Seguridad de la información y protección de datos personales: una pareja inseparable

Imagina que una mañana, mientras estás en un centro comercial, se te acerca una simpática persona y te ofrece “gratis” $100.000. Eso sí, te lo entregará en criptomonedas luego de una sencilla operación: un rápido e indoloro escaneo a tus ojos (este ejemplo también aplica si te piden su huella dactilar, unas gotas de sangre o incluso la foto del rostro o de la cédula de identidad, por mencionar algunos).

“¿Así de simple?”, preguntas. “Me parece fantástico, no está nada mal ganar $100.000, sin costo para mí. Por fin alguien que me regale algo”.

Al rato, llegas a casa y, al contar tu maravillosa experiencia, tu pareja, con genuina inquietud te pregunta: “¿Y para qué van a utilizar esos datos? ¿Quién es la empresa que los está recolectando? ¿Sabes dónde se ubica o cómo se le puede contactar? ¿Van a compartir esos datos con alguien más? ¿Cuánto tiempo mantendrán almacenada esa información? ¿Cuándo puedes pedir que eliminen esos datos? ¿Se los vendiste?”.

Por supuesto, no tienes respuesta, porque al momento de la recolección del dato solo escuchaste: “¿Quiere ganar $100.000 solo con sus datos?”

Viendo cómo tu cara va cambiando, tu pareja agrega: ¿Y si la utilizan para leer el iris y ver posibles enfermedades y con eso te suben el plan en la Isapre? ¿Y si es una estafa y con ese dato pueden acceder a sistemas con control biométrico? ¿Y si lo utilizan para abrir cuentas y registrarse haciéndose pasar por ti? (En rigor, podrían ser muchos otros "¿y si...?").

En ese momento, ya no parece haber sido un gran negocio como al inicio. Las dudas se multiplican y el temor frente al mal uso de los datos te hace sentir tremendamente vulnerable, con inseguridad.

El cambio de foco

En el escenario que presenté recién se extrañan muchas medidas. Desde contar con información suficiente y clara para dimensionar la petición de datos personales -y, en especial, si son biométricos- hasta conocer la forma en que esa empresa los protegerá frente a usos y accesos indebidos, por mencionar algunos.

¿Los almacenará de forma cifrada? ¿los conservará como datos personales o aplicará medidas de anonimización para transformarlos en datos estadísticos, para utilizarlos, por ejemplo, solo como pruebas de vida y no de identidad? ¿cada cuánto tiempo los eliminará o borrará de forma segura? La recolección debió ser transparente frente a esas dudas.

Sin embargo, para llegar a determinar esas u otras medidas de seguridad, y por referirse a datos biométricos, la empresa que los recolecta debería haber realizado antes un análisis de riesgos, para conocer la probabilidad de que se materialicen amenazas contra los titulares de datos, pueda dimensionar su impacto y determinar las medidas de mitigación apropiadas.

En ese ejercicio debería preguntarse, por ejemplo: ¿Pueden acceder personas no autorizadas a esos datos? ¿Es posible evitar la extracción o exfiltración de esos datos? ¿La empresa puede impedir que se alteren los datos o solo podría detectarlo después de que ocurra un incidente? ¿Qué perjuicio puede ocasionar el tratamiento de datos a quienes los proporcionaron voluntariamente? ¿Las medidas de seguridad que tiene son adecuadas para esos riesgos o necesita reforzarlas? ¿Tiene recursos para ello?

En este punto, bien valdría apoyarse en metodologías y herramientas que ya utilice esa empresa para analizar y gestionar los riesgos en general y, con mayor razón, sería importante aprovechar los sistemas de gestión de seguridad de la información con que cuente.

Así, sobre esa base ya instalada en la empresa, aplicará luego las particularidades propias de la protección de datos personales. De esta forma podría implementar la Ley de Datos Personales con mayor eficiencia y sin que le resulte extraño cumplir con el principio de seguridad.

Pero cuidado, es un error limitar la implementación de la Ley de Datos Personales solo a un tema técnico de seguridad. Lo planteo porque he oído a algunos ingenieros que creen entender esta legislación, pero la simplifican llevándola a su zona de confort, reduciéndola solo a las medidas de seguridad que protegen los datos contenidos en las bases y sistemas. Sin embargo, desconocen una idea clave que cambia todo el foco de interpretación:

Las leyes de protección de datos personales no son leyes de seguridad de la información; no protegen datos, sino personas y sus derechos.

Si fueran leyes de seguridad de la información se diseñarían para preservar determinados atributos de los datos propiamente tales, como su carácter confidencial, su disponibilidad, la integridad del contenido, entre otros, tal como lo hace en Chile, por ejemplo, la Ley Marco de Ciberseguridad.

Por eso no hay que olvidar que las leyes de protección de datos personales son instrumentos jurídicos para proteger personas, para garantizar los derechos de los titulares a quienes se refieren esos datos y que, dentro de las tantas obligaciones que impone, se encuentra la de adoptar medidas de seguridad técnica y organizativa.

El comienzo de una relación indisoluble

Aunque no se trate de leyes de seguridad de la información, dirigidas a proteger cualidades o atributos que se espera que conserven los datos, actualmente, las leyes de protección de datos personales se construyen bajo un enfoque basado en riesgos. Gracias a ello se determinan, por ejemplo, las obligaciones especiales de cuidado que debe cumplir una empresa, las medidas que resultarían más adecuadas, la gravedad de las infracciones y la magnitud de las sanciones que podría recibir.

A partir de lo anterior, la cercanía entre la seguridad de la información y la protección de datos personales es cada vez más evidente. No en vano, la conocida norma técnica ISO/IEC 27001:2022, ha ampliado expresamente el foco de su sistema de gestión, bajo el título “Seguridad de la información, ciberseguridad y protección de la privacidad”.

Del mismo modo, esa norma técnica se complementa mediante la norma ISO/IEC 27701:2019, sobre Sistema de Gestión de la Información de Privacidad. Con ello, esta extensión no se limita solo a la mencionada ISO/IEC 27001, sino también aplica para las buenas prácticas en la implementación de controles de seguridad contenidas en la ISO/IEC 27002, y ofrece una bajada técnica para facilitar el cumplimiento de la regulación legal sobre datos personales, por ejemplo, del Reglamento General de Protección de Datos Personales de la Unión Europea (GDPR) o las modificaciones de la Ley chilena sobre Protección de Datos Personales, introducidas por la Ley N° 21.719.

Por otra parte, la cercana relación entre seguridad y datos personales, también se puede observar en Chile con la mencionada Ley Marco de Ciberseguridad (Ley N° 21.663, de 2024), porque entre sus principios rectores se reconoce el de seguridad y privacidad de los datos personales, por defecto y desde el diseño, y porque se consideran particularmente significativos aquellos incidentes en donde se involucren datos de carácter personal.

En definitiva, la regulación tanto de la seguridad de la información como de la protección de datos personales, constituye una clara muestra de la pareja que se está consolidando, a pesar de sus diferencias -especialmente de foco-, pero de forma inseparable.

Si necesitas orientación respecto de la implementación de las medidas de seguridad necesarias para cumplir con la Ley de Protección de Datos o para armonizar procedimientos de reporte y gestión de incidentes de seguridad que involucren datos personales, con una mirada que integre lo técnico y lo legal, solicita una reunión conmigo, desde mi sitio web.