Evaluación de Impacto de Privacidad según Normativas de Datos

Clase 14 de 25Curso de DLP: Prevención de Pérdida de Datos

Clase anteriorSiguiente clase

Resumen

¿Cómo realizar una evaluación de impacto de privacidad?

La evaluación de impacto de privacidad es un requisito fundamental del Reglamento Europeo de Protección de Datos Personales y de la ley californiana de privacidad. Es crucial evaluar siempre el impacto potencial sobre los activos de información que identificamos. Para ello, continuamos utilizando una matriz que nos guiará en el proceso.

¿Qué es un dato personal y un dato personal sensible?

Un dato personal es información que puede identificar o hacer identificable a una persona dentro de un entorno. Ejemplos de datos personales incluyen:

  • Nombre
  • Correo electrónico
  • Número de teléfono

Por otro lado, un dato personal sensible es información que tiene el potencial de comprometer la privacidad de una persona. Esto incluye datos sobre:

  • Preferencias sexuales
  • Creencias religiosas
  • Orientación política

Todos los datos de menores de edad se consideran sensibles automáticamente por ley.

¿Es necesario contar con autorización para tratar datos personales?

Siempre es imprescindible contar con autorización para tratar datos personales. Tratar datos significa:

  • Gestionar
  • Manipular
  • Custodiar

Si no se cuenta con autorización, no se debe procesar esta información. Es esencial solicitar esta aprobación al inicio de cualquier relación comercial para estar conforme con las legislaciones vigentes. Además, se debe contar con autorización específica si se tiene intención de compartir o divulgar estos datos con terceros.

¿Qué pasos seguir para realizar la evaluación de impacto?

Para realizar una evaluación de impacto de privacidad, es importante seguir los siguientes pasos:

  1. Identificar los datos personales y sensibles: Usar la matriz para marcar si los datos que disponemos son personales y si son sensibles.
  2. Comprobar autorización para tratar los datos: Confirmar que existe autorización explícita para manejar estos datos.
  3. Determinar los controles necesarios: Evaluar si es necesario implementar controles para proteger la información ante posibles vulnerabilidades o amenazas.

¿Cuáles son los controles necesarios para proteger los datos?

La protección de la integridad y confidencialidad de la información es vital. Aquí es donde los controles juegan un papel crucial. Si las transacciones se gestionan en bloques seguros, estos sistemas ya garantizan estos aspectos. Sin embargo, en caso de que no se cuente con plataformas seguras, es esencial implementar controles manuales, como:

  • Encriptación de datos
  • Acceso restringido
  • Auditorías de seguridad.

¿Cómo definir los controles basados en el riesgo?

La identificación del riesgo potencial es clave para decidir qué controles implementar. Analiza las vulnerabilidades y las amenazas para definir el impacto posible. Con base en esta evaluación, se deben seleccionar medidas que ayuden a:

  • Garantizar la no pérdida de datos
  • Mitigar el riesgo en caso de materializarse

La creación de políticas de prevención de pérdida de datos y la evaluación de estos riesgos en tu negocio es fundamental para proteger la información personal y sensible adecuadamente.