Imagine que una mañana, mientras está en un centro comercial, se le acerca una simpática persona y le ofrece “gratis” $100.000. Eso sí, se lo entregará en criptomonedas luego de una sencilla operación: un rápido e indoloro escaneo a sus ojos.
“¿Así de simple?”, pregunta. “Me parece fantástico, no está nada mal ganar $100.000, sin costo para mí. Por fin alguien que me regale algo”.
Al rato, llega a casa y, al contar su maravillosa experiencia, un familiar, con genuina inquietud le pregunta: “¿Y para qué van a utilizar esos datos? ¿Quién es la empresa que está recolectando esa información? ¿Dónde se ubica o cómo se le puede contactar? ¿Van a compartir esos datos con alguien más? ¿Cuánto tiempo mantendrán almacenada la información? ¿Puedes pedir que eliminen esos datos o se los vendiste?”
Por supuesto, no tiene respuesta, porque al momento de la recolección del dato solo escuchó: “¿Quiere ganar $100.000 solo con sus datos?”
Viendo cómo su cara va cambiando, ese mismo familiar agrega: ¿Y si la utilizan para leer el iris y ver posibles enfermedades y con eso te suben el plan en la Isapre? ¿Y si es una estafa y con ese dato pueden acceder a sistemas con control biométrico? ¿Y si lo utilizan para abrir cuentas y registrarse haciéndose pasar por ti?
En ese momento, ya no parece haber sido un gran negocio como al inicio. Las dudas se multiplican y el temor frente al mal uso de los datos lo hace sentir tremendamente vulnerable e inseguro.
La gestión dinámica de riesgos
En un escenario como el mencionado se extrañan muchas medidas, desde la información suficiente y clara para dimensionar la petición de datos biométricos hasta conocer la forma en que se protegerán frente a usos y accesos indebidos, por mencionar algunos.
Por ejemplo, por tratarse de datos personales biométricos: ¿se almacenarán de forma cifrada? ¿Los conservará como datos que se vinculan con una persona determinada o aplicará medidas de anonimización para transformarlos definitivamente en datos estadísticos o para utilizarlos únicamente como pruebas de vida y no de identidad? ¿Los comunicará, al menos, seudonimizadamente? ¿Cada cuánto se aplicará un procedimiento de eliminación o borrado seguro de esos datos?
Pero para llegar a esas medidas de seguridad, antes debería haber operado un análisis de riesgos, a partir de la probabilidad e impacto de las amenazas que rodean una base de datos con los iris de los ojos. Frente a ello cabría preguntarse: ¿Pueden acceder personas no autorizadas a esos datos, desde dentro o fuera de la organización? ¿Puede evitar que extraigan los datos o los alteren o solo podría detectarlo después de que ocurra un incidente? ¿Qué perjuicio puede ocasionar para quienes proporcionaron dichos datos personales? ¿Cuenta con medidas adecuadas a esos riesgos o necesita reforzarlas? ¿Cuenta con recursos para ello?
En este punto, como recomendamos a nuestros clientes, bien valdría apoyarse en las metodologías y herramientas que ya utiliza en su organización, para realizar análisis y gestión de riesgos en general y, con mayor razón, sería importante aprovechar los sistemas de gestión de seguridad de la información con que cuente su empresa.
Luego, aplicará las particularidades propias de la protección de datos personales, eso sí, con mayor eficiencia y sin que le resulte todo extraño o novedoso.
Cabe precisar que las leyes de datos personales no son leyes de seguridad de la información (que se construyen para preservar determinados atributos de ésta, como la confidencialidad, disponibilidad, integridad, entre otros). En realidad, son instrumentos jurídicos para garantizar los derechos de las personales a quienes se refieren los datos. No obstante, actualmente las leyes de protección de datos personales se construyen, precisamente, bajo un enfoque basado en riesgos. Ello determina, por ejemplo, las obligaciones especiales de cuidado que deberían aplicarse, la gravedad de las infracciones y la entidad de las sanciones que se pueden recibir.
El comienzo de una relación indisoluble
La cercanía entre seguridad de la información y la protección de datos personales es cada vez más evidente. No en vano, la conocida norma técnica ISO/IEC 27001:2022, ha ampliado expresamente el foco de su sistema de gestión, bajo el título “Seguridad de la información, ciberseguridad y protección de la privacidad”.
Del mismo modo, esa misma norma técnica se extiende mediante la norma ISO/IEC 27701:2019, sobre Sistema de Gestión de la Información de Privacidad. Esta extensión no se limita solo a la mencionada ISO/IEC 27001, también aplica para las buenas prácticas en la implementación de controles de seguridad contenidas en la ISO/IEC 27002, y ofrece una bajada técnica para facilitar el cumplimiento de la regulación sobre datos personales, entre otras, la del Reglamento General de Protección de Datos Personales de la Unión Europea (GDPR).
También podemos observar como en la reciente Ley Marco de Ciberseguridad (Ley N° 21.663, de 2024), entre sus principios rectores se reconoce el de seguridad y privacidad de los datos personales, por defecto y desde el diseño.
Una clara muestra de la pareja que se está consolidando, con sus diferencias, pero de forma inseparable.
Comments