esa información es personal del individuo.

Las empresas deben aplicar las siguientes técnicas de protección de datos para cumplir las obligaciones legales y generar confianza entre los consumidores:

• Cumpla las obligaciones de todas las leyes de protección de datos que se apliquen a su empresa.
• Determine cada dato personal que su sitio web o aplicación recopila de los usuarios.
• Publique una política de privacidad que explique qué datos recopila, por qué, si los comparte o vende a terceros, qué derechos tienen los usuarios sobre ellos y cómo ejercerlos.
• Publique en política de cookies una explicación de todas las cookies de Internet que utiliza su sitio y qué controles tienen los usuarios sobre ellas, normalmente mediante un banner de consentimiento.
• Crear, aplicar y mantener protocolos de seguridad física, administrativa y técnica adecuados para proteger los datos de accesos no autorizados.

Si quiere que la recopilación de datos personales beneficie a su empresa y a los consumidores, debe crear procedimientos inteligentes de privacidad de datos en cada parte de su empresa, desde su presupuesto hasta la formación del personal y más allá.

Consejos para evitar problemas de privacidad de datos

Ahora que ya ha leído los nueve problemas de privacidad de datos más comunes a los que se enfrentan las empresas, le ofrecemos un breve resumen de nuestros principales consejos para ayudar a su empresa a evitarlos:

¿Cómo puede Termly ayudarle a evitar problemas de privacidad de datos?

Termly ayuda a las empresas a superar los problemas habituales de privacidad de datos de forma asequible y eficaz.

Nuestro equipo jurídico y nuestros expertos en privacidad de datos supervisan todas nuestras soluciones de cumplimiento. Además, actualizamos periódicamente nuestros generadores de políticas para tener en cuenta las leyes de protección de datos nuevas o cambiantes.

Puede que no seamos capaces de formar a toda su plantilla, pero podemos ofrecerle un sitio web Generador de Política de Privacidad que cumpla los requisitos necesarios establecidos por leyes como rgpd, la Ley de Protección del Consumidor de California(CCPA), etc.

También proporcionamos una plataforma gestión del consentimiento (CMP) con un banner consentimiento de cookies , un centro de preferencias y un formulario de solicitud de acceso del interesado(DSAR).

Puede configurar el banner de consentimiento para cumplir los requisitos de inclusión o exclusión voluntaria de varias regiones de todo el mundo, como California y Europa.

Resumen

Las empresas que ahora dan prioridad a la privacidad de los datos se están preparando para el éxito futuro.

Saber cuáles son las preocupaciones y los problemas de privacidad más comunes que hay que evitar puede ayudarle a racionalizar su enfoque y minimizar los riesgos.

Aunque el cumplimiento de la legislación es un componente esencial, es sólo una parte de las responsabilidades de las empresas en relación con la privacidad de los datos.

También hay que presupuestar adecuadamente para evitar problemas de privacidad, crear sistemas internos eficaces y mantenerse al día de las nuevas y cambiantes mejores prácticas.

Más sobre el autor

Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor