Privacidad de datos vs. Protección de Datos

junio 24, 2019 Seguridad y Cumplimiento, MOVEit

Este artículo se apegará al uso estadounidense. Así que recuerde, si usted opera a nivel global, la terminología puede llegar a ser confusa. La privacidad de datos y la protección de datos son términos entrelazados, tanto que los usuarios los confunden por sinónimos. Pero las distinciones entre privacidad de datos y protección de datos son fundamentales para comprender cómo se complementa uno con el otro. Las preocupaciones de privacidad surgen dondequiera que se recopile, almacene o use información de identificación personal.

En pocas palabras, la protección de datos se trata de proteger datos contra acceso no autorizado. La privacidad de los datos tiene que ver con el acceso autorizado, quién lo tiene y quién lo define. Otra forma de verlo es esta: la protección de datos es esencialmente un problema técnico, mientras que la privacidad de datos es legal.

Estas distinciones son importantes porque están profundamente entrelazadas con temas generales de privacidad y ciberseguridad, que se surgen en las empresas, la política y la cultura. Para las industrias sujetas a los estándares de cumplimiento, existen implicaciones legales cruciales asociadas con las leyes de privacidad. Y garantizar la protección de datos puede no cumplir con cada estándar de cumplimiento requerido.

Cuando las Palabras Importan

Para complicar las cosas, según Storage Networking Industry Association (SNIA), las leyes y reglamentaciones que cubren "la gestión de la información personal" suelen agruparse bajo la "política de privacidad" en los Estados Unidos y bajo la "política de protección" en la UE y en otros lugares.

El Reglamento General de Protección de Datos de la Unión Europea (RGPD, o GDPR en inglés), una autoridad supervisora que entró en vigencia el 25 de mayo de 2018, exige que las empresas protejan los "datos personales y la privacidad de los ciudadanos de la UE para las transacciones que ocurran dentro de la UE". Sin embargo, la ley de protección de datos de RGPD tiene una visión muy diferente de la información de identificación personal que los EE. UU. El cumplimiento de RGPD requiere que las empresas usen el mismo nivel de protección de datos para las cookies que para la información de identificación personal almacenada, como los números del seguro social.

Privacidad y Seguridad: Uno no Asegura el Otro

Lo que es importante entender cuando se compara la privacidad de los datos con la protección de datos es que no se puede garantizar la privacidad de los datos a menos que los datos personales estén protegidos por la tecnología. Si alguien puede robar datos personales, su privacidad no está garantizada, lo que lo pone en riesgo de robo de identidad y otras brechas de seguridad personal. Pero la relación opuesta no siempre es cierta: los datos personales pueden ser protegidos mientras que aún no sean confiablemente privados.

¿Cómo? Cuando pasa su tarjeta de crédito en una tienda, está haciendo dos cosas. En primer lugar, está confiando al proveedor del servicio y en el sistema de pago con su protección de datos personales, para asegurarse de que, entre otras cosas, los cibercriminales malintencionados y otros terceros no puedan acceder a su información de crédito sin su consentimiento. Pero también está confiando en que respeten la privacidad de sus datos al no hacer un uso indebido de la información, aunque usted se la haya proporcionado.

El punto es que la tecnología por sí sola no puede garantizar la privacidad de los datos personales. La mayoría de los protocolos de protección de la privacidad aún son vulnerables a las personas autorizadas quienes podrían acceder sus datos. La carga de estos individuos autorizados es, ante todo, sobre la ley de privacidad, no la tecnología.

De la Tecnología a la Confianza

La tecnología todavía está implicada en la privacidad de los datos, precisamente porque los usuarios autorizados de la tecnología tienen una responsabilidad con la ley de privacidad. El código de ética del Proyecto abierto de seguridad de aplicaciones web (OWASP, por sus siglas en inglés) pide que los especialistas de seguridad "mantengan la confidencialidad adecuada de la información patentada o de otros tipos de información delicada que se encuentre en el curso de actividades profesionales".

En resumen, ningún número de garantías tecnológicas puede eliminar el papel central de la confianza para garantizar la privacidad de los datos.

Todo esto se duplica para aquellos involucrados en transferencias de archivos. Los datos pasan a través de los nodos Web—el equivalente de postales antiguas. Cualquier servidor que maneje un paquete puede leer el mensaje (en última instancia, ¡bits binarios básicos de vainilla!) así como también la dirección IP de reenvío. En un nivel muy básico, no hay privacidad ni mucha seguridad para todo lo que se envía a través de la Web abierta.

El único modo de protección en el que pueden confiar los datos personales en tránsito (no en un vehículo blindado) es el cifrado, de modo que un tercero no autorizado pueda ver los datos, pero no leerlos ni recopilarlos. Y muchos oficiales de protección en la comunidad de seguridad de transferencia de archivos le dirían que es un riesgo para la seguridad de la privacidad. Presenta el riesgo de privacidad de una violación de seguridad que podría poner su información de identificación personal en peligro de robo de identidad.

Sin embargo, con el cifrado de extremo a extremo, los únicos "usuarios autorizados" (usted y el destinatario) con direcciones IP conocidas pueden atravesar el escudo de privacidad y obtener acceso a los datos. Eso es todo lo que los servicios de tecnología pueden brindarle con respecto a la privacidad de los datos frente a la protección de datos. El resto depende de usted.

Rick Robinson