Evaluación de Impacto de Privacidad según Normativas de Datos

Clase 14 de 25 • Curso de DLP: Prevención de Pérdida de Datos

Resumen

¿Cómo realizar una evaluación de impacto de privacidad?

La evaluación de impacto de privacidad es un requisito fundamental del Reglamento Europeo de Protección de Datos Personales y de la ley californiana de privacidad. Es crucial evaluar siempre el impacto potencial sobre los activos de información que identificamos. Para ello, continuamos utilizando una matriz que nos guiará en el proceso.

¿Qué es un dato personal y un dato personal sensible?

Un dato personal es información que puede identificar o hacer identificable a una persona dentro de un entorno. Ejemplos de datos personales incluyen:

Nombre
Correo electrónico
Número de teléfono

Por otro lado, un dato personal sensible es información que tiene el potencial de comprometer la privacidad de una persona. Esto incluye datos sobre:

Preferencias sexuales
Creencias religiosas
Orientación política

Todos los datos de menores de edad se consideran sensibles automáticamente por ley.

¿Es necesario contar con autorización para tratar datos personales?

Siempre es imprescindible contar con autorización para tratar datos personales. Tratar datos significa:

Gestionar
Manipular
Custodiar

Si no se cuenta con autorización, no se debe procesar esta información. Es esencial solicitar esta aprobación al inicio de cualquier relación comercial para estar conforme con las legislaciones vigentes. Además, se debe contar con autorización específica si se tiene intención de compartir o divulgar estos datos con terceros.

¿Qué pasos seguir para realizar la evaluación de impacto?

Para realizar una evaluación de impacto de privacidad, es importante seguir los siguientes pasos:

Identificar los datos personales y sensibles: Usar la matriz para marcar si los datos que disponemos son personales y si son sensibles.
Comprobar autorización para tratar los datos: Confirmar que existe autorización explícita para manejar estos datos.
Determinar los controles necesarios: Evaluar si es necesario implementar controles para proteger la información ante posibles vulnerabilidades o amenazas.

¿Cuáles son los controles necesarios para proteger los datos?

La protección de la integridad y confidencialidad de la información es vital. Aquí es donde los controles juegan un papel crucial. Si las transacciones se gestionan en bloques seguros, estos sistemas ya garantizan estos aspectos. Sin embargo, en caso de que no se cuente con plataformas seguras, es esencial implementar controles manuales, como:

Encriptación de datos
Acceso restringido
Auditorías de seguridad.

¿Cómo definir los controles basados en el riesgo?

La identificación del riesgo potencial es clave para decidir qué controles implementar. Analiza las vulnerabilidades y las amenazas para definir el impacto posible. Con base en esta evaluación, se deben seleccionar medidas que ayuden a:

Garantizar la no pérdida de datos
Mitigar el riesgo en caso de materializarse

La creación de políticas de prevención de pérdida de datos y la evaluación de estos riesgos en tu negocio es fundamental para proteger la información personal y sensible adecuadamente.

Jorge Francisco Onasis Ramos Nava

student•

Mis apuntes - Evaluación de impacto de privacidad

Evaluación de impacto.
Detectar datos personales.
Detectar datos sensibles.
Verificar si se tiene la autorización para tratar y compartir los datos.
Establecer el control que de debe implementar.
Establecer riesgos y controles

Dato personal

Información que puede identificar o hacer identificable a una persona en un entorno:

Nombre.
Correo electrónico. Dato personal sensible

Aquel que puede llegar a afectar la privacidad y la intimidad de una persona.

Louis Joseph Sandoval Rojas

student•

Excelente

Diego Fernando Ramos Aguirre

student•

Excelente resumen, gracias.

Santiago Restrepo

student•

DATOS INTERESANTES:

La ley dice que todos los datos de menores de edad son datos personales SENSIBLES. (importante)
La autorización es un punto fundamental pata el tratamiento legal y correcto de la información.
Es importante diferenciar la autorizaciión para tratar los datos y para compartir esos datos.
Según el impacto de privacidad de un activo de información, identificar si se debe implementar un control o no.

Diego Fernando Ramos Aguirre

student•

gracias por los apuntes.

Andres Abarca

student•

Una consulta, en caso de que la información pertenece a clientes de naturaleza personas jurídicas (no personas físicas), ¿cómo se trata esa información dentro de la matriz? No son datos personales, pero sí sensibles, creo yo, pero cuál sería la recomendación

Daniel Armando patio moreno

student•

donde esta la matriz de prueba dlp

Juan Pablo Perez

student•

Hola Daniel aca te comparto el link o para cualquiera que le pueda servir https://www.aepd.es/sites/default/files/2019-09/guia-evaluaciones-de-impacto-rgpd.pdf

Ismael Méndez Suárez

student•

Sin duda alguna esta es una de las mejores partes del curso, muy interesante la verdad, son datos que no habia tomado en cuenta dado que nunca habia realizado una politica!

Karla Itzel Sámano Galván

student•

Dejo aquí mi aporte :D . . . . .

Samuel Elias Alfaro Gonzalez

student•

El link de la guía de impacto RGPD, ya que el de la clase está caído. https://www.aepd.es/sites/default/files/2019-09/guia-evaluaciones-de-impacto-rgpd.pdf

Mauricio Osorio Reyes

student•

++Resumen: Realiza una evaluación de impacto de privacidad++

++Datos personales: ++ Información que puede identificar o hacer identificable a una persona en un entorno. -Nombre -Correo electrónico -...

++Datos personales sensibles:++ Aquel que puede llegar a afectar la privacidad y la intimidad de una persona -Preferencias sexuales -Preferencias religiosas -Preferencias políticas -...

     **  (Todos los datos de menores de edad son considerados sensibles)**

++Autorización para tratar datos:++ Gestionar datos, manipularlos, custodiarlos ...

(Siempre se tiene que tener autorización para un buen tratamiento legal y para tener un negocio con la información de personas)

++Autorización para compartir información:++ Comunicarse con personas ajenas para desarrollar la transacción que se tiene.

(separar la autorización para tratar datos con la de compartir datos)

Sebastian Camilo Herrera Lopez

student•

Garantizar la privacidad de los datos es lo primordial en una organizacion.

Juan Guillermo Perez Cardozo

student•

Ya inicie a identificar activos , pues es un trabajo largo

Daniel Armando patio moreno

student•

donde esta la matriz de prueba dlp

Diego de la Rosa

student•

en el apartado de archivos y enlaces en la esquina superior derecha

Miguel Angel Ramirez

student•

muy interesante!!

Helios Barrera Hernández

student•

Estaría bien un software que basado en preguntas directas te hiciera una matriz de acuerdo con tu modelo de negocio, con todos los campos necesarios para categorizar la información

Jefferson Pacheco Suárez

student•

Fase 3: Evaluación del impacto de la privacidad

Dato personal: Es aquel dato que permite identificar a una persona.

Datos personal sensible: Aquel que puede afectar la privacidad e intimidad de una persona.

**Todos los datos de menores de edad son sensibles.

¿Qué es una evaluación de impacto de privacidad?

En términos generales, una EIP implica la identificación de los datos personales que se procesarán, el propósito del procesamiento, los posibles riesgos para la privacidad de las personas afectadas y las medidas que se pueden tomar para mitigar estos riesgos. Además, una EIP también puede incluir la evaluación de las políticas y prácticas de privacidad de una organización, así como la identificación de posibles mejoras.

Además, una correcta EIP Implica conocer si:

¿Tenemos datos personales?
¿Tenemos datos personales sensibles?
¿Tenemos la autorización expresa del cliente y una copia que lo confirme?
¿La autorización de tratamiento de datos está separada de la autorización para compartir estos datos?

¿Qué debemos hacer si es así?

Tenemos que evaluarlo, determinar riesgos y amenazas, posible impacto e implementar un control para esta vulnerabilidad y gestionarla. Y para ello tenemos la siguiente fase.

Michael Alexander Palma Benitez

student•

el link ya se cayo >?* !!!

José Rafael Rodriguez Peraza

student•

Sigue sin funcionar

Alejandro sierra

student•

siempre mantener controles establecidos vistos en la clase sobre el control de la privacidad de los datos peronales

Oscar Argenis Canelon Mendoza

student•

Enlace caido.!

Jean Nuñez

student•

Todos los datos de menores de edad son datos sensibles

Jean Nuñez

student•

La autorizacion por parte de clientes,empleados es punto fundamental para hacer el tratamientos de los datos

Carlos Nassif Trejo Garcia

student•

Evaluación de impacto Se realiza con los activos que detectamos ¿Datos personales? ¿Sensibles? (El que afecta la privacidad e intimidad, menores de edad) ¿Autorizados para tratar/compartir con los datos?

IMPACTO DE PRIVACIDAD: Que tipo de control se debe implementar Riesgos y sus controles