¿Qué es la conformidad de datos?

¿Qué es la conformidad de datos?

La conformidad de datos es el acto de cumplir con las leyes y las normas del sector para almacenar, gestionar o procesar información personal o datos confidenciales. Para proteger la privacidad, existen hoy en día muchos tipos diferentes de normativas relativas a los datos personales y confidenciales. Las organizaciones que no sigan estas normativas pueden vulnerar la privacidad personal y, como consecuencia, recibir multas u otras sanciones por parte de los órganos rectores pertinentes.

Las personas tienen diversos derechos con respecto a sus datos personales en virtud de estos marcos normativos. Tanto los derechos como la forma en que se describen estos derechos pueden variar según las jurisdicciones: no existe un conjunto de normas único para todos. Sin embargo, seguir las mejores prácticas típicas para el manejo de la información personal (por ejemplo, las Prácticas justas de la información) puede ayudar a una organización a avanzar en la dirección correcta para el cumplimiento.

¿Por qué es tan importante el cumplimiento de los datos?

Protección de la privacidad individual:

el cumplimiento de las normas de privacidad de datos, como se podría inferir, ayuda a mantener la privacidad de los datos personales. Muchos conjuntos de leyes de privacidad otorgan a los consumidores el control sobre sus datos, permitiéndoles editarlos o, en algunos casos, eliminarlos, y exigen que las organizaciones que recopilan datos informen a los consumidores acerca de quién puede ver sus datos y cómo se utilizan.

Muchos (incluido Cloudflare) consideran que la privacidad es un objetivo deseable en sí mismo. Sin embargo, independientemente de la opinión que se tenga acerca de la privacidad, es más probable que los usuarios y clientes confíen en las organizaciones que respetan la privacidad de los consumidores.

Cómo evitar multas y otras sanciones:

las organizaciones que deseen seguir operando en varias regiones y evitar resultados empresariales negativos como multas, deben valorar mucho el cumplimiento de los datos. Muchos marcos normativos otorgan a los tribunales locales un fuerte poder para imponer multas, sanciones y otras penalizaciones por infracción.

Por ejemplo, las multas del Reglamento general de protección de datos (RGPD) son:

• Una infracción de primer nivel tiene como consecuencia una multa máxima de 10 millones de euros o del 2% de los ingresos anuales globales de la compañía, el importe que sea superior
• Una infracción de segundo nivel tiene como consecuencia una multa máxima de 20 millones de euros o del 4% de los ingresos anuales globales de la compañía, el importe que sea superior
• Además de estas multas, los particulares pueden solicitar una indemnización por daños y perjuicios cuando una empresa infringe sus derechos conforme al RGPD.

Cómo evitar las fugas de datos:

si bien la conformidad de los datos no es en sí misma lo mismo que la protección de los datos, los controles requeridos por la mayoría de los marcos de privacidad de datos suelen aumentar la seguridad de los datos. Esto reduce la probabilidad de una fuga de datos.

¿Es lo mismo el cumplimiento normativo de los datos que la seguridad de los datos?

No exactamente, aunque el cumplimiento normativo y la seguridad interactúan de varias formas. Por ejemplo, parte del cumplimiento normativo de los datos es establecer controles para garantizar que las personas no autorizadas no vean los datos, y esto también optimiza la seguridad.

Pero el cumplimiento normativo y la seguridad son dos cosas diferentes y, de hecho, a veces entran en conflicto. Por ejemplo, un escaneo de todos los archivos del personal con una herramienta antimalware de terceros puede mejorar la seguridad. Pero también puede hacer que la organización incurra en incumplimiento si la herramienta de terceros no cumple con los estándares regulatorios correspondientes.

Es importante que los equipos de seguridad y privacidad de una organización trabajen en estrecha colaboración para garantizar que estos dos factores, el cumplimiento normativo y la seguridad, no entren en conflicto.

¿Cuáles son las principales normas de conformidad de datos que hay que seguir?

Cada región suele tener sus propias normativas de datos, y los órganos legislativos aprueban cada vez más. Algunas de las principales que probablemente se apliquen a cualquier compañía que opere a nivel mundial son:

• Reglamento general de protección de datos (RGPD): se trata de una ley integral de privacidad de datos que establece un marco para la recopilación, el procesamiento, el almacenamiento y la transferencia de datos personales. El RGPD se aplica a cualquier organización que ofrezca bienes y servicios a personas en la UE.
• Health Insurance Portability and Accountability Act (HIPAA): es una ley federal de Estados Unidos que regula cómo se gestiona la información sanitaria. Actualmente, los Estados Unidos carecen de un marco general de privacidad de datos, pero tiene normativas específicas como la HIPAA.
• Estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS): este marco lo mantiene y aplica el PCI Security Standards Council (PCI SSC), un grupo del sector privado fundado por varias empresas de tarjetas de crédito. PCI DSS se aplica a las empresas que procesan transacciones con tarjetas de crédito o débito.

Otros que debes conocer son la Ley de Privacidad del Consumidor de California (CCPA), la Directiva de Privacidad Electrónica, la Ley de Control del Ataque a la Pornografía y el Marketing No Solicitados (CAN-SPAM) y la Ley Sarbanes-Oxley (SOX).

Qué pasos seguir para el cumplimiento normativo de los datos

El cumplimiento normativo de los datos es un esfuerzo constante, y nunca hay una garantía total de que una organización cumpla plenamente con la normativa. Sin embargo, ciertas prácticas hacen que el cumplimiento normativo de los datos sea más fácil de lograr.

• Inventario de datos: una organización debe saber qué datos tiene y dónde están. Una estrategia global de gobernanza de datos resulta muy útil aquí.
• Control de acceso: este restringe la disponibilidad de los datos solo a aquellas personas y servicios que lo necesitan para reducir la exposición de los datos, evitar el movimiento lateral de los atacantes y mantener la seguridad de los datos. En algunos casos, el hecho de que una persona equivocada vea los datos personales puede poner a una organización en situación de incumplimiento, por lo tanto, el control de acceso es fundamental.
• Cifrado de datos en reposo y en tránsito: la encriptación codifica los datos para que solo las personas o servicios con la capacidad de descifrarlos puedan verlos o modificarlos.
• Capacitación de empleados y contratistas: la capacitación y la educación son sumamente importantes para evitar infracciones e incumplimientos normativos accidentales.
• Registro del uso de datos y auditorías: el registro permite a las organizaciones demostrar el cumplimiento normativo a las autoridades externas y confirmar que se siguen las políticas de datos adecuadas.
• Conocimiento y estudio de las normativas correspondientes: según el lugar donde opere una empresa, del lugar donde estén sus clientes y del sector al que pertenezca, hay diferentes marcos normativos de datos en vigor. Las organizaciones deben contratar a personas con experiencia en las normativas correspondientes y que puedan brindar asistencia con la gobernanza de datos y el cumplimiento normativo. De hecho, esto es un requisito según algunas normativas: el RGPD exige que las organizaciones de cierta magnitud contraten a un "encargado de protección de datos".

Cloudflare está hecho para garantizar la conformidad y diseñado para ofrecer a las organizaciones las funciones y soluciones que necesitan para seguir cumpliendo las leyes y normativas. La conectividad cloud de Cloudflare simplifica el cumplimiento normativo al ofrecer controles componibles en una única plataforma. Descubre cómo Cloudflare simplifica la conformidad de datos.