Leyes aplicables y Frameworks

Cada uno de los términos que mencionaste se refiere a estándares y regulaciones específicas relacionadas con la privacidad, seguridad y manejo de la información en diferentes contextos. Aquí hay una breve descripción de cada uno: 1. **GDPR (Reglamento General de Protección de Datos):** * El GDPR es una regulación de la Unión Europea que entró en vigencia en mayo de 2018. Su objetivo principal es proteger la privacidad y los derechos de los individuos en relación con el procesamiento de sus datos personales. Aplica a todas las organizaciones que manejan datos personales de ciudadanos de la Unión Europea, independientemente de la ubicación de la organización. Establece principios como el consentimiento del titular de los datos, el derecho al olvido y la obligación de notificar violaciones de datos. 2. **HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico):** * La HIPAA es una ley de los Estados Unidos que aborda la privacidad y seguridad de la información de salud. Establece estándares para la protección de datos médicos y de salud personalmente identificables (PHI, por sus siglas en inglés) y se aplica a entidades de atención médica, proveedores de servicios de salud, compañías de seguros y otros que manejan información de salud protegida. La HIPAA tiene como objetivo principal proteger la confidencialidad y seguridad de la información médica del paciente. 3. **PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago):** * El PCI DSS es un estándar de seguridad para la protección de la información de tarjetas de pago. Desarrollado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), se aplica a todas las entidades que almacenan, procesan o transmiten datos de tarjetas de pago. El PCI DSS establece requisitos para la seguridad de la red, el manejo de contraseñas, el cifrado y otras medidas para prevenir fraudes y proteger la información de las tarjetas de crédito. 4. **ISO (Organización Internacional de Normalización):** * ISO se refiere a varias normas internacionales relacionadas con la gestión de la calidad, la seguridad de la información y otros aspectos. En el contexto de seguridad de la información, la norma ISO/IEC 27001 es una norma específica que establece los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Busca garantizar la confidencialidad, integridad y disponibilidad de la información en una organización.

Las leyes aplicables a la ciberseguridad y privacidad de las empresas varían según la ubicación y la naturaleza de la información que manejan. Algunas leyes relevantes incluyen

Reglamento General de Protección de Datos (RGPD):

• Este reglamento europeo se aplica a las empresas que manejan datos personales de ciudadanos de la Unión Europea. Establece normas para la protección de datos personales y la privacidad.

Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE):

• Esta ley regula los servicios relacionados con Internet y la contratación electrónica, aplicándose a actividades como comercio electrónico, contratación en línea, información y publicidad.

Real Decreto 43/2021:

• Este decreto establece obligaciones específicas para las empresas en materia de ciberseguridad, como la elaboración de una Declaración de Aplicabilidad que refleje el estado actual de la ciberseguridad de la empresa y las medidas de seguridad implementadas.

Además, existen varios frameworks y estándares de ciberseguridad que las empresas pueden adoptar, como ISO 27001, NIST framework, y GDPR o RGPD.

• Estos frameworks proporcionan un compendio de estándares, buenas prácticas y normativas para administrar los riesgos de tecnologías digitales.

También es importante reflexionar cual es el impacto que tiene esta regulación en el análisis de datos. Por ejemplo, que pasa si tu empresa esta interesada en identificar email invalidos o la velocidad transaccional de un email que interactúa con un signup de sus sitio web. El GDPR limita a las empresas y no pueden hacer este tiempo de análisis que puede ser beneficio para mitigar el riesgo, a diferencia de Europa el email si es un campo que pueden usar la empresas en Suramérica y Norteamérica y en efecto lo usan para mitigar riesgo transaccional analizando el dominio, la edad del email, frecuencia transaccional.

La mas conocida para mi son las normas ISO : Las normas ISO, o Normas Internacionales de Organización para la Estandarización, son un conjunto de directrices desarrolladas por la Organización Internacional de Normalización (ISO) para asegurar la calidad, eficiencia y seguridad en productos, servicios y sistemas.

NIS2: La Ley de seguridad de las redes y sistemas de información es una normativa destinada a establecer un nivel común de ciberseguridad en los Estados miembros de la Unión Europea. Su objetivo es proteger los sectores críticos estableciendo normas de ciberseguridad más estrictas. Además, aboga por la notificación rápida de incidentes y una mayor cooperación entre los miembros de la UE en materia de ciberseguridad.

Ley 1581 de 2012: Ley de protección de datos personales en Colombia.

En México existe la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Se encarga de dar los requisitos para el manejo de datos personales por parte de empresas privadas.