El punto de partida para avanzar con claridad
Al trabajar en Privacidad y Protección de Datos, nos encontramos siempre con el mismo problema inicial:
los conceptos se confunden y cada área usa el mismo lenguaje con significados distintos.
Antes de hablar de diagnósticos, consentimientos o riesgos, hace falta algo más básico: un lenguaje común.
Este fue uno de los primeros aprendizajes al construir Soyio.
Por eso, dentro de Soyio | Aprendizajes, partimos por aquí.
El siguiente glosario reúne los conceptos esenciales con su definición formal y la fuente de la información, para que equipos de legal, tecnología, negocio y otros puedan hablar el mismo idioma desde el inicio.
Fundamentos esenciales: privacidad, seguridad, ciberseguridad y datos
Dato
Es una representación de hechos, cantidades, medidas o descripciones de la realidad, un símbolo o fragmento descontextualizado que, al ser interpretado, se convierte en información
Privacidad
Es el principio de que una persona debe tener control sobre sus datos personales , incluida la capacidad de decidir cómo las organizaciones recopilan, almacenan y utilizan sus datos.
Seguridad de la información
La protección de la información asegurandos u Confidencialidad, Integridad y Disponibilidad (CIA), a través de un Sistema de Gestión de la Seguridad de la Información (SGSI), que es un marco estructurado de personas, procesos y tecnología para gestionar riesgos de seguridad, adaptarse a amenazas y cumplir requisitos legales, todo bajo un enfoque de mejora continua.
Ciberseguridad
Es la preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.
Anonimización:
Procedimiento irreversible en virtud del cual un dato personal no puede vincularse o asociarse a una persona determinada, ni permitir su identificación, por haberse destruido o eliminado el nexo con la información que vincula, asocia o identifica a esa persona. Un dato anonimizado deja de ser un dato personal.
Pseudoanonimizacion
Tratamiento de datos personales que se efectúa de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable.
Taxonomía de datos
Un esquema estructurado de clasificación que organiza los datos en categorías y subcategorías jerárquicas, permitiendo su identificación, gestión, uso y comprensión consistente a través de la organización.
Leyes de Protección de datos personales
Es el conjunto de normas que rigen cómo se deben tratar los datos que identifican o podrían identificar a una persona, de manera que se resguarde su privacidad y sus libertades, limitando la recolección, uso, acceso y difusión de esos datos a lo estrictamente necesario y con salvaguardias de seguridad apropiadas.
Conceptos legales esenciales
Dato personal
Cualquier información vinculada o referida a una persona natural identificada o identificable. Nota: Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Dato personal sensible
Son datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.
Dato personal de categoría especial
Son datos personales que poseen estándares de cumplimiento diferenciados en la ley. En esta condición se encuentran: los datos de niños, niñas y adolescentes; los datos con fines históricos, estadísticos, científicos y de estudio o investigación; datos de geolocalización; datos para obligaciones financieras, bancarias o comerciales.
Titular de datos
Persona natural, identificada o identificable, a quien conciernen o se refieren los datos personales.
Tratamiento de datos
Cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales.
Responsable de tratamiento
Toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado.
Encargado de tratamiento
La persona natural o jurídica que trate datos personales, por cuenta del responsable de datos.
Bases de licitud
Casos en que el tratamiento de datos personales es lícito. La ley 21719 considera que el tratamiento de datos personales es lícito cuando cuenta con consentimiento del titular, salvo ciertas excepciones.
Finalidad
Se refiere a los fines específicos para los que se recolectan los datos personales.
Consentimiento
Toda manifestación de voluntad libre, específica, inequívoca e informada, otorgada a través de una declaración o una clara acción afirmativa, mediante la cual el titular de datos, su representante legal o mandatario, según corresponda, autoriza el tratamiento de los datos personales que le conciernen.
Interés legítimo
Es una base legal que permite tratar datos sin consentimiento cuando el responsable tiene un interés válido y necesario, y dicho interés NO vulnera los derechos del titular.
Agencia de Protección de datos
Es un organismo público descentralizado y con personalidad jurídica propia, encargado de fiscalizar, regular y sancionar el tratamiento de datos personales en Chile.
GDPR o RGPD
El Reglamento General de Protección de Datos (RGPD) es la ley de privacidad y seguridad de datos de la Unión Europea que establece las reglas sobre cómo debe tratarse los datos personales. Refuerza los derechos de las personas y armoniza las leyes de protección de datos en toda la UE.
País adecuado
Un país fuera de la UE que garantiza un nivel adecuado de protección de datos, reconocido a través de una decisión de adecuación adoptada por la Comisión Europea.
Cesión de datos personales
Transferencia de datos personales por parte del responsable de datos a otro.
Comunicación de datos
Dar a conocer por el responsable de datos, de cualquier forma, datos personales a personas distintas del titular a quien conciernen los datos, sin llegar a cederlos o transferirlos.
Tiempos de conservación de datos
Es el período durante el cual una organización puede mantener datos personales, limitado estrictamente al tiempo necesario para cumplir la finalidad del tratamiento o por un deber legal. Una vez cumplido ese plazo, deben ser eliminados o anonimizados.
Registro Nacional de Sanciones y Cumplimiento
Es un registro nacional de carácter público administrado por la Agencia, que consigna los modelos certificados de prevención, los responsables de datos que los hayan adoptado y las sanciones que se hayan impuesto a los responsables de datos que hayan infringido la ley.
Derechos del titular
Derecho de acceso
Derecho del titular de datos a solicitar y obtener del responsable, confirmación acerca de si sus datos personales están siendo tratados por él,acceder a ellos en su caso, y a la información prevista en esta ley.
Derecho de rectificación
Derecho del titular de datos a solicitar y obtener del responsable, que modifique o complete sus datos personales, cuando están siendo tratados por él, y sean inexactos, desactualizados o incompletos.
Derecho de supresión
Derecho del titular de datos a solicitar y obtener del responsable, que suprima o elimine sus datos personales, de acuerdo a las causales previstas en la ley.
Derecho de oposición
Derecho del titular de datos a solicitar y obtener del responsable, que no se lleve a cabo un tratamiento de datos determinado, de conformidad a las causales previstas en la ley.
Derecho a la portabilidad de los datos personales
Derecho del titular de datos a solicitar y obtener del responsable, una copia de sus datos personales en un formato electrónico estructurado, genérico y de uso común, que permita ser operado por distintos sistemas, y poder comunicarlos o transferirlos a otro responsable de datos. El titular tendrá derecho a que sus datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
Derecho de bloqueo
Derecho a solicitar la suspensión temporal de cualquier operación de tratamiento de sus datos personales cuando formule una solicitud de rectificación, supresión u oposición, mientras dicha solicitud no se resuelva.
Revisión humana
Derecho que tienen los titulares a solicitar del responsable en los casos de decisiones basadas en el tratamiento automatizado de datos personales. Fuente: Basado en ley 21719
Fuentes: DAMA, IBM, Ley 27.719, Ley 21.663, ISO 27001, OCDE, Comisión Europea
