Este módulo es un recurso para los catedráticos
La aplicación de las leyes de protección de la privacidad y los datos
Generalmente, las dificultades que enfrentan los países con leyes adecuadas para hacer cumplir la protección de los datos incluyen problemas de financiamiento, incapacidad de hacer cumplir estas leyes adecuadamente (p. ej., restricciones de recursos humanos y técnicos), infraestructura TIC inadecuada y no poder o querer manejar pedidos transfronterizos de datos (UCTAD, 2016, p. 9).
La aplicación de los principios y leyes sobre la protección de datos y privacidad varía entre los sectores público y privado y dentro de los países. El RGPD, por ejemplo, se estableció para armonizar y reforzar las facultades de las autoridades encargadas de la protección de datos para asegurar la aplicación efectiva de la ley. Además de las leyes de protección de datos, a fin de contribuir a los esfuerzos de protección, las organizaciones internacionales y regionales han desarrollado e implementado un reglamento de protección de datos. Por ejemplo, el Foro de Cooperación Económica Asia Pacífico (APEC) desarrolló el Marco de Privacidad, el cual incluye principios y directrices para proteger los datos de una manera que evite obstáculos para el flujo de la información entre miembros. También desarrolló las Reglas de Privacidad Transfronteriza, un mecanismo autorregulador voluntario que determina estándares de protección de datos para el intercambio transfronterizo de datos entre los miembros. Es importante resaltar que las leyes nacionales de protección de datos y privacidad tienen prioridad sobre estas normas.
¿Sabían que...?
La Asociación Internacional de Profesionales de la Privacidad (IAPP) puso a disposición un cuadro que resalta las similitudes y diferencias entre el Marco de Privacidad de la APEC y el RGPD con respecto a los siguientes aspectos: propósito, ámbito material y territorial, información personal, controladores de datos, procesadores de datos, información de dominio público, variaciones de países miembros permitidas (derogaciones), prevención del principio de no maleficencia, avisos, límite de recolección, límite de uso, elección y consentimiento, integridad de datos, medidas de seguridad, acceso y corrección, rendición de cuentas, transferencia de datos personales a otra persona o país, definición de filtración, notificación y mitigación de filtraciones. Dicho cuadro se puede encontrar aquí.
Además de la aplicación de estas normas por parte de una autoridad, las tecnologías pueden imponer la protección de los datos. Un caso puntual es la tecnología garante de la privacidad (PET). El objetivo de la tecnología garante de la privacidad es proteger y preservar la privacidad de las personas. Por esta razón, la tecnología garante de la privacidad se puede usar para implementar y hacer cumplir las leyes sobre la protección de datos. Estas tecnologías se usan principalmente para proteger la confidencialidad (es decir, los datos se protegen y solo los usuarios autorizados pueden acceder a ellos) y la integridad de los datos (es decir, los datos no se han modificado y son lo que deben ser). Un ejemplo de tecnología garante de la privacidad es la encriptación. Otro ejemplo es la gestión de la identidad, la cual se refiere al proceso de autenticar las identidades de usuarios, identificando privilegios asociados y garantizando el acceso a los usuarios sobre la base de estos privilegios. La gestión de la identidad apoya los principios de seguridad y proporcionalidad al restringir el acceso y uso de los datos.
Las leyes de protección de datos también se pueden aplicar mediante la protección de datos desde el diseño. El artículo 25 del RGPD ordena la «protección de datos desde el diseño», por lo que los controladores y procesadores de datos incorporan las PET y otras medidas de seguridad en el diseño de sistemas y tecnologías. Estas funciones de diseño requieren de controles y políticas técnicas y organizacionales para asegurar los datos personales y la provisión de medidas de seguridad diseñadas para asegurar la confidencialidad, integridad y disponibilidad (es decir, accesible a pedido) de sistemas, redes, servicios y datos (p. ej., control de acceso, cifrado, cortafuegos, monitoreo del uso de la computadora y políticas de seguridad de la información, abordados en Delitos Cibernéticos Módulo 9 Seguridad Cibernética y Prevención del Delito Cibernético: Aplicaciones y Medidas Prácticas).
Otra medida de protección de datos desde el diseño (o privacidad desde el diseño) implica no tener la información de identificación a plena vista, mediante el anonimización y seudonimización. Según el apartado 5 del artículo 4 del RGPD, la «seudonimización» se refiere al «tratamiento de datos personales de manera tal que ya no puedan atribuirse al titular de los datos sin utilizar información adicional, siempre que dicha información adicional se guarde por separado y esté sujeta a medidas técnicas y organizacionales destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable». La seudonimización ocurre cuando se reemplaza la identificación de datos en un registro por identificadores artificiales. Esta es una forma de enmascaramiento de datos, pues protege la confidencialidad de los datos para prevenir la identificación del titular. Además de las medidas de protección de datos desde el diseño, se pueden implementar medidas de protección de datos por defecto. Un ejemplo de esta medida es la práctica de solo procesar datos personales, lo cual es necesario para lograr el objetivo planteado de la actividad (siguiendo los principios de minimización de datos y limitación de propósito).
Siguiente: Conclusión
Volver al inicio