Datos personales en las empresas: recomendaciones para manejarlos

Conozca algunas recomendaciones para manejar datos personales en una empresa.

user typing login and password, cyber security concept, data protection and secured internet access, cybersecurity

La creciente conectividad de los tiempos actuales ha implicado que los datos personales pasen de ser una mera identificación a uno de los principales activos intangibles de la economía mundial. 

Con las nuevas tecnologías, así como la gran cantidad datos personales que se derivan de uso, emergen nuevos riesgos y amenazas no solo para los individuos, sino también para las organizaciones. Durante los últimos años se han incrementado los ciberataques relacionados con datos personales, con enormes repercusiones financieras y de seguridad.

Según el “Cost of a Data Breach Report 2021”, la información de identificación personal (PII) fue el tipo de registro más atacado, incluido en 44% de las brechas y también fue el tipo de registro más costoso, con una afectación estimada de US$180 por registro perdido o robado.

Para proteger los datos personales se han creado leyes sobre privacidad en diferentes países, que dan lineamientos a seguir para que esta información no se vea expuesta o sea utilizada con fines maliciosos. Sin embargo, aún existen grandes retos en esta materia, sobre todo en las organizaciones.

¿Qué es un dato personal?

Los datos personales son toda aquella información que identifica o hace identificable a una persona, por ejemplo: dirección, datos de salud, situación crediticia, etc.

Podemos dividir los datos personales en tres grupos: generales, sensibles y crediticios. Los primeros son aquellos que hacen referencia a la información que comúnmente conocemos de las personas como nombre, cedula, teléfono, correo electrónico, etc.

Los datos sensibles son aquellos que revelan información más privada de las personas como lo puede ser su afiliación política, estado de salud, religión, pasado judicial, entre otras cosas. Y, por último, los datos crediticios hacen referencia a aquellos datos que integran el comportamiento económico de personas naturales, para analizar su capacidad financiera.

La importancia de las medidas de protección

Por la anterior, es fundamental que las empresas cuiden los datos y cumplan con las regulaciones sobre privacidad y protección de datos, convirtiéndose en garante de la seguridad de la información. Por eso es importante que cuenten con los procedimientos correctos, para poder verificar que se está corriendo un proceso de manera adecuada durante todo su ciclo de vida.

No contar con las medidas necesarias para evitar una fuga de datos personales, podría generar no solo robo de datos sino también de identidad o robo de dinero en línea, entre otras. Estos incidentes pueden afectar no solo a los individuos, sino también a las empresas que manejan información de sus colaboradores o proveedores.

Estos incidentes pueden causar no solo daños reputacionales sino también financieros, como multas para las organizaciones. Se estima que el costo total promedio de una brecha de datos aumentó en casi 10% del 2020 al 2021, pasando de US$3,86 millones a US$ 4,24 millones .

Por lo tanto, la privacidad no debe ser considerada como solo un tema de cumplimiento, sino que debe ser concebida como un factor estratégico para las organizaciones. 

Este enfoque no solo ayudará a las empresas a gestionar la confianza del consumidor, sino también a proteger los datos personales durante su ciclo de vida y reducir el impacto ante una brecha de datos.

¿Cómo prevenir y manejar los datos personales de una manera más segura?

Si bien el manejo de datos personales depende de la información y los procesos realizados en la organización, existen tareas esenciales para mejorar la protección y privacidad, como las que presentamos a continuación:

  • Identificar los datos personales que se utilizan en la organización y cómo se hace procesamiento
  • Desarrollar diagramas de flujos para los datos identificados, ilustrando su procesamiento y las interacciones de las personas con sistemas, productos y servicios
  • Identificar los riesgos de privacidad a los que están expuestos los datos y realizar una evaluación, para definir las estrategias de tratamiento adecuadas.
  • Realizar una cuantificación del posible impacto financiero de los principales riesgos de privacidad identificados
  • Realizar diagnósticos para identificar los mecanismos necesarios que permitan proteger la confidencialidad de los datos frente a los riesgos de privacidad identificados. Los frameworks de privacidad como ISO 29100 y el NIST Privacy Framework o el Sistema de Gestión de la Información Confidencial ISO 27701, brindan un conjunto de buenas prácticas y pueden ser utilizados como punto de partida para hacer un diagnóstico inicial. Además, permiten conocer cómo se encuentra la organización frente a las buenas prácticas de privacidad y protección de datos 
  • Desarrollar estándares y herramientas en torno a las técnicas de anonimización y disociación, y de la gestión de riesgos de re-identificación
  • Mantener la educación continua de los colaboradores dedicada al uso de datos personales, para mantener los estándares en temas de privacidad
  • Cumplir con los requerimientos de leyes de privacidad y protección de datos aplicables para la organización.
  • Implementar soluciones de prevención de fuga de información, incluyendo las que pueden ser configuradas en herramientas de ofimática
  • Tener un monitoreo de eventos de seguridad constante, sobre los procesos que manejan datos personales y así identificar cualquier incidente al momento de su ocurrencia.

Un ciberataque es inminente, y las compañías deben estar preparadas. Si quiere saber cómo podemos ayudarle a proteger adecuadamente los datos personales de su organización, así como estructurar su estrategia de ciberseguridad, póngase en contacto con nuestros expertos.

Autores

Image placeholder

Ángela Cubillos

Cyber Risk Senior Consultant en Marsh Latinoamérica

Image placeholder

Ángel Del Ángel

Cyber Risk Senior Consultant en Marsh Latinoamérica