7 claves para cumplir la protección de datos en tu web
En la era digital actual, la protección de datos se ha convertido en un tema de vital importancia para las empresas y usuarios por igual. A medida que las transacciones online y la recopilación de información personal continúan en aumento, garantizar la seguridad y la privacidad de los datos se ha vuelto primordial. Podría interesarle: Quiénes son los responsables de proteger mis datos personales en internet Si tienes un sitio web o estás planeando lanzar uno pronto, es crucial comprender las claves para cumplir con la protección de datos. En este artículo, exploraremos siete claves fundamentales que te ayudarán a salvaguardar la información confidencial de tus usuarios y cumplir con las regulaciones vigentes. 7 medidas que debes adoptar para cumplir la protección de datos personales, el RGPD y la LOPDGDD Las normativas vigentes sobre protección de datos han endurecido las medidas que las empresas han de adoptar con el fin de proteger la identidad de los individuos y garantizar la seguridad e integridad de sus datos personales. Veamos cuáles son algunas de las más importantes, enfocándonos sobre todo en lo referente a webs, tiendas online y negocios a través de internet. 1. Registrar las actividades de tratamiento Las páginas web o tiendas online están obligadas a llevar un registro de todas las actividades de tratamiento realizadas, incluyendo diferentes ficheros en función de la naturaleza del tratamiento. Por ejemplo, una tienda online estará obligada a tener ficheros distintos para clientes, proveedores o empleados. 2. Solicitar consentimiento expreso Otro punto que señalamos desde Grupo Atico34 es la necesidad de obtener el consentimiento expreso del usuario para tratar sus datos personales. Este consentimiento debe ser explícito, voluntario e inequívoco y ya no se puede otorgar de forma tácita o por omisión. 3. Contratar un DPO Todas aquellas empresas, páginas web, tiendas digitales o negocios online que realicen un tratamiento masivo de datos, o que manejen datos especialmente sensibles, están obligadas a asignar un Delegado de Protección de Datos. También lo están todas las empresas pertenecientes a los sectores de actividad citados en el artículo 34 de la LOPDGDD. 4. Aviso legal Toda página web o tienda online que realice un tratamiento de datos personales de los usuarios debe incluir un Aviso Legal dentro de sus textos legales web. Básicamente, este aviso debe incluir los datos de la empresa (denominación social, domicilio, número de teléfono o correo electrónico). También se ha de incluir el NIF de la empresa y su número de inscripción en el registro mercantil. 5. Política de Privacidad Otro de los textos legales que se debe redactar es la Política de Privacidad. En este apartado se informa a los usuarios sobre el tratamiento que se realiza de sus datos personales. Esto incluye la identificación de responsables y encargados del tratamiento, finalidad del tratamiento, plazo de conservación de los datos, cesión de datos a terceros o vías para ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. 6. Política y aviso de cookies Desde Grupo Atico34 también avisamos de que se ha de incluir una Política de cookies en la que se informe al usuario de las cookies que se van a instalar en su navegador. Asimismo, es necesario crear una Aviso de Cookies que saltará la primera vez que un usuarios ingresa a la página. En este aviso, el usuario debe tener la opción de aceptar todas las cookies, elegir las que va a permitir o, directamente, rechazarlas. 7. Condiciones de contratación Por último, las tiendas online también deben informar sobre las condiciones de contratación. Se trata de cláusulas que regulan la relación contractual entre una empresa y sus clientes a la hora de adquirir sus productos o contratar sus servicios. Incluyen el precio de los productos o servicios, impuestos, gastos de envío, forma de entrega, política de devoluciones, etc. Lea también: 10 mejores prácticas de seguridad de datos Estos son solo 7 puntos fundamentales, pero también existen otros como la necesidad de realizar auditorías periódicas o la obligación de notificar a la AEPD cualquier brecha de seguridad en un plazo máximo de 72 horas. FUENTE: Tablado, Fernando. »7 claves para cumplir la protección de datos en tu web» Marketing4ecommerce.net. 07/06/2023. (https://marketing4ecommerce.net/7-claves-para-cumplir-la-proteccion-de-datos-en-tu-web/).
Quiénes son los responsables de proteger mis datos personales en internet
La protección de datos personales es un objetivo por el que deberían luchar todos los actores involucrados: usuario, empresas y Estado. Cada uno juega un papel fundamental en la construcción de un entorno seguro, que minimice las posibilidades de riesgo para evitar que la información personal caiga en manos de ciberdelincuentes. Según el informe LATAM CISO 2023, creado en Estados Unidos, en Latinoamérica suceden 1.600 ciberataques por segundo y el 11% de las empresas encuestadas no evalúan los riesgos que corren por estos hechos; además, un tercio de ellas hace la valoración respectiva una vez al año. En consecuencia, se han creado leyes de protección de datos con más de una década de antigüedad que están diseñadas en su mayoría para la reacción y no la prevención. Apenas al 67% de los latinoamericanos les preocupa su ciberseguridad, a pesar de que el 83% de las organizaciones de la región se han visto involucradas en alguna vulneración de datos. Con este panorama, se crea un gran interrogante: ¿Qué están haciendo los actores para cuidar los datos personales? La capacidad de las leyes en protección de datos personales A diferencia de Europa, donde existe una ley llamada Data Protection Regulation (GDPR) en la Unión Europea, en Latinoamérica la protección de datos depende de cada país. Solamente en Ecuador y Brasil se han aprobado nuevas reglamentaciones en los últimos dos años, el resto de países tienen normativas con más de una década de vigencia. Por ejemplo, en Colombia la legislación de protección de datos fue creada en 2012, en México en 2017, en Argentina en 2000 y Chile en 1999, años en los que el mundo digital era otro. Si bien gran parte de los países han hecho modificaciones a sus reglamentaciones, las posibilidades de un cambio general en las políticas públicas de protección dependen de un gobierno que quiera hacerlo y proponga ese nuevo camino. A pesar de que debería ser una política de Estado. Además, la mayoría de las leyes actuales tienen una función reactiva, es decir, actúan cuándo sucede una vulneración de datos o cuando se presenta un ataque. Pero todo el proceso previo está desamparado. ¿Qué sucede en las empresas? Hoy gran parte de las compañías tienen datos de sus usuarios y empleados, desde información que recolectan en la entrada de un edificio hasta números de tarjetas de crédito por compras en línea. De ahí se desprende un dato que va ligado al punto anterior del estado actual de las leyes, y es que las compañías tienen un marco amplio por el cual moverse en el que saben que las sanciones son laxas. Lea también: Protección de datos personales en el uso de aplicaciones bancarias Como el caso que sucedió en Colombia en 2020, en el que una empresa de telecomunicaciones accedió a la base de datos de portabilidad, que compartía con otras compañías, para tomar los correos de esos usuarios y enviarles promociones de sus productos. Lo que llevó a una sanción económica, aunque solamente después de que alguien presentó una denuncia por la irregularidad. ¿Y qué hacemos como usuarios? Hoy cada persona es un dato, es una oportunidad de construir información para potenciar un negocio. Por eso es fundamental conocer los derechos que tenemos, como: pedir que nos eliminen de bases de datos, requerir a las empresas la información que tienen de nosotros, solicitar permiso para el tratamiento de los datos y presentar quejas en caso de un mal tratamiento. Pero también es deber nuestro conocer qué términos y condiciones estamos aceptando al acceder a una red social, realizar una compra o crear cualquier cuenta. FUENTE: Ríos, Juan. »¿Quiénes son los responsables de proteger mis datos personales en internet?» Infobae.com. 05/06/2023. (https://www.infobae.com/tecno/2023/06/05/la-proteccion-de-datos-en-latinoamerica-es-baja/).
Microsoft recibe una multa de veinte millones de dólares por incumplir leyes de protección de datos de menores
Microsoft ha alcanzado un acuerdo con la FTC para pagar una multa tras incumplir la ley Children’s Online Privacy Protection Act (COPPA). La compañía de Redmond, según la FTC, había recopilado datos e información personal de menores de edad en Xbox sin notificar a los padres o sin haber solicitado antes su consentimiento. Estos datos, además, se retenían luego de forma que incumplía la ley norteamericana. Aparte de pagar una multa de veinte millones de dólares, Microsoft tendrá también que introducir cambios en la protección de la privacidad de menores en Xbox. Podría interesarle: Multan a Amazon con 23 millones de euros por violar la privacidad de niños con Alexa Samuel Levine, máximo responsable del departamento de protección del consumidor de la FTC, ha explicado que «la orden propuesta [a Microsoft] hace que sea más fácil para los padres proteger la privacidad de sus hijos en Xbox, y limita la información que Microsoft puede recopilar y mantener sobre los niños». «Esta acción también debe dejar abundantemente claro que los avatares, datos biométricos e información sobre salud de los menores de edad no están exentos de la COPPA». El historial que llevó a la millonaria multa contra Microsoft En la denuncia se argumenta que entre 2015 y 2020 Microsoft conservaba estos datos, incluso si los padres no completaban el proceso. Esto se considera una infracción de las normas COPPA. Además, se explica que toda la información recopilada con estas cuentas se combinan con un identificador persistente, el cual se podía compartir con títulos de tercero y desarrolladores. Los padres debían realizar pasos adicionales para evitar esto. Lea también: Meta recibe una multa récord en Europa de 1200 millones de euros En Xbox es necesario crear una cuenta con datos personales para jugar a juegos o acceder a las funcionalidad de Xbox Live. Hasta finales de 2021, incluso si el usuario indicaba que era menor de trece años, se les pedía información adicional (como el número de teléfono) y aceptar los términos de servicio de Microsoft. Solo tras eso se involucraba a los padres para que completaran la creación de la cuenta. Microsoft ha reconocido que «por desgracia no hemos cumplido con las expectativas de nuestros consumidores y nos comprometemos a cumplir esta orden para seguir mejorando nuestras medidas de seguridad. Creemos que podemos y debemos hacer más, y seremos rápidos en nuestro compromiso con la seguridad y la privacidad de nuestra comunidad». FUENTE: Sempere, Josep Maria. »Microsoft recibe una multa de veinte millones de dólares por incumplir leyes de protección de datos de menores» Eurogamer.es. 06/06/2023. (https://www.eurogamer.es/microsoft-recibe-una-multa-de-veinte-millones-de-dolares-por-incumplir-leyes-de-proteccion-de-datos-de-menores).
Así te multa la AEPD: ¿Cómo evitar sanciones millonarias?
La AEPD (Agencia Española de Protección de Datos) impone multas que pueden llegar a ser considerablemente elevadas y pueden llevar al traste los presupuestos de muchas empresas españolas. Por ello, es imprescindible que las compañías comprendan en qué consisten estas sanciones, qué puede ir mal y, sobre todo, cómo prevenirlas. La Protección de Datos es un tema crucial para todas las organizaciones. La AEPD, en su papel de vigilancia y control, tiene la facultad de imponer multas en casos de violación de la legislación de protección de datos. Estas multas, pueden ser especialmente gravosas, llegando a alcanzar hasta 20 millones de euros o el 4% de la facturación total anual global de la empresa. ¿Qué infracciones de protección de datos existen? Las infracciones más comunes que emite la AEPD están relacionadas con el incumplimiento de los principios del Reglamento General de Protección de Datos (RGPD). Estos errores pueden incluir la falta de consentimiento explícito para la recopilación de datos, no informar correctamente a los usuarios sobre cómo se utilizan sus datos, o no tener las medidas de seguridad adecuadas para proteger los datos. Podría interesarle: Multan a Amazon con 23 millones de euros por violar la privacidad de niños con Alexa Un ejemplo típico es el de las empresas que recogen datos personales de sus clientes sin su consentimiento explícito. La legislación exige que los usuarios sean informados y den su consentimiento antes de que se recojan sus datos. Si se descubre que una empresa está incumpliendo esta norma, puede enfrentarse a multas elevadas. Otra cuestión crítica es la seguridad de los datos. Si una empresa sufre una violación de datos y se determina que no tenía las medidas de seguridad adecuadas para proteger los datos personales, también puede ser sancionada. ¿Cómo puedo evitar ser objeto de multas por parte de la AEPD? Las multas de la AEPD pueden tener un impacto financiero significativo en tu empresa, pero con una planificación y una formación adecuadas, puedes evitarlas y garantizar el cumplimiento de la legislación de protección de datos. Recuerda, prevenir siempre es mejor que curar. FUENTE: La Información. »Así te multa la Agencia de Protección de Datos: cómo evitar sanciones millonarias» Lainformación.com. 07/06/2023. (https://www.lainformacion.com/asuntos-sociales/multa-agencia-proteccion-datos-evitar-sanciones-millonarias/2887250/).
Protección de datos personales en el uso de aplicaciones bancarias
Se debe garantizar un entorno seguro y protegido en el uso de aplicaciones bancarias, preservando así la privacidad y la confianza de sus usuarios en el mundo digital. En esta era digital, las aplicaciones bancarias se han convertido en una herramienta fundamental para millones de personas en todo el mundo. Estas aplicaciones ofrecen comodidad, flexibilidad, agilidad y acceso inmediato a nuestras finanzas; pero, también, representan y plantean importantes desafíos en cuanto a la protección de datos personales. En un entorno donde la información personal, se ha convertido en un activo de la mayor relevancia, las personas usuarias debemos estar conscientes de los riesgos y tomar medidas para prevenir su vulneración; ello, al tiempo que las instituciones bancarias y públicas, en todo caso, deben asumir una postura seria y técnica frente a la protección de la privacidad de las personas en este ámbito. Porque su afectación no sólo implica mermas económicas para quienes las sufren; sino también, en tal virtud, la pérdida de opciones, posibilidades y así, por supuesto, de libertad. Podría interesarle: Datos biométricos en México, ¿sin protección? Los principales riesgos asociados al uso de aplicaciones bancarias Uno de los principales riesgos asociados con el uso de aplicaciones bancarias es el robo de identidad. Los ciberdelincuentes están constantemente buscando formas de acceder a datos personales como números de cuentas, tarjetas de crédito, contraseñas, entre otros. Estos datos pueden ser utilizados para cometer fraudes financieros o para acceder a otros servicios utilizando la identidad de la víctima. Para prevenir este riesgo, es fundamental que las personas usuarias, seamos la primera línea de defensa de nuestra privacidad y adoptemos medidas de seguridad sólidas, como el establecimiento de contraseñas complejas y únicas por cada cuenta bancaria, la activación de autenticaciones de dos factores y la actualización regular de las aplicaciones y sistemas operativos que usamos en nuestros diversos dispositivos. Otro riesgo importante, es el indebido o ilegal uso de la información personal por parte de las propias instituciones bancarias. Es decir, hay algunos casos, en los que los proveedores financieros, pueden recopilar y almacenar datos personales sin el consentimiento informado de las personas usuarias, o bien, pueden compartirlos con terceros sin las debidas precauciones. Este tipo de prácticas pone en riesgo la privacidad de los usuarios y puede conducir a situaciones de abuso o robo de datos. Lea también: Cómo los hackers burlan la ciberseguridad bancaria Por esta razón, es esencial que las instituciones bancarias establezcan políticas claras de protección de datos y se adhieran a estándares internacionales de seguridad y privacidad. Asimismo, las personas usuarias debemos leer detenidamente los términos y condiciones antes de utilizar una aplicación bancaria y estar atentos a las políticas de privacidad y el manejo de sus datos. La ciberseguridad de las instituciones bancarias y su relación con las instituciones públicas Además de los riesgos individuales, existe una responsabilidad compartida entre las instituciones bancarias y las entidades públicas en la protección de los datos personales. Las mencionadas instituciones deben invertir en infraestructura y sistemas de ciberseguridad robustos, así como en programas de capacitación y sensibilización para sus clientes. También, deben establecer mecanismos claros de denuncia y efectiva respuesta ante incidentes de seguridad, de modo que, las personas usuarias puedan reportar cualquier anomalía y recibir una pronta solución. Por su parte, las entidades públicas deben implementar marcos regulatorios sólidos que protejan la privacidad de los ciudadanos y promuevan mejores prácticas en el manejo de datos personales por parte de las instituciones financieras. Estas regulaciones, en todo caso, deben incluir medidas de seguridad y sanciones efectivas, para aquellos que no cumplan con los estándares normativos establecidos, otorgando también a las instituciones financieras facilidades para equilibrar el costo regulatorio que implica las adecuaciones a sus sistemas. Asimismo, a fin de crear una cultura de seguridad en el entorno digital, es crucial que los organismos garantes, nacional y locales, intensifiquen y continúen con su labor de promoción de una adecuada y transversal educación en materia de protección de datos, en beneficio de todos los involucrados. En conclusión, la protección de datos personales en el uso de aplicaciones bancarias es un tema de vital importancia en esta era digital. En ese sentido, las instituciones financieras, los organismos garantes de este fundamental derecho humano y, también, las y los usuarios, debemos ser conscientes de los riesgos referidos y de sus potenciales consecuencias. La protección de datos personales en el ámbito bancario no es un tema que deba tomarse a la ligera. FUENTE: Bonilla Gutiérrez, Julio César. »Protección de datos personales en el uso de aplicaciones bancarias» Lasillarota.com. 02/06/2023. (https://lasillarota.com/opinion/columnas/2023/6/2/proteccion-de-datos-personales-en-el-uso-de-aplicaciones-bancarias-431363.html).
Molestia en ciudadanos de Medellín porque Alcaldía estaría usando sus datos personales indebidamente
En redes sociales los ciudadanos compartieron el mensaje que recibieron por parte de la Alcaldía, asegurando que solo entregaron sus datos para la inscripción a ‘Medellín me cuida’, durante la pandemia. A través de redes sociales, diferentes habitantes de Medellín han manifestado su molestia con la Alcaldía porque, al parecer, estarían usando datos recopilados durante la pandemia, con la plataforma ‘Medellín Me Cuida’. En uno de los casos, al celular personal de Juan Pablo Restrepo llegó un mensaje de WhatsApp acompañado por un video. La pregunta «¿Sabías que el alcalde Daniel Quintero congeló la tarifa de energía?» estaba acompañada por un video del mandatario paisa contando la decisión tomada por la junta de EPM. Podría interesarle: Multan a Amazon con 23 millones de euros por violar la privacidad de niños con Alexa La molestia surgió porque, por más que Juan Pablo intenta recordar cuándo autorizó a la Alcaldía de Medellín el uso de sus datos, solo lo hizo, según él, para la inscripción a la plataforma ‘Medellín me cuida’. «Me llegó un correo a las 11:40 de la mañana a mi celular personal. Yo solamente he inscrito mi celular cuando hice el proceso de ‘Medellín me cuida’, donde ellos siempre nos dijeron que esos datos eran totalmente responsables para ellos y que eran informativos, que nunca iban a hacer mal uso de esos datos», dijo Juan Pablo. Un caso que no es aislado y que pone en entredicho el tratamiento de datos por parte de la Alcaldía de Medellín Como Juan Pablo son muchas las personas que denuncian lo mismo, asegurando que el único momento en el que entregaron sus datos personales a la Alcaldía de Medellín fue llenando ese mismo formulario. Blu Radio tuvo acceso a la autorización de uso de datos de ‘Medellín me cuida’ y encontró que este asegura que una vez culminada la crisis del COVID-19 y se haya superado la pandemia, “la Alcaldía de Medellín procederá a eliminar de su infraestructura tecnológica los datos que ha recolectado por este medio y no podrá hacer uso de los mismos para ningún fin adicional”. Razón por la que ya algunos de los ciudadanos que han dado a conocer la situación iniciarán procesos legales por violación a la Ley de Protección de Datos Personales (Ley 1581 de 2012). Tras ser consultada, la Alcaldía de Medellín respondió que «cuenta con la autorización para tratamiento de datos personales dado por cada persona que está en la página web www.medellin.gov.co, lo que permite enviar mensajes de forma masiva y personalizada por sus canales oficiales». Del mismo modo añadió en el comunicado que «la base de datos de la plataforma ‘Medellín me cuida’ se utilizó hasta el 30 de junio de 2022» y que «previo a su cierre el Distrito convocó a los titulares registrados para que hicieran parte de un canal oficial de la entidad, de esta convocatoria se vincularon 230 mil personas autorizando su vinculación a la nueva base de datos», razón por la que pueden usarlos para todo tipo de comunicaciones institucionales. FUENTE: Londoño Muriel, Karen. »Molestia en ciudadanos de Medellín porque Alcaldía estaría usando sus datos personales indebidamente» Bluradio.com. 31/05/2023. (https://www.bluradio.com/blu360/antioquia/molestia-en-ciudadanos-de-medellin-porque-alcaldia-estaria-usando-sus-datos-personales-indebidamente-rg10).
Multan a Amazon con 23 millones de euros por violar la privacidad de niños con Alexa
Amazon acordó este miércoles con las autoridades de Estados Unidos pagar una multa de 23,4 millones de euros por supuestamente haber violado normas de privacidad para niños con su popular asistente de voz Alexa. El gigante del comercio electrónico, además, se compromete a reformar sus prácticas sobre borrado de grabaciones de menores y a implementar medidas de privacidad más estrictas, según anunció en un comunicado la Comisión Federal de Comercio (FTC, por sus siglas en inglés). Amazon confirmó por su parte que ha alcanzado un acuerdo con las autoridades estadounidenses para resolver las denuncias de la FTC sobre la gestión de datos recopilados por Alexa. «Aunque estamos en desacuerdo con las denuncias de la FTC y negamos haber violado la ley, este acuerdo da por superado el asunto y creemos que es importante ubicarlo en el contexto correcto», señaló la empresa en un comunicado. En la nota, la empresa subrayó que se toma muy en serio sus responsabilidades con los usuarios de Alexa y sus familias y defendió las medidas que tiene en marcha, al tiempo que aseguró que seguirá introduciendo más funciones de privacidad en el futuro. Amazon y otra multa por protección de datos a su historial Según la FTC, Amazon violó normas de Protección de la Privacidad de Niños Online (COPPA, por sus siglas inglesas) al impedir a los padres ejercer su derecho al borrado de datos y al conservar durante años datos sensibles de voz y geolocalización para su propio beneficio, creando el riesgo de acceso indebido a ellos. Podría interesarle: Compromiso de Apple con la protección de tus datos sobre salud «El historial de Amazon de engañar a los padres, mantener las grabaciones de los niños indefinidamente y desobedecer las solicitudes de eliminación de los padres violó la COPPA y sacrificó privacidad por ganancias”, señaló en un comunicado Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. Como parte del acuerdo, Amazon tendrá que borrar cuentas inactivas de niños y ciertas grabaciones e información de geolocalización, y no podrá usar esos datos para entrenar sus algoritmos. Este acuerdo se conoció en el mismo día en que Ring, una filial de Amazon especializada en la venta de timbres con vídeo para casas, aceptó pagar otra sanción de 5,8 millones de dólares por violar leyes de privacidad en la gestión de las grabaciones. FUENTE: EFE. »Multa a Amazon con 23 millones de euros por violar la privacidad de niños con Alexa» Telemadrid.es. 31/05/2023. (https://www.telemadrid.es/tecnologia/Multan-a-Amazon-con-23-millones-de-euros-por-violar-la-privacidad-de-ninos-con-Alexa-0-2565043559–20230531112726.html).
Las 8 Mejores Prácticas Para La Formación En Protección De Datos
¿Conoces el coste de la protección de datos? El proveedor chino de soluciones de administración de redes sociales, Socialark, descubrió que el costo de no tener protección de datos era más de lo que podían soportar. A principios de este año, la empresa experimentó una violación masiva de datos que expuso 200 millones de cuentas de LinkedIn, Facebook e Instagram . Resultó que Socialark no había protegido con contraseña su base de datos ni cifrado sus datos, un paso en falso costoso para cualquier organización. A la velocidad con la que se crean, almacenan y utilizan los datos, su organización no puede darse el lujo de no tener protección de datos (y capacitación en protección de datos) como parte de su estrategia de seguridad general. Sus empleados deben conocer y estar preparados para manejar las amenazas de phishing y ransomware que van directamente a sus datos. Con las medidas de protección de datos adecuadas y el programa de capacitación de los empleados, puede crear un muro impenetrable alrededor de sus ecosistemas de datos y datos confidenciales. Esta publicación arroja luz sobre la capacitación en protección de datos, por qué sus empleados la necesitan y ocho mejores prácticas para la capacitación en protección de datos. ¿Qué es la formación en protección de datos? La protección de datos consiste en almacenar y asegurar la precisión, confidencialidad e integridad de los datos. Pero la capacitación en protección de datos va un paso más allá para educar a los empleados sobre los estándares de la industria y la organización para proteger los datos de la destrucción, pérdida, modificación o robo. Debido a que los compromisos de datos pueden ocurrir por error o por intención maliciosa, la capacitación en protección de datos aborda las prácticas adecuadas de manejo de datos para proteger contra intentos maliciosos. También ayuda a los empleados a obtener más información sobre la pérdida de datos, las lagunas de privacidad y los problemas de divulgación. Mientras que la capacitación en protección de datos se centra en protocolos para garantizar la autenticidad de los datos, la capacitación en seguridad de datos se enfoca en protocolos para administrar los sistemas, las redes y la infraestructura que contienen los datos. Al combinar protocolos y capacitación para la protección y la seguridad de los datos, prepara a su organización para cumplir con los requisitos reglamentarios de protección de datos. ¿Por qué los empleados necesitan formación en protección de datos? La protección de datos creció a partir de big data, el potencial de violaciones de datos y la necesidad de cumplimiento normativo para proteger los datos de las violaciones de datos. Al proporcionar a los empleados una formación eficaz en materia de protección de datos, obtienen una mejor comprensión de los siguientes conceptos: Con el conocimiento de los protocolos, las leyes y las reglamentaciones en torno a los datos de su organización, sus empleados se vuelven más conscientes de lo importante que es protegerlos. Y, cuando agrega capacitación de concientización sobre seguridad cibernética, los empleados están mejor equipados para manejar posibles riesgos y amenazas internos y externos que pueden conducir a un ataque cibernético y una violación de datos. 8 mejores prácticas para la formación en protección de datos La implementación de un programa de capacitación en protección de datos requiere un enfoque bien planificado y coordinado que fomente la colaboración entre departamentos y promueva la productividad de los empleados. Siga estas ocho mejores prácticas al implementar la capacitación en protección de datos. 1. Abordar los requisitos de cumplimiento del gobierno y la industria A medida que la privacidad del consumidor se vio cada vez más amenazada por las filtraciones de datos como resultado de prácticas de seguridad y manejo de datos deficientes, los gobiernos presionaron por regulaciones más estrictas para proteger a su gente. Estas regulaciones han resultado en la creación de estándares bien conocidos, que incluyen: Cada organismo regulador tiene sus propios criterios que las empresas deben seguir para evitar enfrentarse a multas y sanciones, especialmente cuando se produce una filtración de datos. Para asegurarse de que su empresa cumpla con los estándares de la industria que se relacionan con su negocio, incluya capacitación sobre las regulaciones que debe seguir su empresa y las auditorías que debe pasar. 2. Revise la estrategia de seguridad de su centro de data Cuantas más capas tenga la estrategia de seguridad de su centro de datos, mejor protegerá la información confidencial que contiene. Pero esas capas pueden ser difíciles de entender para los empleados. Por lo tanto, revise la estrategia de seguridad del centro de datos con sus empleados, cubriendo temas como: Documente todas las políticas para que los empleados puedan consultarlas y saber qué se espera para mantener la seguridad de su centro de datos. 3. Revisar los protocolos de seguridad de los datos personales Dado que los empleados utilizan varias aplicaciones SaaS a diario, tienden a elegir una contraseña única, fácil de recordar pero pirateable. El problema con ese enfoque es el riesgo para la seguridad de su empresa. La protección de datos personales requiere estrictos protocolos de seguridad y conciencia proactiva. Sin los protocolos adecuados implementados, los piratas informáticos pueden obtener acceso a sus sistemas, redes y datos confidenciales de la organización y los empleados mediante ataques de fuerza bruta y campañas de ingeniería social. Podría interesarle: Separados por un mismo lenguaje: ciberseguridad y directivos no se entienden Por lo tanto, incluya los protocolos de su organización para la protección de datos personales , que incluyen: Al incluir estos protocolos en su programa de capacitación en protección de datos, sus empleados comprenden las prácticas requeridas para garantizar la privacidad de los datos y la protección de sus propios datos, los datos de su empresa y los datos de sus clientes. 4. Explicar las políticas de la cadena de suministro Los ciberataques a la cadena de suministro existen desde hace décadas, pero se han disparado en los últimos 10 años. A fines de 2020, ocurrió uno de los incidentes más notables, el ataque a la cadena de suministro de SolarWinds, en el que una vulnerabilidad de un tercero permitió a los piratas informáticos infiltrarse en organizaciones de Fortune 500 y organismos gubernamentales de EE. UU. Para evitar una violación de datos que provenga de su cadena de suministro, incluya políticas de cadena de suministro como parte de
Datos biométricos en México, ¿sin protección?
Solo en 2022, el INAI de México recaudó más de 60 millones de pesos en concepto de multas por infracciones a la Ley Federal de Protección de Datos Personales. En el primer trimestre de 2023, se informó que en la dark web vendieron una base de datos de más de 97 mil usuarios bancarios de México, indicaron datos recopilados por la empresa IQSEC, que añadió, las bases de datos biométricos son “áreas sin protección” que requieren “mayores controles de seguridad en el manejo de información biométrica”. A través de un comunicado fechado al 30 de mayo de 2023, IQSEC recordó que en febrero de este mismo año, de una base de datos del Buró de Crédito de 2016, que fue eliminada sin el procedimiento correcto, fue vulnerada, aun cuando quien recopile información sensible, “debe promover su efectiva gobernanza”, es decir, resguardar los datos para evitar su filtración o violación. De acuerdo con el Chief Security Sales Enablement Officer, Manuel Moreno, “la generación de una base de datos biométricos no es nueva en el país, pues es una práctica generalizada en el sector financiero desde 2017, sin embargo, se han encontrado áreas de oportunidad para “promover mayores controles de seguridad en el manejo de información biométrica”. De acuerdo con el experto, la principal falla en la seguridad de bases de datos es la gobernanza en la información al momento de la captación; en el manejo y resguardo, y en la eliminación de los mismos, ya que su “filtración detonaría consecuencias graves no solo para la organización o la institución encargada de recopilarlos, también para el usuario mismo”. La situación de Protección de Datos en México, durante 2022 Los riesgos para las víctimas que sean vulneradas en su información son la pérdida de la privacidad, la suplantación de identidad, fraude y otros delitos, mientras que las organizaciones públicas o privadas podrían hacerse acreedoras a sanciones legales y financieras. Solo en 2022, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), de México, recaudó $60,078,958 en concepto de multas por infracciones a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Podría interesarle: La protección de datos personales en un México culturalmente diverso Moreno agregó que “en cada recopilación de datos, las organizaciones, tanto públicas como privadas deberían adherirse a certificaciones y estándares que promuevan su compromiso con las buenas prácticas de gobierno de datos, como lo son las ISO/IEC 30107-3, 27001 y 27701”. Finalmente, el experto de IQSEC indicó que las herramientas de gobernanza, riesgo y cumplimiento (GRC), así como de administración de identidades (IGA) podrán dar certeza razonable, que cada base de datos en manos de particulares o sujetos obligados, “estén seguros y disponibles para las personas adecuadas en el momento requerido”. FUENTE: Corporativo. »Datos biométricos en México, ¿sin protección?» Idconline.mx. 31/05/2023. (https://idconline.mx/corporativo/2023/05/31/datos-biometricos-en-mexico-sin-proteccion).
