Privacidad: ¿qué principios deben guiar nuestra práctica? Parte 1/4

Por Fernando Díaz

(CBCP | COBIT 2019 | PCI-ISA | ISO-27001 LA | BCM | BCS | ICRA | LFPDPPP | ITIL) forma parte del equipo consultivo de HKMX, tiene más de 15 años de experiencia en la definición e implementación de proyectos en tecnología educativa, sistemas audiovisuales y automatización de procesos con el objetivo de implementar estrategias de negocio y programas de innovación.

1.    Resumen ejecutivo

¿Qué es la privacidad?, ¿por qué es importante tener privacidad en la era del conocimiento?, ¿debe ser la privacidad un derecho humano?, ¿por qué debe importarnos los datos personales y que se hacen con ellos? Estas son algunas de las preguntas que trataremos de explicar para entender el problema y las oportunidades que la economía digital, la hiperconectividad, las redes sociales y las plataformas digitales nos están planteando como individuos, empresas, sociedad y gobierno.

2.    Introducción

Si usted se ha preguntado ¿por qué me debería importar la privacidad?, probablemente usted piense que ese es un tema reservado para las figuras públicas (artistas, políticas o grandes empresarios). Posiblemente sea del grupo que considere que solo las grandes compañías tecnológicas o los países, buscan proteger patentes, secretos industriales y/o información clasificada para no perder sus ventajas competitivas o estratégicas, y le puedo decir que usted tiene razón.

Sin embargo, la privacidad es algo que se ha vuelto necesario para la mayoría de las personas en nuestro día a días para evitarnos situaciones incómodas o perjudiciales. Considere el siguiente caso donde una persona compra tiempo aire en una tiende de conveniencia.

Sandra es una joven talentosa y atractiva que necesita recargar tiempo aire, antes de salir con sus amigas para no tener problemas en caso de requerir comunicarse con sus padres, novio a sus amigas. Entra a una tienda y la interacción se da de la siguiente manera:

 

  1. Sandra solicita la compra de tiempo aire al personal de caja.
  2. El personal de caja confirma la compañía celular de Sandra.
  3. El personal de caja confirma el monto de la compra que requiere Sandra.
  4. Sandra paga el monto solicitado al personal de caja.
  5. El personal de caja solicita el número celular al que se hará el depósito.
  6. Sandra dicta su número celular en voz alta.
  7. El personal de caja verifica el número celular al que se hará el depósito.
  8. Sandra recibe la notificación en su móvil del depósito y/o activación.
  9. El personal de caja termina la compra y entrega el ticket.
  10. El personal de caja agradece la compra y Sandra sigue su camino.

Hasta este momento toda la transacción resulta inofensiva y razonable para todos los participantes. Sin embargo, la llamada que recibió Sandra ese mismo día, “invitándola a salir para tomar un café” nunca fue parte del diseño del servicio. Sí, efectivamente alguien (seguimos sin saber si fue el personal de caja, el personal de la compañía celular u otro cliente que estuvo en el lugar) tuvo la oportunidad de conocer los datos personales de Sandra y poder utilizarlos con total libertad y sin su consentimiento. Por esto la privacidad se vuelve de vital importancia aún y si no somo figuras públicas o agencias de gobierno que generan secretos industriales o de estado. Veamos ahora, ¿qué significa la privacidad en nuestro tiempo? y ¿cómo podemos utilizarla para vivir más seguros y tranquilos?

 

3.    11 Principios clave

Debido a que existe una gran diversidad de leyes, regulaciones, normas y estándares en todo el mundo, se vuelve importante definir referencias universales para guiar la práctica de la protección de la privacidad y que nos permitan adaptarla en nuestro contexto.

La norma ISO/IEC 29100 define 11 principios que nos pueden ayudar a evaluar si una política y/o control propuesto esta alineado o no a las mejores prácticas definidas para la gestión de la privacidad.

Las excepciones, si fuera el caso, deberán ser limitadas y bien justificadas para evitar una mala práctica que genere riesgos para nuestras empresas y el público en general.

  1. Consentimiento y elección
  2. Propósito legítimo y específico
  3. Limitar la recolección
  4. Minimizar los datos
  5. Limitar el uso, retención y difusión de datos.
  6. Exactitud y calidad.
  7. Apertura, transferencia y notificación.
  8. Acceso y participación
  9. Responsabilidad
  10. Seguridad de información
  11. Cumplimiento

4.    Principio #1 – Consentimiento y elección.

Este principio implica que el titular tendrá en todo momento el poder de decisión sobe si el procesador puede o no utilizar sus datos personales. Esto se limita en aquellos casos donde por ley o regulación no se requiere la autorización del titular.

Es importante entender que la autorización debe ser otorgada de manera libre, con pleno conocimiento y de manera específica al caso.

Este principio implica que debemos informar al titular sobre sus derechos y su caso específico antes de solicitar el consentimiento.

Se deberá además brindar información sobre el objetivo, uso y tratamiento de sus datos, previo a la solicitud del consentimiento.

Finalmente explicar las consecuencias de brindar o rechazar su consentimiento en su caso particular o específico.

5.    Principio #2 – Propósito legítimo y específico.

Al aplicar este principio estamos asegurándonos que cualquier tratamiento sobre los datos personales esta en cumplimiento con las leyes y regulaciones vigentes a la fecha.

Debemos comunicar el propósito del tratamiento antes de recolectar los datos o antes de ser utilizada por primera vez para otros fines.

Buscaremos utilizar un lenguaje claro y debidamente adaptado a las circunstancias del titular de los datos.

En aquellos casos que lo amerite, p.e. datos sensibles, ofrecer una explicación suficiente y adecuada para comunicar la necesidad del tratamiento de estos datos.

Para aquellos casos donde el procesamiento de datos sensibles personales o datos confidenciales personales no es permitido por la ley, esto deberá ser motivo suficiente para evitar su recolección y/o procesamiento para parte del responsable y/o procesador.

6.    Principio #3 – Limitar la recolección.

Este principio nos obliga a limitar la recolección de datos personales identificables únicamente a aquellos que permite la ley y que son estrictamente necesarios para cumplir con los objetivos del negocio y/o transacción.

En una era donde los modelos de Big Data, las correlaciones y la información de una persona puede generar gran valor, debemos tener claro que no existe justificación para solicitar, almacenar o tratar datos personales que no están justificados para nuestra operación u objetivo.

8.    Serie Privacidad y Datos personales

El presente es un artículo forma parte de la serie “Privacidad y datos personales” que HKMX ofrece hacia la comunidad de seguridad de información, especialistas en derechos humanos y el público en general para informar, educar y entender los retos y oportunidades que como individuos y sociedad tenemos pendientes en este importante campo.

 

Noticias y Novedades

Artículos Relacionados

Novedades
hkmexico

OWASP A4:2021 Diseño Inseguro

Hoy en día, es común hablar de buenas prácticas de desarrollo de software en las distintas aplicaciones que manejamos para llevar a cabo nuestras tareas,

Leer más »