Mejores prácticas para la protección de datos personales

La protección de datos personales se refiere al proceso de proteger los datos esenciales y confidenciales contra el compromiso, la corrupción o la pérdida.

Las reglas tradicionales de protección de datos se centran en garantizar que los datos se puedan restaurar después de un evento de pérdida de datos. Sin embargo, el caso de la privacidad y protección de los datos personales difiere. ¿Por qué? Pues bien, si una persona física identificable experimenta una violación de datos personales, quien acceda a los datos comprometidos puede utilizarlos para extorsionarlos o hacerse pasar por ellos. Aquí, la recuperación de datos no servirá de mucho; En su lugar, el usuario debe alertar a las autoridades públicas y asegurarse de cancelar todos los medios de pago comprometidos.

La protección de datos y la privacidad tienen como objetivo describir los datos confidenciales en la recopilación de datos de un usuario y aplicar una seguridad de datos de primer nivel para que ningún actor no autorizado o software de terceros pueda acceder a la información.

Todos los datos de usuario y ubicación en diferentes dispositivos (PC, computadoras portátiles, teléfonos inteligentes, tabletas, etc.) pueden ser utilizados para identificar a las personas por los actores de amenazas. Por ejemplo, las direcciones IP son un identificador en línea porque contienen los datos de ubicación virtual (y, si se inspeccionan en profundidad, físicos) de sus dispositivos. Los usuarios deben implementar las medidas de seguridad adecuadas para proteger los identificadores en línea y la información contextual.

La información de identificación personal (PII, por sus siglas en inglés), o simplemente "información personal", puede ser cualquier información que identifique a un individuo en particular directamente o combinándola con otros identificadores. La seguridad de la PII es una de las principales preocupaciones de las estrategias de privacidad de datos.

Su nombre, fecha de nacimiento y dirección son ejemplos principales de PII. Los usa para crear cuentas en la web, completar formularios o comprar en línea. El número de identificación nacional (pasaporte) o el número de licencia de conducir se usan con menos frecuencia, pero son formas sencillas de identificar a las personas. Luego vienen los orígenes étnicos o raciales, la religión, los antecedentes médicos, financieros o penales. Junto con su dirección IP (si se puede rastrear), son suficientes para formar un perfil de identidad social.

Los datos biométricos (ADN, grabaciones de voz y huellas dactilares) también pueden ser utilizados para la identificación de su titular por parte de terceros.

Las imágenes de videovigilancia a menudo contienen imágenes de diferentes personas. Si las imágenes se pueden utilizar para determinar la identidad de una persona, entonces las imágenes también se consideran "información personal".

El RGPD del Reino Unido también describe una clase de "identificador en línea". Por ejemplo, los identificadores de cookies pueden contener datos personales en determinadas circunstancias. Cuando inicia sesión en un sitio específico, la cookie de autenticación de usuario implica el procesamiento de datos personales para permitir el inicio de sesión en su cuenta.

La privacidad de los datos abarca los datos personales recopilados en diferentes formas. No es necesario escribir la información; También puede señalar cómo se ven o suenan los interesados: fotos, grabaciones de audio y video. En tales casos, la regulación general de protección de datos y la ley de privacidad se aplican solo cuando la información se procesa a través de "medios automatizados" (electrónicamente) o manualmente como parte de otro sistema de archivo.

Los datos personales pueden apuntar a una persona física directamente identificable -"La comida favorita de Mike es la lasaña"- o utilizarse para identificar indirectamente al interesado -"El hermano de Mike adora esa marca específica de pizza-". (en el último ejemplo, no conoces directamente la identidad del hermano de Mike, pero puedes identificarlo indirectamente a través del contexto y más información)

Incluso si las personas físicas utilizan seudónimos o aplican el anonimato a sus datos personales, el tratamiento de la información puede revertirse si las personas físicas o los interesados pueden identificarse mediante información adicional. En tales casos, dichos datos aún pueden considerarse "personales". Si los datos se anonimizan de forma irreversible y no se pueden utilizar para identificar a una persona física de forma transparente, no se consideran "datos personales".

Hoy en día, la mayoría de nosotros estamos inmersos en actividades en línea. Usamos Internet para trabajar, navegar por las redes sociales, comprar productos en tiendas en línea, discutir nuestros problemas cotidianos en foros y más.

Se ha convertido en un hábito insertar su nombre y edad cuando crea una cuenta en línea o escribir la información de su tarjeta de crédito al comprar comida para llevar. Si bien muchos servicios se basan en el cifrado y la seguridad adicional, la información que compartimos en línea, intencionalmente y no, puede caer en manos de terceros no autorizados. Si eso sucede, las brechas de seguridad pueden comprometer sus cuentas en línea y sus compromisos en la vida real. Además, los ciberdelincuentes pueden vender los datos recopilados al mejor postor.

Para evitar el robo de identidad o financiero, los usuarios deben ser conscientes de los riesgos de compartir PII y solo compartir dicha información con destinatarios de confianza, siguiendo las mejores prácticas de privacidad de datos.

La ley de privacidad de datos rige qué escenarios pueden considerarse "procesamiento de información personal".

El tratamiento de datos se refiere esencialmente al uso de la protección de datos personales en cualquier forma: recopilación, almacenamiento, consulta, recuperación, divulgación o intercambio de datos con otro sujeto, destrucción o borrado. Sin embargo, la ley de protección de datos no se aplica cuando el procesamiento de datos se realiza íntegramente para actividades personales o domésticas.

Las leyes de protección de datos y privacidad (como el RGPD) tienen como objetivo garantizar la protección y privacidad de los datos personales, la portabilidad de los datos y la seguridad de los datos personales en un sistema de tecnología de comunicaciones específico que comprende organizaciones y empresas, por un lado, y personas y usuarios, por el otro. Las directrices de privacidad de datos también garantizan que se apliquen las mismas normas a todas las partes interesadas.

GDPR es la legislación de privacidad de datos de la Unión Europea que describe cómo las empresas y organizaciones deben procesar los datos personales de manera sensata y segura. El RGPD se rige por el Comité Europeo de Protección de Datos (CEPD), un organismo independiente de la UE que garantiza la aplicación de normas coherentes de privacidad y protección de datos en toda la UE. El CEPD está compuesto por representantes de las autoridades de protección de datos de los países de la UE/EEE y del Supervisor Europeo de Protección de Datos. La Comisión Europea participa en las reuniones y actividades del Consejo de Administración sin derecho a voto.

El RGPD tiene como objetivo proteger a las personas de todos los estados miembros de la Unión Europea de los riesgos de privacidad de datos a través de estrictas políticas de privacidad que afectan tanto a las empresas como a los ciudadanos.

• El tratamiento de la información personal debe tener una finalidad definida.
• Almacenar datos personales en un sistema solo durante el tiempo que sea necesario.
• El procesamiento de datos debe llevarse a cabo en un sistema seguro y protegido.
• El uso de los datos personales debe ser legal.
• El uso de los datos personales debe ser respetuoso con los derechos de la persona.
• Las violaciones de datos personales deben ser reportadas a las autoridades y a cada individuo afectado identificable dentro de las 72 horas.
• Las empresas son responsables del cumplimiento del RGPD por parte de sus proveedores.
• El tamaño de las sanciones es significativo.

La HIPAA se promulgó bajo la presidencia de Bill Clinton en 1996, describiendo cómo los proveedores de atención médica pueden procesar y utilizar los datos personales de salud de sus pacientes. Sin embargo, las reglas de regulación de HIPAA solo se aplican a las llamadas "entidades cubiertas": proveedores (médicos, enfermeras, dentistas, psicólogos), datos de planes de salud (compañías de seguros de salud, planes gubernamentales) y centros de intercambio de información de atención médica que procesan información médica.

Las directrices de la HIPAA establecen que las entidades cubiertas:

• Debe cumplir con el derecho de la persona a acceder a su información de salud.
• No puede usar ni compartir información de salud sin el contenido explícito de la persona.

La HIPAA cubre todos los datos de salud del sujeto compartidos con una entidad cubierta. Sin embargo, si una persona física identificable comparte datos de salud con software de terceros: una aplicación de tecnología de comunicaciones (aplicación de nutrición), una plataforma de intercambio de información (redes sociales) u otro sistema de tecnología de comunicaciones no operado por una entidad cubierta, entonces no se aplicarán las regulaciones de HIPAA.

A continuación, exploraremos los siete principios que rigen el tratamiento de datos personales de acuerdo con el artículo 5 del RGPD.

Legalidad, equidad y transparencia

El primer principio es un "sistema de principios" que comprende tres preocupaciones principales de recopilación de datos: legalidad, equidad y transparencia.

• Legalidad

El tratamiento de datos es lícito si se basa en uno de los motivos enumerados en el artículo 6 del RGPD. El consentimiento del usuario es el fundamento legal más importante para la obtención y el procesamiento de información personal. Otros motivos incluyen el "interés legítimo" (fines legítimos). Puedes explorar todos los terrenos con más detalle aquí.

• Equidad

La equidad se refiere al tratamiento de datos personales llevado a cabo en el mejor interés del usuario; También describe que el procesamiento debe ser razonablemente esperado por la persona identificable.

• Transparencia

La transparencia se relaciona con comunicar claramente qué, por qué y cómo las organizaciones procesan datos a las personas cuyos datos procesan. Esto debe hacerse de manera que los usuarios cuyos datos se procesan comprendan claramente los métodos y el alcance del procesamiento.

La limitación de la finalidad establece que las organizaciones y las empresas solo deben procesar datos personales para el propósito originalmente previsto (y descrito). Esencialmente, este principio establece que las organizaciones no deben reutilizar los datos personales recopilados para fines distintos a los establecidos en su Política de Privacidad y Protección de Datos.

La minimización de datos describe que las organizaciones no deben mantener los datos "tirados" en su sistema si no los necesitan para los fines previstos. El principio establece que las organizaciones deben recopilar solo la cantidad exacta requerida de datos personales para brindar un servicio específico. (pero no más)

La precisión se centra en tener los datos más precisos posibles sobre un individuo. Las organizaciones deben tomar "medidas razonables" para garantizar que los datos personales procesados no sean incorrectos y estén actualizados.

Este principio solo es relevante cuando la exactitud de los datos personales es importante para el sujeto al que se refieren.

La limitación de almacenamiento es similar al principio de minimización de datos. Describe que los datos personales deben eliminarse si una organización ya no los necesita para los fines previstos.

Las organizaciones y las empresas también deben implementar un proceso integral para "destruir los datos de forma segura", asegurándose de que los datos eliminados ya no se almacenen en su sistema de almacenamiento (dispositivos, nube), donde podría suponer un riesgo potencial para la seguridad.

En ciberseguridad, hay un término llamado "Triángulo de la CIA"; significa "Confidencialidad, Integridad y Disponibilidad". El sexto principio concierne a dos de las tres aristas del triángulo de la CIA.

La integridad garantiza que los datos recopilados sean correctos y no puedan ser manipulados por otros. (Por ejemplo, cada usuario, empresa u organización debe optar por proteger su sistema contra los atacantes cibernéticos)

La confidencialidad garantiza que solo las personas con acceso autorizado a los datos personales los procesen.

La rendición de cuentas describe que los procesadores de datos (o "controladores de datos") asumen la responsabilidad de sus acciones de procesamiento. El principio garantiza que todas las partes responsables del tratamiento sean responsables del tratamiento adecuado de los datos personales sensibles y cumplan con las directrices del RGPD.

Cuando se habla de responsabilidad, el principio no solo requiere que las organizaciones cumplan con los diversos requisitos del GDPR; También obliga a los encargados del tratamiento a documentar sus actuaciones y poder presentarlas con fines de auditoría.

Por compleja que sea, la legislación sobre privacidad y protección de datos no puede proteger tus datos personales si los compartes accidentalmente (o intencionadamente) con partes no autorizadas o si un ciberatacante consigue vulnerar tu sistema de seguridad. Es por eso que hemos recopilado nuestras prácticas favoritas de privacidad y protección de datos.

Vamos a repasarlos juntos para entender cómo mantener nuestra información personal alejada de miradas indiscretas y software malicioso.

El phishing es la forma más común de ataque malicioso en Internet. El phishing suele llevarse a cabo a través de campañas de ingeniería social y correos electrónicos. Si descarga un archivo infectado o hace clic en un enlace malicioso incrustado en el correo electrónico, los atacantes pueden obtener acceso a su dispositivo, robar sus datos o instalar malware para retener sus datos y pedir un rescate.

Debe adoptar un enfoque sensato de la protección de datos y la privacidad para contrarrestar los intentos de phishing.

Muchas personas tienen experiencia en identificar correos electrónicos no deseados o fraudulentos. Sin embargo, la reacción predeterminada después de la identificación es ignorar el correo electrónico y seguir adelante. Sin embargo, le servirá mejor denunciar el correo electrónico fraudulento.

Ya sea que denuncie la estafa al departamento de TI de su empresa, al proveedor de servicios de Internet o al organismo rector de la ciberseguridad, denunciar el correo electrónico ayuda a otros a evitar ser estafados con su información confidencial.

Las soluciones de correo electrónico modernas (por ejemplo, Gmail, Outlook, Yahoo) ofrecen a los usuarios opciones integradas para denunciar estafas por correo electrónico identificadas. Además, la mayoría de los países ya han establecido tableros antiphishing que luchan contra las estafas en línea.

En los EE. UU., puede recurrir a la Agencia de Infraestructura y Seguridad Cibernética; en Canadá, está el Centro Canadiense de Lucha contra el Fraude; y en el Reino Unido, puede ponerse en contacto con el Centro Nacional de Informes de Fraude y Delitos Cibernéticos.

Si no estás seguro de cómo y a quién denunciar, puedes pedirle a un especialista en TI o a la policía local que te guíe.

Los sitios de comercio electrónico son una parte importante de la vida cotidiana de muchas personas. Pero por muy convenientes que sean, las tiendas online son un objetivo principal para los ciberdelincuentes. La mayoría de las plataformas utilizan proveedores de transacciones de terceros, por lo que es crucial proteger sus compras en línea para contrarrestar los intentos de fraude financiero.

Aquí hay algunas pautas para que sus compras en línea sean más seguras.

Comprobar la legitimidad de una nueva tienda online es fundamental. Puede inspeccionar la URL para ver si comienza con "HTTPS". "HTTPS" significa que el sitio ofrece comunicación encriptada entre su navegador y la plataforma. El símbolo del candado cerrado junto al texto muestra que la plataforma permite transacciones seguras.

Además, puede hacer clic en el icono del candado del sitio y elegir "Mostrar certificado". De esta manera, puede ver el certificado de seguridad y verificar sus fechas de emisión y vencimiento. Por último, puede buscar sellos de aprobación de soluciones de seguridad de terceros.

Por lo general, las tiendas de comercio electrónico le piden que cree una cuenta y configure la información de pago antes de pagar. Si lo haces, selecciona una contraseña segura, configura la autenticación de dos factores y no marques la casilla "Guardar mis datos para futuros pagos".

El uso de Wi-Fi público para compras en línea es un no-no fundamental. Puede ser conveniente para las compras impulsivas, pero pone sus datos en un riesgo significativo. Dado que las redes Wi-Fi públicas rara vez tienen defensas sólidas, los piratas informáticos pueden penetrar en la red y conocer rápidamente su nombre, dirección o información de tarjeta de crédito.

Si se encuentra en un escenario de último recurso y debe usar una red Wi-Fi pública para explorar, instalar y usar una VPN para proteger los datos en tránsito para que los atacantes no puedan rastrearlos, interceptarlos o robarlos.

Hoy en día, ninguna defensa puede proteger genuinamente su información confidencial si la comparte en las redes sociales.

Como la mayoría de las plataformas de intercambio de información ofrecen acceso público, los usuarios pueden navegar por su contenido sin una cuenta. Sí, puedes configurar tus publicaciones y fotos en "Solo acceso a amigos", pero ¿quién puede decir que conoces a todos tus amigos de Facebook? ¿O cuántos de tus seguidores de Instagram son cuentas de usuario reales? Sin olvidar Twitter, que es un paraíso de búsqueda de datos que utiliza hashtags y tweets compartidos.

Las etiquetas de ubicación, los extractos bancarios, la escuela primaria de sus hijos, su correo electrónico, número de teléfono e incluso las recomendaciones educadas de Netflix pueden, en cierto modo, comprometer la seguridad de su información personal.

La regla general aquí es la siguiente: si desea compartir algo que no sea una foto de vacaciones con sus seres queridos, hágalo en persona o por teléfono. Si eliges compartirlo en las redes sociales, ten en cuenta que cualquier persona en la plataforma podría usar algún tipo de exploit para acceder a él.

Toda estrategia de protección de datos necesita un antivirus robusto. Incluso si eres consciente de tus hábitos de navegación, una solución de ciberseguridad añade capas adicionales de defensa para frustrar el espionaje de terceros.

Acronis True Image (anteriormente Acronis True Image) bloquea todos los ataques de software malicioso en tiempo real sin supervisión humana. También puede escanear su dispositivo en busca de infecciones existentes, eliminar su sistema de ellas y reducir el riesgo de futuras violaciones de datos y ciberataques no deseados.

Acronis True Image proporciona una integración única de copias de seguridad fiables y tecnologías antimalware de vanguardia que protegen los datos frente a todas las amenazas actuales: fallos de disco, eliminación accidental, pérdida y robo, y violaciones de seguridad como los ataques de ciberdelincuentes. PCMag lo describió como "una solución integral para la prevención de tragedias" en su reseña "Editor's Choice".

Con Acronis Cyber Protect Home Office, los particulares y las pequeñas empresas pueden realizar copias de seguridad de sus datos, incluidos los sistemas operativos, las aplicaciones, la configuración, los archivos y las cuentas de Microsoft 365 en unidades locales, discos duros externos, NAS y la nube de Acronis. Además, Acronis Cyber Protect Home Office evita que los ciberataques, incluidos los ataques resultantes de vulnerabilidades de día cero, dañen tanto los datos de copia de seguridad como los del dispositivo con protección en tiempo real, evaluación de vulnerabilidades, análisis antivirus bajo demanda, filtrado web, protección contra ransomware y un bloqueador de criptominería. En caso de desastre, los datos se pueden recuperar rápidamente.

Obtenga más información sobre Acronis Cyber Protect Home Office o, mejor aún, pruébelo gratis.

COPIA DE SEGURIDAD EN LA NUBE