CursosEmpresasBlogLiveConfPrecios

Contenido del curso

Tomar examen

Data Privacy en Platzi

Resumen

Empresas como Rappi y Banco Falabella fueron multadas con 298 y 496 millones de pesos colombianos, respectivamente, no por sufrir ataques espectaculares, sino por manejar mal los datos personales de sus usuarios [0:12]. Nombres, correos electrónicos, números de teléfono e historiales de uso son información que se toca a diario en cualquier organización. La pregunta clave es si realmente sabemos qué sucede con esa información después de abrir una hoja de cálculo, compartir un archivo o consultar un registro en un CRM.

¿Qué es la privacidad de datos y por qué importa tanto?

La privacidad de datos es la disciplina que regula cómo se maneja la información de personas reales —llamadas data subjects o, en el lenguaje legal latinoamericano, titulares— de acuerdo con su consentimiento explícito, acuerdos legales y buenas prácticas [1:00]. Un modelo mental útil: piensa en tu buzón de correo físico. Contiene extractos bancarios, resultados médicos y cartas privadas. Solo tú, o alguien claramente autorizado, puede abrir esas cartas. Que un extraño vea tu correo ya es una violación, aunque nunca use lo que leyó [1:22].

En plataformas educativas los perfiles de estudiantes contienen nombres completos, correos, teléfonos, fechas de nacimiento, género, nivel educativo, años de experiencia, intereses y enlaces a redes sociales. Un dato aislado es vago, como una credencial de conferencia con solo un nombre. Pero al combinar todos los campos, se señala a exactamente un ser humano en el planeta [2:10].

¿Cómo se conecta la privacidad con la tríada CIA?

La privacidad no es algo separado de los tres pilares de seguridad: confidencialidad, integridad y disponibilidad. Se construye directamente sobre ellos [2:42].

  • Confidencialidad: el cifrado del lado del servidor —por ejemplo, con Amazon S3— protege cada archivo almacenado automáticamente, como una caja fuerte de hotel que se cierra sola. Pero cuando credenciales de Bancolombia aparecieron en una base de datos filtrada en ProxyNova, con contraseñas tan simples como 123456, la confidencialidad se destruyó [3:05].
  • Integridad: un caso real mostró cómo un nombre completo y currículum aparecieron en una plataforma de reclutamiento llamada Axity sin que la persona se hubiera registrado. Los datos eran correctos, pero su presencia no autorizada fue la violación [3:30].
  • Disponibilidad en privacidad: significa que las personas pueden acceder a su propia información. Se publican políticas de privacidad y se ofrecen canales dedicados de contacto para cada jurisdicción [3:50].

¿Qué son los derechos ARCO y cómo se ejercen?

Los derechos ARCO corresponden a Access, Rectification, Cancellation y Opposition [4:15]. Imagina que rentas una bodega: puedes inspeccionar qué hay dentro, corregir etiquetas erróneas, retirar tus pertenencias por completo y exigir que el dueño deje de usar tu espacio para fines no acordados.

Estos derechos no son teóricos. En el caso mencionado, se envió un correo urgente a los contactos de privacidad de Axity en México, Colombia y Chile exigiendo la eliminación total, con advertencia de escalar al INAI —la autoridad mexicana de protección de datos—. El agente ARCO confirmó la eliminación por escrito. El proceso fue claro: detección, solicitud, confirmación y cierre [4:40].

¿Qué leyes aplican y qué reglas seguir en el día a día?

Las jurisdicciones relevantes incluyen la Ley 1581 de 2012 en Colombia (supervisada por la Superintendencia de Industria y Comercio), la ley federal de protección de datos de México bajo el INAI y la CCPA de California [5:15]. Incluso si un usuario se encuentra en Argentina o Chile, sus derechos se canalizan a través de alguna de estas tres jurisdicciones.

Para el trabajo diario, cuatro reglas fundamentales:

  • Al recolectar: solo pedir lo necesario; cada campo adicional es un pasivo. El usuario debe aceptar los términos de servicio y la política de privacidad antes de cualquier procesamiento [5:40].
  • Al usar: ceñirse al propósito declarado. Los intereses de un estudiante sirven para la plataforma de aprendizaje, no para campañas no relacionadas.
  • Al compartir: acuerdos de confidencialidad y controles de acceso en herramientas como Google Drive o HubSpot son obligatorios.
  • Al almacenar: el cifrado es requisito, pero con un matiz crítico: el cifrado en reposo protege datos en disco, pero si alguien tiene credenciales válidas robadas, el sistema descifra automáticamente para esa persona. El candado no sirve si la persona equivocada tiene la llave [6:10]. Por eso el cifrado debe combinarse con contraseñas robustas, autenticación de dos factores y detección de phishing.

¿Qué significa realmente eliminar datos personales?

Hacer clic en "eliminar" generalmente solo remueve un puntero. Los datos persisten en respaldos, registros y almacenamiento replicado [6:50]. Una eliminación segura equivale a triturar un documento, no a tirarlo a la papelera. Para esto existen políticas formales de safe delete que cubren todas las ubicaciones de almacenamiento, incluyendo respaldos.

La reflexión que queda es directa: ¿podrías rastrear cada lugar donde vive un dato personal dentro de las herramientas que usas ahora mismo? Cada sesión previa —pilares de seguridad, detección de phishing, seguridad de dispositivos, contraseñas y 2FA— construyó las bases para proteger esta información [7:20]. Si tienes experiencias o dudas sobre cómo aplicas estas prácticas en tu organización, compártelas.