/, Otros Artículos, Seguridad/Datos PII – Protección de datos de identidad a través de fronteras

Datos PII – Protección de datos de identidad a través de fronteras

La Información de Identificación Personal (del inglés: Data PII- Personally Identifiable Information) es «información que se puede usar para distinguir o rastrear la identidad de una persona, como su nombre, número de seguridad social o registros biométricos, entre otras.

La recopilación de PII es necesaria para muchas compañías; al ser necesario identificar con precisión a un individuo y distinguirlo de los demás para reducir el riesgo de fraude, blanqueo de capitales y otros actos delictivos. Sin embargo, como la PII es tan valiosa, su difusión injustificada o incumplimiento es una preocupación importante para el cumplimiento y para la reputación de la organización, así como para la persona involucrada.

Las empresas encargadas de recoger los Datos PII son los responsables de proteger dicha información. Si eso no ocurre, puede afectar a su reputación y tener repercusiones en los resultados. Los consumidores confían en que dichas empresas seguirán los procedimientos necesarios para hacerlo.

La seguridad de los Datos PII está recogida en muchas jurisdicciones de todo el mundo y, en muchos casos, está alcanzando nuevos atributos y sanciones. Debido a que actualmente la recopilación, el procesamiento y el intercambio de información va en aumento, estas leyes de los Datos PII son el pilar que protege los derechos de privacidad y garantiza que los datos personales se manejen de forma segura, fiable y adecuada.

En la UE, el Reglamento General de Protección de Datos (en inglés GDPR – General Data Protection Regulation) entró en vigor el 25 de mayo de 2018. Con repercusiones muy importantes, GDPR hizo que las empresas de todo el mundo realizaran auditorías de datos, actualizaran las políticas y, en muchos casos, modificaran la forma de cómo recopilaban y procesaban los datos de los usuarios.

En California, la Ley de Privacidad del Consumidor se aprobó a finales de junio. En ese acto, PII se refiere a datos mucho más allá de los usuales tales como Nombre, Fecha de nacimiento, Dirección y Número de Seguridad Social. Los tipos de datos protegidos incluyen:

1798.140. (o) (1)

(D) Información comercial, incluidos los registros de propiedad personal, productos o servicios comprados u obtenidos, tendencias de compra o consumo.

(E) Información biométrica.

(F) Internet u otra información de actividad electrónica, que incluye, entre otros, historial de navegación y búsqueda e información sobre la relación de un consumidor con un sitio web, aplicación o publicidad en Internet.

(G) Datos de geolocalización.

(H) Información de audio, electrónica, visual, térmica, olfativa o similar.

(I) Información profesional o relacionada con el empleo.

India acaba de proponer el Proyecto de Ley de Protección de Datos Personales 2018, la primera ley de protección de datos del país. Estos tres ejemplos anteriores son una muestra de la variedad de leyes que proporcionan protecciones de la privacidad en esta nueva época.

Mejores prácticas PII

Para las compañías que operan a través de las fronteras, la variedad y el conflicto que surge de las diferentes leyes que cubren PII hace que el cumplimiento sea una fuente de riesgo, a la par que difícil y costoso. Por ejemplo, muchos países exigen que los datos de sus ciudadanos permanezcan dentro del país, lo que limita los flujos de datos transfronterizos. Esto añade costes, limita las oportunidades de negocio y agrega un aspecto de protección a la venta de productos y servicios digitales.

Exigir que una empresa que opera en otra jurisdicción cumpla con los estándares de protección de datos, no es lo mismo que su aplicación. Sin embargo, crear reglas que impongan la localización de los datos no responde a las necesidades de los ciudadanos, obstaculiza el crecimiento, y disminuye la competitividad y productividad. Como la Fundación de Tecnología de la Información e Innovación (en inglés ITIF – Technology and Innovation Foundation) declara en su informe sobre los flujos de datos transfronterizos, «los datos deben fluir para maximizar el valor, lo que significa que las políticas que limitan dichos flujos a través de las fronteras reducirán el crecimiento económico y el valor social».

Dicho esto, las empresas deben operar de acuerdo con las reglas de la jurisdicción en la que desean hacer negocios. Más allá de eso, la mejor práctica es cumplir con los más altos estándares de PII. Con un conjunto de sólidas políticas, procedimientos y procesos de datos, las empresas que cumplen con los estándares más estrictos pueden proteger mejor los datos de sus clientes y generar una gran confianza que es crucial para las operaciones y el crecimiento.

Muchos expertos señalan los estándares requeridos por GDPR como punto de referencia cuando se trata de marcos regulatorios de privacidad. La sociedad Alston and Bird en una nota a sus clientes afirmó que «GDPR presenta un cambio en las expectativas de seguridad de datos y cumplimiento de privacidad de datos para las entidades con sede en EE. UU. que estarán sujetas a su aplicación».

De acuerdo con el gobierno de TI (alineamiento de las Tecnologías de la información y la Comunicación), los elementos de una política de privacidad conforme a GDPR son:

  • ¿Quién está recopilando los datos?
  • ¿Qué datos se están recopilando?
  • ¿Cuál es la base legal para procesar los datos?
  • ¿Los datos serán compartidos con terceros?
  • ¿Cómo se usará la información?
  • ¿Por cuánto tiempo se almacenarán los datos?
  • ¿Qué derechos tiene el interesado?
  • ¿Cómo puede el sujeto de datos presentar una queja?

Cuando se trata de identidad digital y autenticación, Canadá es bien conocido por tener pautas de privacidad sofisticadas. Como señaló la firma legal McCarthy Tétrault, «el enfoque de EE. UU. refleja los desarrollos canadienses en la identidad digital».

El objetivo de la Ley Canadiense de Protección de la Información Personal y Documentos Electrónicos (en inglés PIPEDA – Personal Information Protection and Electronic Documents Act) es equilibrar «el derecho a la privacidad y protección de la información personal con la necesidad de las organizaciones de recopilar, usar y divulgar información personal con fines legítimos». Algunas de sus directrices incluyen:

  • Identificar solo cuando sea necesario
  • Determinar qué atributos de identidad son necesarios para autorizar una transacción
  • Informar a las personas y obtener la forma apropiada de consentimiento antes de la identificación
  • Solo autenticar cuando sea necesario
  • Asegurar que el nivel de autenticación sea proporcional a los riesgos
  • Garantizar que los empleados estén formados adecuadamente
  • Mantener registros de transacciones apropiados
  • Evaluar continuamente las amenazas y mitigar los riesgos
  • Proteger la información personal
  • Confiar en documentos de identidad o credenciales de confianza
  • Creer en las partes confiables cuando externalice la administración de identidades
  • Permitir que las personas controlen su identificación y la información de autenticación
  • Considerar el uso de la biometría

Desafíos PII

Elaborar una política de PII eficaz es el primer paso para garantizar que la información se trate de manera adecuada y legal. Cada etapa de la información, desde la recopilación y el almacenamiento hasta la eliminación, requiere una atención sobre quién / qué / dónde y cómo se establece.

Aunque actualmente podría parecer una ventaja para las empresas recopilar la mayor información posible, cuantas más ganancias se obtengan de ello, mayor será el riesgo y mayores serán los costes de protección. Una sugerencia es minimizar el riesgo de datos; recopilando la menor información posible y simplificarla lo más rápido que se pueda.

Otra consideración importante es ¿cómo están asegurando las empresas los datos? ¿Cómo se puede maximizar la seguridad de los datos? Con la tecnología en constante cambio, las amenazas y las defensas contra esos ataques son un objetivo en movimiento. Las amenazas de seguridad necesitan evaluación, mientras que los sistemas necesitan actualizarse, ya que las operaciones de seguridad nunca se realizan.

La seguridad no abarca solo a la tecnología; también a las personas, las cuales son el eslabón más débil en cualquier esquema de seguridad. La capacitación adecuada para todos los empleados de una compañía y la incorporación de un control de manera continua en la producción de la empresa es imprescindible.

El futuro de la PII

¿Es una cuestión de equilibro el compaginar las necesidades de recopilación de la información de identificación personal frente al derecho de las personas a controlar y proteger sus datos? ¿Quizás se pueda desarrollar un nuevo modelo que proporcione a todas las partes lo que desean de PII sin renunciar a nada?

Hay que considerar el anonimato de datos. Al encriptar los datos, o al eliminar la PII de los conjuntos de datos, el anonimato de estos permite realizar varios análisis sin la necesidad de información privada.

Artículo 26 del GDPR

Los principios de protección de datos no deberían aplicarse a la información anónima, ni a aquella que no se relaciona con una persona física identificada con datos personales anónimos, de tal modo que, el interesado no sea identificable.

Aunque el anonimato de los datos tiene sentido en los informes generales, aún existe la necesidad de especificar la orientación para que sea precisa. Las mejoras en Inteligencia Artificial (en inglés: Artificial intelligence), pueden ofrecer una alternativa para estos casos en los que la información es anónima. Tal y como se describe en TechCrunch,

«Hoy en día, las empresas que cumplen con el GDPR ofrecen a los usuarios la opción de permitir el uso completo de sus datos sin restricciones, o decidir que no se tenga acceso a ellos. En el futuro, se podrán construir permisos de acceso a datos más específicos. Por ejemplo, antes de elegir eliminar la aplicación Facebook por completo, un usuario podrá rechazar el acceso de las empresas a otros conjuntos específicos de su información, como su red de amigos o sus datos de ubicación «.

Otro modelo es la identidad auto-soberana, en el que el individuo determina exactamente quién y cómo se comparten sus datos PII. Muchos pronosticadores apuntan a la identidad en cadena (en inglés: blockchain) como una tecnología potencial que permitirá a las personas proporcionar una identidad precisa a aquellos que lo necesiten, al tiempo que controlan la información. La efectividad y usabilidad de estos sistemas todavía tardará años, ya que estos modelos aún se encuentran en desarrollo.

Ofrecer a los consumidores un mayor control sobre sus datos, de una manera que sea fácil, es un modelo eficaz para PII; ofrecer transparencia y un control preciso permite a los consumidores determinar el nivel exacto de confianza que les funciona. Las mejores herramientas para generar confianza y que optimizan la interfaz del manejo de datos, requieren un mayor análisis, ya que ofrecen una guía para mejorar la privacidad y el control que todas las partes desean.

Fuente: Trulioo

Contacta con nosotros

Strategic Account Director
2019-03-04T12:32:56+01:005 noviembre, 2018|Identificación, Otros Artículos, Seguridad|