El punto de partida para avanzar con claridad
Al trabajar en Privacidad y Protección de Datos, nos encontramos siempre con el mismo problema inicial:
los conceptos se confunden y cada área usa el mismo lenguaje con significados distintos.
Antes de hablar de diagnósticos, consentimientos o riesgos, hace falta algo más básico: un lenguaje común.
Este fue uno de los primeros aprendizajes al construir Soyio.
Por eso, dentro de Soyio | Aprendizajes, partimos por aquí.
El siguiente glosario reúne los conceptos esenciales con su definición formal y la fuente de la información, para que equipos de legal, tecnología, negocio y otros puedan hablar el mismo idioma desde el inicio.
Fundamentos esenciales: privacidad, seguridad, ciberseguridad y datos
Dato
Es una representación de hechos, cantidades, medidas o descripciones de la realidad, un símbolo o fragmento descontextualizado que, al ser interpretado, se convierte en información.
Privacidad
Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión.
Seguridad de la información
Se refiere a la protección de la información asegurando la Confidencialidad, Integridad y Disponibilidad (CIA), a través de un Sistema de Gestión de la Seguridad de la Información (SGSI), que es un marco estructurado de personas, procesos y tecnología para gestionar riesgos de seguridad, adaptarse a amenazas y cumplir requisitos legales, todo bajo un enfoque de mejora continua.
Ciberseguridad
Es la preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.
Anonimización
Procedimiento irreversible en virtud del cual un dato personal no puede vincularse o asociarse a una persona determinada, ni permitir su identificación, por haberse destruido o eliminado el nexo con la información que vincula, asocia o identifica a esa persona. Un dato anonimizado deja de ser un dato personal.
Pseudoanonimización
Tratamiento de datos personales que se efectúa de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable.
Taxonomía de datos
Un esquema estructurado de clasificación que organiza los datos en categorías y subcategorías jerárquicas, permitiendo su identificación, gestión, uso y comprensión consistente a través de la organización.
Leyes de Protección de datos personales
Es el conjunto de normas que rigen cómo se deben tratar los datos personales, de manera que se resguarde su privacidad y sus libertades, limitando la recolección, uso, acceso y difusión de esos datos a lo estrictamente necesario y con salvaguardias de seguridad apropiadas.
Conceptos legales esenciales
Dato personal
Cualquier información vinculada o referida a una persona natural identificada o identificable. Se considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Dato personal sensible
Son datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.
Dato personal de categoría especial
Son datos personales que poseen estándares de cumplimiento diferenciados en la ley. En esta condición se encuentran: los datos de niños, niñas y adolescentes; los datos con fines históricos, estadísticos, científicos y de estudio o investigación; datos de geolocalización y datos para obligaciones financieras, bancarias o comerciales.
Titular de datos
Persona natural, identificada o identificable, a quien conciernen o se refieren los datos personales.
Tratamiento de datos
Cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales.
Responsable de tratamiento
Toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado.
Tercero mandatario o encargado de tratamiento
La persona natural o jurídica que trate datos personales, por cuenta del responsable de datos.
Bases de licitud, base legal o base de legitimidad
Casos en que el tratamiento de datos personales es lícito. La ley 21.719 considera que el tratamiento de datos personales es lícito cuando cuenta con consentimiento del titular, salvo que se empleen otras fuentes de licitud indicadas en la ley: tratamiento necesario para ejercer una obligación legal, cuando es necesario para celebrar un contrato o medidas precontractuales, cuando se pueda demostrar interés legítimo, para el ejercicio de un derecho antes tribunales u órganos públicos o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial (en conformidad con el título III)
Finalidad
Se refiere a los fines específicos para los que se recolectan los datos personales.
Consentimiento
Toda manifestación de voluntad libre, específica, inequívoca e informada, otorgada a través de una declaración o una clara acción afirmativa, mediante la cual el titular de datos, su representante legal o mandatario, según corresponda, autoriza el tratamiento de los datos personales que le conciernen.
Interés legítimo
Es una base legal que permite tratar datos sin consentimiento cuando el responsable tiene un interés válido y necesario, y dicho interés NO vulnera los derechos del titular.
Agencia de Protección de datos
Es un organismo público descentralizado y con personalidad jurídica propia, que se encargará de fiscalizar, regular y sancionar el tratamiento de datos personales en Chile.
GDPR o RGPD
El Reglamento General de Protección de Datos (RGPD) es la ley de privacidad y seguridad de datos de la Unión Europea que establece las reglas sobre cómo debe tratarse los datos personales. Refuerza los derechos de las personas y armoniza las leyes de protección de datos en toda la UE.
País adecuado
Un país fuera de Chile, que la Agencia ha declarado que garantiza un nivel adecuado de protección de datos.
Cesión de datos personales
Transferencia de datos personales por parte del responsable de datos a otro.
Comunicación de datos
Dar a conocer por el responsable de datos, de cualquier forma, datos personales a personas distintas del titular a quien conciernen los datos, sin llegar a cederlos o transferirlos.
Tiempos de conservación de datos
Es el período durante el cual una organización puede mantener datos personales, limitado estrictamente al tiempo necesario para cumplir la finalidad del tratamiento o por un deber legal. Una vez cumplido ese plazo, deben ser eliminados o anonimizados.
Registro Nacional de Sanciones y Cumplimiento
Es un registro nacional de carácter público administrado por la Agencia, que consigna los modelos certificados de prevención, los responsables de datos que los hayan adoptado y las sanciones que se hayan impuesto a los responsables de datos que hayan infringido la ley.
Derechos del titular
Derecho de acceso
Derecho del titular de datos a solicitar y obtener del responsable, confirmación acerca de si sus datos personales están siendo tratados por él, acceder a ellos en su caso, y a la información prevista en esta ley.
Derecho de rectificación
Derecho del titular de datos a solicitar y obtener del responsable, que modifique o complete sus datos personales, cuando están siendo tratados por él, y sean inexactos, desactualizados o incompletos.
Derecho de supresión
Derecho del titular de datos a solicitar y obtener del responsable, que suprima o elimine sus datos personales, de acuerdo a las causales previstas en la ley.
Derecho de oposición
Derecho del titular de datos a solicitar y obtener del responsable, que no se lleve a cabo un tratamiento de datos determinado, de conformidad a las causales previstas en la ley.
Derecho a la portabilidad de los datos personales
Derecho del titular de datos a solicitar y obtener del responsable, una copia de sus datos personales en un formato electrónico estructurado, genérico y de uso común, que permita ser operado por distintos sistemas, y poder comunicarlos o transferirlos a otro responsable de datos. El titular tendrá derecho a que sus datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
Derecho de bloqueo
Derecho a solicitar la suspensión temporal de cualquier operación de tratamiento de sus datos personales cuando formule una solicitud de rectificación, supresión u oposición, mientras dicha solicitud no se resuelva.
Revisión humana
Derecho que tienen los titulares a solicitar al responsable, en los casos de decisiones basadas en el tratamiento automatizado de datos personales, a obtener una explicación, a la intervención humana, a expresar su punto de vista y a solicitar la revisión de la decisión.
Ejercicio de derechos
Solicitud o requerimiento realizado por escrito, por formulario o medio electrónico, a través del cual el titular de datos puede solicitar a un responsable de tratamiento ejercer los derechos reconocidos en la Ley (Acceso, Rectificación, Supresión, Oposición, Portabilidad y Bloqueo).
Gestión de derechos
Se puede definir como el conjunto de políticas, procedimientos, medidas técnicas y organizativas que permiten a una organización recibir, tramitar, responder y documentar las solicitudes de los titulares de datos para ejercen los derechos sobre sus datos personales. Se debe garantizar que dicho proceso sea efectivo, oportuno, transparente y conforme a la normativa vigente.
Se deben tomar en cuenta, entre otros, los siguientes aspectos:
- Tener habilitado uno o más canales para presentar solicitudes
- Verificar de identidad del solicitante
- Analizar si cumple con los requisitos legales
- Ejecutar del derecho solicitado
- Responder dentro de plazos legales
- Registrar evidencia del proceso
Evidencias, trazabilidad y auditoría
Evidencias de privacidad
Registros (documentos, logs, informes) que sirvan como prueba de que los procesos de privacidad se están ejecutando según lo planeado y que se cumplen los requisitos legales y las políticas internas.
Trazabilidad
Capacidad de reconstruir el historial de acceso, uso y modificación de los datos personales a lo largo del tiempo.
Auditoría
Inspección y verificación formal para verificar si se está siguiendo un estándar o un conjunto de pautas, si los registros son precisos o si se están cumpliendo los objetivos de eficiencia y eficacia.
Seguridad de la información y ciberseguridad
Control de accesos
Mecanismos que aseguran que solo personas autorizadas puedan acceder a datos o sistemas, según roles y permisos definidos.
Autenticación multifactor (MFA)
Método de autenticación que requiere dos o más factores independientes para verificar la identidad de un usuario. Por ejemplo, una contraseña y un código enviado al teléfono.
Cifrado de datos
Técnica criptográfica que transforma información para que solo pueda ser entendida por quienes posean la clave correspondiente.
Copia de Seguridad
Copia de archivos y programas para facilitar la recuperación en caso necesario.
Incidente de seguridad
Un suceso que pone en peligro real o potencialmente la confidencialidad, integridad o disponibilidad de un sistema de información o la información que el sistema procesa, almacena o transmite, o que constituye una violación o amenaza inminente de violación de políticas de seguridad, procedimientos de seguridad o políticas de uso aceptable.
Vulneración a medidas de seguridad
La pérdida de control, la vulneración, la divulgación no autorizada, la adquisición no autorizada o cualquier suceso similar en el que: una persona distinta a un usuario autorizado acceda o pueda acceder a información personal identificable; o un usuario autorizado acceda a información personal identificable para un fin distinto al autorizado.
Medidas técnicas y organizativas de seguridad
Medidas de protección prescritas para cumplir con los requisitos de seguridad (es decir, confidencialidad, integridad y disponibilidad) especificados para un sistema de información. Las salvaguardas pueden incluir características de seguridad, restricciones de gestión, seguridad del personal y seguridad de estructuras físicas, áreas y dispositivos.
Confidencialidad
La capacidad de proteger los datos para que terceros no autorizados no puedan acceder a ellos.
Integridad
Protección contra la modificación o destrucción indebida de información, lo que incluye garantizar el no repudio y la autenticidad de la información.
Disponibilidad
Garantizar el acceso y uso oportuno y confiable de la información.
Resilencia
La capacidad de prepararse y adaptarse a condiciones cambiantes, así como de resistir y recuperarse rápidamente de las perturbaciones. La resiliencia incluye la capacidad de resistir y recuperarse de ataques deliberados, accidentes o amenazas o incidentes naturales.
Biometría e identidad
Biometría
Tratamiento técnico específico que a partir de características físicas, fisiológicas o conductuales únicas, permiten identificar a una persona.
Identidad digital
Conjunto de atributos electrónicos que permiten identificar a una persona en entornos digitales.
Validación de identidad
Proceso para verificar que una persona es quien dice ser, antes de otorgar acceso o ejecutar un trámite.
Firmas electrónicas
Firma electrónica simple
Es cualquier clase de sonido, símbolo o proceso electrónico que permita al receptor de un documento electrónico identificar, al menos formalmente, a su autor.
Firma electrónica avanzada
Es la firma certificada por un prestador acreditado y que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría.
Gobernanza, madurez y medidas organizacionales
RAT (Registro de Actividades de Tratamiento)
Documento que registra y describe las actividades de tratamiento de datos personales realizadas por un responsable o encargado, incluyendo finalidades, categorías de datos, categorías de titulares, categorías de destinatarios, si hay transferencias internacionales y a que país, tiempos de conservación y medidas de seguridad.
Gobierno de datos
Es una estructura organizativa para dar soporte a la gestión de esos datos empresariales. Está formado por conjunto de normas, políticas y procesos de una organización que permitan asegurar que los datos de la organización sean correctos, fiables, seguros y útiles.
EIPD (Evaluación de Impacto en Protección de datos) o DPIA en inglés
Proceso sistemático para identificar, evaluar y mitigar los riesgos que un tratamiento de datos personales puede generar sobre los derechos de los titulares.
Madurez en privacidad
Nivel de desarrollo y eficacia con que una organización implementa prácticas, controles y cultura de protección de datos personales de forma continua.
Privacidad por diseño y por defecto
Obligación del responsable de tratamiento de datos de aplicar medidas técnicas y organizativas adecuadas desde el diseño con anterioridad y durante el tratamiento de los datos personales, con la finalidad de cumplir los principios y los derechos de los titulares.
Riesgo de privacidad
Es la probabilidad de que las personas experimenten problemas como resultado del procesamiento de datos y el impacto de estos problemas si ocurren.
Política de privacidad
Documento que informa de forma transparente a los titulares sobre cómo se recolectan, usan, comparten y protegen sus datos personales.
---
Fuentes:
RAE: https://dle.rae.es/privacidad
DAMA: https://dama.org/
Ley 21.719 Protección de datos personales https://www.bcn.cl/leychile/navegar?idNorma=1209272
Ley 21.663 Marco de Ciberseguridad https://www.bcn.cl/leychile/navegar?idNorma=1202434
Ley 19.799 https://www.bcn.cl/leychile/navegar?idNorma=196640
ISO 27001 https://www.iso.org/es/norma/27001
ISO 27701 https://www.iso.org/standard/27701
OCDE https://www.oecd.org/en/topics/privacy-and-data-protection.html
Comisión Europea https://commission.europa.eu/law/law-topic/data-protection_en
ISACA https://www.isaca.org/
