¿Por qué debe realizar una evaluación de impacto sobre privacidad?
August 19, 2022 | 4 minutes read
Imagínese que despierta y descubre que millones de archivos de su organización, incluidos los registros sensibles, se han visto comprometidos en una filtración de datos. Los datos personales, que van desde fotografías hasta números de la Seguridad Social, pasando por fechas de nacimiento, direcciones, información sanitaria e incluso comunicaciones internas, han quedado expuestos. Seguramente esto no podría pasarle a usted, ¿verdad?
Pues se equivoca.
Instituciones educativas como Georgia Tech, el Centro Médico de la Universidad de Rush, UConn Health y el sistema de escuelas públicas de Chicago, así como importantes empresas de los sectores de la salud, el comercio minorista, la seguridad y las finanzas han sufrido violaciones de datos.
Es una desafortunada realidad que cualquier organización con información sensible sobre el público puede despertar el interés de los delincuentes. En respuesta a estas amenazas, las organizaciones están realizando evaluaciones de impacto sobre privacidad (PIA). Estas ayudan a las organizaciones a explicar el impacto que un sistema de información o un proyecto puede tener en la privacidad de las personas y permiten a las partes interesadas analizar los riesgos.
A lo largo del día de hoy y de la próxima semana, publicaremos una serie de artículos en los que explicaremos:
- ¿Por qué debe realizar una evaluación de impacto sobre privacidad?
- ¿Cómo completar una evaluación de impacto sobre privacidad?
- ¿Cómo puede utilizar un software de redacción para evitar la difusión de información confidencial o sensible en línea?
Esperamos que con esta información, los lectores de los artículos de CaseGuard puedan ir más allá de la concienciación sobre la privacidad y empezar a desarrollar procesos y políticas para la recopilación, el almacenamiento y el uso de los datos.
¿Quiere leer la segunda y tercera parte de la serie? Aquí están:
¿Cómo la realización de una evaluación de impacto sobre privacidad rápidamente valoriza su organización?
La reputación no es reemplazable. Llevar a cabo una PIA requiere tiempo, sin embargo, la inversión vale la pena. En una presentación en el Congreso de la Asociación Internacional de Profesionales de la Privacidad, se dijo que las empresas que realizan una PIA tienen más probabilidades de evitar sanciones, desafíos legales y el rechazo del público. ¿Por qué?
Porque pueden detectar los problemas a tiempo, con lo que se ahorran tiempo y dinero.
Dado que el objetivo de una PIA es mantener la seguridad de la información, las organizaciones tienen que iniciar el proceso con un buen conocimiento de la cantidad de información personal que van a recoger y de la complejidad del sistema que están utilizando. Tienen que saber si su sistema se conecta con otros sistemas, como softwares de escritorio y de aplicaciones o infraestructura. Asimismo, deben conocer cuáles son las políticas y acuerdos con los que deben cumplir, entre otros temas. Para responder a estas preguntas suele ser necesario consultar a las partes implicadas, que van desde asesores jurídicos hasta gestores de registros, pasando por los proveedores y el personal responsable de la seguridad del sistema. A través de estas conversaciones, las organizaciones pueden empezar a planificar controles adecuados y políticas de empresa con el fin de minimizar los riesgos.
Porque promueven la responsabilidad y la privacidad.
El futuro depende de las medidas que tomemos hoy. Cuando se hacen bien, las evaluaciones de impacto sobre privacidad ayudan a las organizaciones a planificar estrategias para prevenir y responder a cualquier brecha u otros sucesos significativos que puedan afectar la seguridad de los datos.
A menudo para obtener una comprensión completa de un sistema, las organizaciones deben:
- Trazar el flujo de datos a través de un sistema para describir su uso e identificar con quién se compartirán los datos.
- Explicar cómo se verifica la integridad y exactitud de los datos.
- Abordar el posible interés de los medios de comunicación o del público en los aspectos de privacidad del proyecto.
Al seguir el flujo de datos en un sistema, las organizaciones obtienen mayor información para la resolución de problemas y pueden tomar decisiones más informadas.
En vista al futuro: ¿cómo completar una evaluación de impacto sobre privacidad?
Considerar la evaluación de la privacidad como un proceso casual no establece un seguimiento ni reduce los riesgos para la privacidad en una organización. El desarrollo de estrategias para eliminar o minimizar los riesgos para la privacidad requiere esfuerzo, pero la tranquilidad de saber que los intereses de su organización y los datos de los individuos con ella relacionados están protegidos, merece cada minuto invertido. Por eso, mañana veremos cómo organizaciones de los sectores policial, educativo, sanitario, gubernamental, jurídico y de seguridad llevan a cabo evaluaciones de impacto sobre privacidad, en la segunda parte de nuestra serie.