Día Internacional de la Seguridad Informática

Cómo diseñar una buena estrategia de protección de datos

Para muchos, hablar de privacidad de datos significa entrar en una conversación llena de problemáticas legales. Esto sucede porque, usualmente, dentro del desarrollo de proyectos digitales, los requerimientos de seguridad quedan relegados a un área externa (enfocada a temas legales), o simplemente se definen hacia el final. Sin embargo, desde hace al menos 20 años, existe un paradigma mucho más proactivo en torno a la protección de datos.

De esta forma, se ha posicionado como una alternativa válida y ampliamente aceptada en comunidades donde existen regulaciones respecto al tratamiento de datos personales, tal como sucede en Europa y Norteamérica. Es así, cómo abordar las problemáticas de seguridad se conoce como Privacidad desde el Diseño o Privacy by Design.

¿Cómo aportamos desde el diseño?

La Privacidad desde el Diseño nos propone un cambio sustancial en la manera de enfrentar las problemáticas relacionadas con la seguridad informática y la protección de datos; llevándonos a tomar una postura más proactiva ante las amenazas, es decir, enfocándonos en la prevención y en la gestión de los riesgos que podemos identificar a lo largo del ciclo de vida de nuestros sitios web, plataformas, aplicaciones, entre otros.

Este modelo de trabajo contempla 7 principios, los que se pueden incorporar a lo largo de todo el proceso de diseño, operación y gestión de nuestros proyectos. Para esto, debemos tener en cuenta la importancia de la seguridad y la protección de datos no sólo dentro de nuestras plataformas, sino que también desde la perspectiva de nuestros usuarios. Estos fundamentos son:

1. Proactivo, no reactivo; Preventivo, no correctivo

Esto implica que toda la organización debe estar comprometida con la protección de datos y la privacidad de los usuarios. De esta manera nos aseguramos de realizar un trabajo proactivo (identificando y detectando posibles amenazas) y preventivo (trabajando en fortalecer nuestros sistemas de información para minimizar los riesgos.

2. La privacidad como configuración predeterminada

Esto significa que de cara a los usuarios, entregamos los máximos niveles de seguridad y protección de su privacidad, aún cuando esto pueda ser configurable o administrable. Esto implica, además, que nuestros sistemas de recopilación de datos deberán ser lo más respetuosos posibles, por lo que se reduce al mínimo la cantidad de información que obtenemos.

3. Privacidad incorporada en la fase de diseño

La privacidad debe formar parte de nuestros productos o servicios, así como también de las prácticas de negocio y procesos de la organización.

Este principio nos obliga a repensar la forma en que enfrentamos la seguridad. No es una capa adicional o módulo que se añade a algo preexistente , sino que debe estar

integrada desde el inicio del desarrollo del proyecto, hasta su implementación.

4. Funcionalidad total: pensamiento “todos ganan”

Es común el pensar que para garantizar la privacidad de los usuarios, alguien más puede verse perjudicado. En ese sentido es importante tener presente la búsqueda del equilibrio, de manera que todos, tanto las organizaciones como las personas usuarias de productos o servicios, se vean beneficiados con políticas eficientes de seguridad.

5. Aseguramiento de la privacidad en todo el ciclo de vida

La privacidad debe nacer en el diseño y debe estar garantizada a lo largo de todo el ciclo de vida de los datos. Esta preocupación por la seguridad impone confidencialidad, integridad, disponibilidad y resiliencia de los sistemas; pero además nos obliga a entregar a los usuarios la posibilidad de desvincularse de nuestro servicio y la oportunidad de administrar la información que entrega o que nos autoriza a obtener.

Este pilar nos obliga a revisar todo el viaje de nuestros usuarios. De esta forma, detectaremos cuáles son los puntos donde se recopila información y cómo debemos protegerla.

6. Visibilidad y transparencia

Una relación duradera entre usuarios y organizaciones requiere de nuestra preocupación a la hora de demostrar que somos responsables en el tratamiento de sus datos. Para esto es importante que como organización seamos capaces de entregar toda la información legal disponible (políticas de uso, términos y condiciones, políticas de cookies, entre otras) de manera que nuestros usuarios puedan tener la certeza de que nuestras promesas son reales y que se hace todo lo necesario para para dar cumplimiento a ellas.

7. Enfoque centrado en el sujeto de los datos

Como ya lo hemos esbozado anteriormente, debemos asegurarle a nuestros usuarios un papel activo en la gestión de sus datos. Aunque, también el control de la gestión que otros hagan con ellos.

Aunque la implementación de estos principios pueda parecer una tarea tediosa y lejana, es importante recordar que en la medida los países elaboren normativas o marcos legales respecto al tratamiento de datos personales, será necesario buscar mecanismos que vuelvan compatibles la relación entre la privacidad de los usuarios y el uso de nuestros productos o servicios.